Análisis y gestión de riesgos basados en ISO31000 y su

integración con planes de continuidad de negocio

basados en ISO 22301.

Herramientas GlobalRISK® y GlobalContinuity®

Alejandro Delgado, Director de Proyectos

ISO 22301 ha sido publicada

ISO 22301: Estándar Internacional para BCM.

Antigua BS 25999 para la implantación de planes de continuidad de

negocio, ahora convertido en estándar internacional.

Se estandariza a nivel internacional cómo montar un sistema de

gestión de continuidad de negocio.

Marco de referencia en continuidad de negocio para todas las

organizaciones que quieran acometer este tipo de proyectos.

Dice qué tenemos que hacer, pero NO DICE CÓMO HACERLO.

ISO 22301, ISO 31000 y la gestión de riesgos

ISO 31000: Gestión de Riesgos.

Estándar internacional, publicado en 2009 y traducido en 2010, para

analizar y gestionar riesgos.

Establece principios para que el proceso de gestión del riesgo sea

un proceso eficaz.

Se adapta a cualquier tipo de organización.

Es válida para cualquier tipo de riesgo:

Legales.

Operacionales.

Financieros.

Etc.

Contextualizando…

La ocurrencia de incidentes, en la mayoría de los casos, deriva en

pérdida de operatividad, lo cual es directamente traducible a costes.

¿Por qué ocurren los incidentes? -> Por RIESGOS mal gestionados.

ISO 22301, ISO 31000 y la gestión de riesgos

ISO 31000 & ISO 22301.

Uno de los principales cambios de ISO 22301: mayor importancia a la

fase de análisis y gestión de riesgos:

Recomienda el uso de ISO 31000 para todo el proceso de gestión

del riesgo.

Los riesgos deben ser parte del origen de los escenarios de

desastre a contemplar.

No sólo RIESGOS TIC.

ISO 22301, ISO 31000 y la gestión de riesgos

ISO 31000 & ISO 22301.

Tienen más puntos en común, que deben ser aprovechados en uno u

otro sentido:

Hablan de que los riesgos y la continuidad de negocio pueden y

deben afectar a toda la organización, a todas sus áreas y niveles,

en todo momento, y a todas sus actividades y productos.

Al igual que ha hecho ISO 22301, el resto de normas que incluyan un

proceso de análisis y gestión de riesgo irán haciendo mención a ISO

31000 en sus revisiones futuras.

ISO 22301, ISO 31000 y la gestión de riesgos

Proceso de gestión del riesgo

ISO 22301, ISO 31000 y la gestión de riesgos

ISO 31000 & ISO 22301 & PDCA

Contexto legal y normativo

¿Por qué hablar de continuidad y riesgos?

Gran multitud de normas relacionadas con continuidad:

BS 25999: norma de referencia en continuidad de negocio hasta

la publicación de ISO 22301.

UNE 71599: normas española de continuidad de negocio:

traducción de la BS 25999.

BS 25777: buenas prácticas en continuidad TIC.

ISO 27031: directrices para la preparación de las TIC para la

continuidad de negocio.

ISO 27001 e ISO 20000 tienen requisitos de continuidad.

Contexto legal y normativo

¿Por qué hablar de continuidad y riesgos?

Desde el punto de vista legal también tenemos diversas referencias a la

continuidad de negocio:

Esquema Nacional de Seguridad: obliga a las AAPP con servicios

de administración electrónica a adoptar diferentes medidas de

continuidad de negocio, en función de los datos manejados.

Ley de Protección de Infraestructuras Críticas: obliga a aquellas

organizaciones (públicas o privadas) que hayan sido catalogadas

como críticas a adoptar planes de continuidad de negocio y de

gestión de la crisis.

PCI-DSS obliga a tener planes de continuidad de negocio y

recuperación ante desastres.

Contexto legal y normativo

¿Por qué hablar de continuidad y riesgos?

Para gestión del riesgo también hay regulaciones específicas para el

sector de BANCA Y SEGUROS:

Basilea III.

Solvencia 2.

Regulaciones sectoriales.

Regulaciones propias de cada país.

Etc.

Todas ellas obligan a realizar una gestión del riesgo eficaz.

Factores Críticos de Éxito en BCPs y GRs

Duda Habitual en la parte organizativa

¿Cuándo hacer el análisis de riesgos?, ¿antes o después del BIA?

BIA

AGR

Desarrollo planes

AGR

BIA

Desarrollo planes

Factores Críticos de Éxito en BCPs y GRs

RECOMENDACIÓN: partir de un mismo mapa de nuestros procesos y que

uno y otro proceso sean colaborativos.

BIA

AGR

Factores Críticos de Éxito en BCPs y GRs

¿Cómo relacionar BIA con AGR?

Podemos alimentar el BIA con escenarios de desastre basados en

resultados del AGR y con las valoraciones de impacto de cada riesgo.

En el AGR podemos valorar el impacto que tiene un incidente usando

criterios que hayamos usado previamente en el BIA.

LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos

procesos.

Factores Críticos de Éxito en BCPs y GRs

Hay que automatizar estos procesos!!!!!!!!!!!!

En el año 2012 no podemos seguir haciendo los análisis

de riesgos o los planes de continuidad de negocio en

herramientas ofimáticas.

Automatizar significa optimizar, y centrar nuestros

esfuerzos en el negocio.

BCPs y SCORECARD

PLANES DE CONTINUIDAD

&

GESTIÓN DEL RIESGO

&

CUADROS DE MANDO INTEGRALES

BCPs , GRs y SCORECARD

MÉTRICAS

INDICADORES

CSF

OBJETIVOS DE NEGOCIO

Obj. Cont. Y GR

Obj. P1

Indicador 1

Indicador 2

Obj. P2

Indicador 3

MétricaA MétricaB

BCPs, GRs y SCORECARD

¿Por qué un BSC con un BCP/GR?

• Plasmamos el funcionamiento de todo un plan de continuidad de

negocio en un cuadro de mando.

¿Qué conseguimos?

• Medir la eficacia y eficiencia del BCP.

• Mejorar el BCP.

• Tener una visión de negocio del BCP.

• Mayor control.

• Reporte a dirección.

La gestión del riesgo se incluye dentro del ScoreCard al estar

incluida dentro del proceso de continuidad de negocio.

Herramientas GlobalSuite

Introducción

GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de

Gestión basado en las normas ISO 27001, ISO 20000, BS 25999/UNE 71599, Esquema Nacional de

Seguridad (ENS), Ley de Protección de Datos (LOPD), etc. Ahora también con los requisitos para

ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de

Infraestructuras Críticas).

GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así

como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión

PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera

integrada con los anteriores o bien de manera separada.

GlobalSUITE : : Modelado de Procesos de Negocio

GlobalSUITE : : Modelado de Árbol de Activos

GlobalSUITE.:. Catálogos de Riesgos

GlobalSUITE.:. Análisis .:. Gestión de Riesgos

GlobalSUITE.:. Mapas y Reporting de Riesgos

GlobalSUITE . : : . BIA Y CONSOLIDACIÓN DE BIAs

GlobalSUITE . : : . Plan de Gestión de Incidentes

GlobalSUITE . : : . Plan de Continuidad

GlobalSUITE . : : . Activación del Plan de Continuidad

Más información

MADRID – BARCELONA – CIUDAD REAL

BOGOTÁ – MÉXICO D.F.

902 056 203 www.audisec.es

www.globalsuite.es