Maestría en Auditoria y Seguridad de Sistemas de InformaciónCURCE UASD

GRUPO 4:Melvin Brian JáquezVerenice JavierEmmanuel Ynoa

ISO 22301

Facilitador: Ing. Franklin Cruz

Escenario de situación

Cada día nuestra economía se está volviendo más compleja e interdependiente.

Los incidentes que ocurren en nuestro negocio o entorno pueden frenar o incluso paralizar nuestra actividad, impactando directamente en nuestros clientes y en los procesos críticos del negocio.

Esto es especialmente cierto en sectores como: TIC, administración pública, financiero e industrial.

Es esencial anticiparse a los eventos no deseados y diseñar e implantar planes de contingencia efectivos para mantener la actividad de su negocio sin importar qué pueda ocurrir.

¿Qué ha ocurrido recientemente los últimos años en el mundo?

¿Qué ha ocurrido recientemente los últimos años en el mundo?

¿Qué ha ocurrido recientemente los últimos años en el mundo?

Sistema de Gestión de la Continuidad del Negocio:Una parte integral de su Estrategia de Gestión de Riesgos

Un Sistema de Gestión de la Continuidad del Negocio (BCMS, en inglés) le permite revisar constantemente los riesgos de su negocio y el conocer el grado real de preparación para responder ante situaciones imprevistas, ayudándole a minimizar el impacto en el negocio de las posibles interrupciones:

Construyendo una cadena de suministro más resistente y fiable. Preservando y mejorando su imagen corporativa. Reduciendo los costes globales. Asegurando la gobernanza corporativa y cumplimiento con los requerimientos aplicables. Creando un clima de confianza con los empleados, proveedores, partes interesadas y

clientes.

ISO 22301 - Continuidad del Negocio

► ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.

► La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando.

ISO 22301 le ayudará a:

Establecer, implementar, mantener y mejorar sus BCMS, Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su

compromiso con las mejores prácticas reconocidas internacionalmente

Normas & Estandares

Evolución

Proceso de Transición

Ciclo de vida de un BCM,principales etapas:

• Comprender la organización• Definir la estrategia BCM• Desarrollar e implantar una

respuesta BCM• Probar, mantener y revisar

Mejores Prácticas

El comité directivo revisa anualmente el programa La alta gerencia es responsable del BCM La función de BCM abarca todos los aspectos de la empresa BCM es un proceso continuo y de administración de riesgo, para asegurarse

que negocio continúe operando aun en caso de que el riesgo se materialice. Política comprensible de respaldo de registros vitales. Existencia de estrategias de recuperación basadas en prioridades, momento e

impacto en la empresa (BIA) Existencia de un programa de concientización, capacitación, pruebas y

ejercicios El plan de continuidad debe estar actualizado y disponible Un programa de continuidad de negocios NO es un proyecto, NO es una tarea

de una sola vez, NO es por un periodo fijo de tiempo. Debe ser un programa permanente, vivo, consistente en varios proyectos interdependientes y reiterativos.

Ciclo Plan-Do-Check-Act (PDCA) al proceso de continuidad de Negocio

Practicas Profesionales - DRI (Disarter Recovery Institute International)

1. Inicio y Administración del Proyecto

2. Evaluación y Control de Riesgos

3. Análisis de Impacto al Negocio (BIA)

4. Selección y Desarrollo de Estrategias de Continuidad

5. Respuesta y Operaciones de Emergencia

6. Desarrollo e Implementación Planes de Continuidad

7. Programas de Concientización y Entrenamiento

8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad

9. Comunicación de Crisis

10.Coordinación con Autoridades Públicas

Planificación del Proyecto

Establecer la necesidad de la continuidad del negocio.

Comunicar la necesidad de un BCP. Comprometer la Alta Gerencia en los procesos de

BCP. Establecer el Comité de Proyecto. Identificar y ejecutar los requerimientos

presupuestales. Identificar los equipos de planificación y sus

responsabilidades Desarrollar y coordinar las actividades de

implementación del BCP. Dar respuesta a los requerimientos de la Gerencia

y de documentación de los procesos de BCP. Reportar y obtener aprobación del avance del

proyecto.

Evaluación de RiesgosObjetivos

• Entender las pérdidas potenciales

• Identificar la exposición de la organización a pérdidas potenciales

• Identificar controles y medidas para prevenir o mitigar el efecto de las pérdidas potenciales

- Protección física

- Protección lógica

- Localización de activos

• Evaluar, seleccionar y utilizar apropiadas metodologías y herramientas de análisis de riesgos

• Identificar e implementar las actividades de recolección de información

• Evaluar la efectividad de los controles y medidas

• Evaluación de riesgos y controles

- Escenarios de riesgo

• Seguridad

• Administración de registros vitales

Análisis de Impacto al NegocioConsiste en realizar una evaluación de los procesos

y sistemas del negocio, con el objetivo de identificar:

– Áreas, funciones y/o procesos sensibles a interrupciones

– Interdependencia entre procesos internos y externos

– Impactos financieros de las interrupciones

– Impactos Operacionales de las interrupciones

– Sistemas de información críticos para la operación

– Tiempos objetivo de recuperación (RTO)

– Puntos Objetivo de recuperación (RPO)

– Clientes y proveedores críticos de la organización

– Recursos necesarios para la recuperación de operaciones

– Épocas críticas para la operación del negocio

Desarrollo de Estrategias deContinuidad

1. Se desarrollan alternativas de estrategias para:

• Refinar los requerimientos mínimos para la recuperación.

• Incluyendo consideraciones para:

– RTO’s

– Capacidad del Sitio de Recuperación

– Requerimientos de comunicaciones (voz y datos)

– Viabilidad de recuperación de acuerdo al planteo del peor escenario

– Requerimientos de áreas de trabajo (espacio, equipos, insumos, archivos vitales, etc.)

– Requerimientos de recursos humanos

– Situación geográfica y de transporte.

Cont. Desarrollo de Estrategias deContinuidad

2. Identificar las alternativas viables para la recuperación:

• Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.)

• Recuperación interna

• Acuerdos recíprocos

• Procedimientos manuales

• Respuesta de reducción de servicios

• Suspensión de servicios

• Combinación de estrategias.

3. Seleccionar una estrategia de recuperación eficiente.

Desarrollo de Planes deContinuidad

–Identifique requerimientos para el desarrollo de los planes

– Definir requerimientos de control y administración de la continuidad

– Identifique y defina un formato y la estructura principal de los componentes de los planes

– Elabore un borrador de los planes

– Defina procedimientos de manejo de crisis y continuidad del negocio

– Defina las estrategias de evaluación de daños y reanudación

– Desarrolle una introducción general a los planes

– Desarrolle la documentación de los equipos de operación del negocio

– Desarrolle la documentación de los equipos de recuperación de tecnología informática

– Desarrolle el sistema de comunicaciones

– Desarrolle los planes de los usuarios finales de aplicaciones

– Implemente los planes

– Establezca los procedimientos de control y distribución de los planes

Diseñar, desarrollar e implementar planes de continuidad del negocio para proveer continuidad en los marcos establecidos por los RTO’S y RPO’S.

Ejercicios y Mantenimiento de losPlanes

– Establecer un programa de ejercicios (pruebas)

– Determinar requerimientos de los ejercicios

– Definir escenarios de desastre

– Establecer criterios de evaluación y documentar los hallazgos

– Crear un cronograma de ejercicios

– Crear un plan de control y reporte de los ejercicios

– Facilitar la realización de los ejercicios

– Reporte post-ejercicios

– Retroalimentar y monitorear los resultados de los ejercicios

– Definir un cronograma de mantenimiento de los planes

– Formular los procedimientos de control de cambios

– Establecer procedimientos para informar el estado de los planes

– Objetivos de auditoria

Planificar y coordinar el plan de ejercicios y evaluar y documentar losresultados de los mismos.

Concientización y Capacitación

Preparar un programa para crear y mantener conciencia corporativa y ampliar las habilidades requeridas para desarrollar e implementar el programa de Administración de la continuidad del negocio y sus procesos de soporte.

– Definir objetivos de concientización y entrenamiento

– Desarrollar e implementar varios tipos de programas de entrenamiento

– Desarrollar programas de concientización

– Identificar otras oportunidades de educación

Beneficios ISO 22301

Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:

Preservar los intereses de los accionistas. Mejorar el resultado operacional de la empresa:

Reducción de Riesgos, se traduce en una reducción de costes. reducción del tiempos de inactividad. mejora en la competitividad

Mayor eficacia operativa: Reingeniería de negocios Protección de los bienes materiales y el “Know How” del negocio Mejora en el cumplimiento de las legislaciones de Seguridad y Salud. Mejora de la Seguridad Global. Evita las acciones derivadas de la responsabilidad empresarial.

¿Porqué un plan de continuidad del Negocio?

La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización

Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para:

Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo

Analizar las interdependencias de nuestros procesos

Incluir los factores clave: Telecomunicaciones, infraestructuras etc.

Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados

¿Por qué se ha desarrollado una normativa internacional?

Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.

Ciclo de Vida de la Continuidad de Negocio:

Compatibilidad con otros sistemas de gestión

►ISO 22301 está alineada con ISO 27001, ISO 9001 e ISO 20000 con el objeto de facilitar la consistencia necesaria y permitir la sinergia en la implantación y operación del sistema de gestión.

►Esta norma ha sido diseñada para permitir a las organizaciones alinear e intregrar su Sistema de Gestión de la Continuidad del Negocio (BCMS) con los requisitos de los sistemas de gestión relacionados.

Gracias!

?