presentación irbc basado en iso 27031:2011 e iso 22301:2012 · 2018-11-02 · fuente:horizon scan...
TRANSCRIPT
Presentación IRBC basado en ISO 27031:2011 e ISO
22301:2012
ICT readiness for business continuity.
Sisteseg Consulting
INTRODUCCIÓN
IRBC
■ Capacidad de una entidad para soportar sus operaciones denegocio mediante la prevención, detección y respuesta a unainterrupción así como la recuperación de sus servicios deICTTIC
■ ICT: Information and communication technology.
■ TIC: Tecnologías de información y comunicaciones.■ IRBC: ICT readiness for business continuity.
Inundaciones
Fuente: RCN Noticias
Mapa sísmico Bogotá
Fuente: INGEOMINAS
Falla de potencia
Fuente: Siemens
Algunos comentarios…
– …Nosotros somos inmunes a desastres
– …Eso nunca pasará aquí– …Nosotros tenemos una póliza de
seguros, eso es suficiente– …Nosotros nunca hemos tenido
problemas antes– Somos ISO 9001– Mi negocio es vender, no analizar
riesgos– Contamos con sistemas de alta
disponibilidad– El otro año….
Estadísticas
Fuente:Horizon Scan Report 2016
ObjetivosProcedimientos
para interrupciones
Identificar sistemas críticos
Tiempos de recuperación
Funcionalidad mínima
Sensibilización
Pruebas
La organización
Recursos
Falla en recursos
Integración IRBC y BCM
Planes adicionales (Business Continuity Management)
BCM
Plan de Recuperación
ante Desastres
Plan de comunicación
de crisis
Plan de evacuación por edificio
Respuestas aciber-
incidentes
Planes de contingencia
Nivel de madurez
Leadership VL L M H H HBC Awareness
BC Program StructureProgram Pervasiveness
MetricsResource Commitment
External Coordination
VL L L M H HVL L L M H H
VL L L M H HVL L M H H HVL L M M H HVL L L L M H
Corporate Competencies General Attributes of an Organization at Each Maturity Level
BC Program Content VL L M H H H
Maturity Model LevelsLevel 1
Self-GovernedLevel 6Synergistic
Level 5PlannedGrowth
Level 4EnterpriseAwakening
Level 3CentrallyGoverned
Level 2Supported
Self-Governed
Athlete AnalogyComparative Model
Able to Crawl Competitive Runner Olympic Runner“Fit” Runner”Able to RunAble to Walk
Organization “At Risk” “Competent” Performer “Best of Breed”
Increasing Business Continuity Competency Maturity
Fuente:BCI
Principios y elementos del IRBC
Principios del IRBC ISO 27031:2011
Prevención Detección Respuesta
Recuperación Mejora
Elementos del IRBC
Tecnologías Facilidades Personas
Información Procesos Proveedores
Ciclo PHVA del IRBC
Principios del IRBC (Mintic)
Fuente: MinTic
Análisis de impacto al negocio BIA (Business Impact Analysis)
Tipos de BIA
Tipos de BIA Definición
BIA Estratégico
Identifica y prioriza los productos y servicios másurgentes y determina los tiempos de recuperación y elimpacto a la disrupción desde un punto de vistaestratégico.
BIA tácticoSe determinan los procesos requeridos para la entregade los productos y servicios críticos y se analizan losimpactos por interrupciones.
BIA operacionalSe identifican y se priorizan las actividades en losprocesos determinados como críticos y se determinanlos recursos requeridos.
Actividades BIA según ISO 22317
■ Lograr el entendimiento de la organización, sus productos, procesos yservicios críticos
■ Identificar las actividades que soportan los productos y servicioscríticos
■ Evaluar el impacto sobre el tiempo de no ofrecer los productos,procesos y servicios críticos
■ Definir los tiempos de recuperación de estas actividades■ Identificar dependencias y recursos, incluyendo proveedores, socios
de negocio y partes interesadas
Tiempos de recuperación
RPO RTORecuperación del Sistema WRT
MTPD
Operación normal
Operación normal
Ultimo Back up
Caída del sistema
Recuperación
Recuperación de información, pruebas y verificaciones
Disrupción
Definición de requerimientos de continuidad
Falla Internet
Fallas en la BD
Ausencia de personal Perdida de
rendimiento del servidor
crítico
Falla en proveedores
Escenarios de riesgo
Definición de estrategias para el IRBC
Datacenter alterno o sitio en la nube
Plan de Recuperación de Desastres DRP
DRP
■ El Plan de recuperación ante Desastres tiene como finalidad proteger la plataformatecnológica y restaurar la operación de los sistemas de información, aplicaciones ybases de datos que soportan los procesos misionales.
Escenarios de Desastres
■ Incendio
■ Sismo
■ Atentados terroristas
■ Artefactos explosivos
■ Robos
■ Ausencia de suministro eléctrico prolongado
■ Ataques cibernéticos
Árbol de llamadas
■ En caso de presentarse un desastre que active el DRP, y teniendo en cuenta que lascomunicaciones son fundamentales en la mitigación del impacto, el Líder IRBC tiene bajo suresponsabilidad contactar a los funcionarios designados como parte de los equipos.
■ A través de los medios de comunicación disponibles.
■ Datos de contacto.
Notificación, evaluación y activación del DRP (Plan de Respuesta TIC y Recuperación)
Inicio Declaración de emergencia
Compras y adquisiciones
Configuración sitio en la
nube
Puesta en marcha sitio en la nube
Pruebas Puesta en producción Restauración
Operación normalizada
Cierre del Evento
Manejo de Crisis
■ Con el fin de manejar la crisis al activar el DRP, se deben realizar actividades para mitigar laafectación de la imagen, reputación y operación.
■ Informe a Dirección general
■ Incidente y diagnostico
■ Tiempo estimado de solución
■ Informar periódicamente, de forma exacta y veraz
■ Interesados internos y externos
■ Monitoreo permanente y actualización
Pruebas, Mantenimiento de la Guía DRP y Revisión
■ El objetivo de los escenarios de pruebas es asegurar la viabilidad de las soluciones descritas ysu puesta en marcha ante la crisis
■ Escritorio, parciales y totales, mínimo una vez al año
■ El DRP debe ser revisado dos veces al año con los líderes y una vez al año con directivos.Actualizado mínimo una vez al año.
■ Capacitación 1 vez al año
Resiliencia
Resiliencia
Continuidad de Negocio
Alta Disponibilidad
Infraestructura resistente a fallos para el servicio
continuo de aplicaciones
Operación Continua
Backups no disruptivos y ventanas de
mantenimiento mínimas, asegurando
disponibilidad continua de aplicaciones
Recuperación ante Desastres
Protección contra eventos no
planificados de forma fiable y predictiva
Beneficios del IRBC
BeneficiosConfiabilidad
Mejor clima organizacional
Disminución de costo en pólizas
Cumplimiento de regulaciones
Gobierno del riesgo
Permanencia de la entidad
Procesos más seguros
Conclusiones
Conclusiones
■ El IRBC debe ser parte de la estrategia integral del BCM■ La gestión de riesgos debe complementar el IRBC■ La seguridad de la información se complementa con el IRBC■ El IRBC debe ser mejorado de manera continua■ Se requiere apoyo de alto nivel■ La resiliencia y la alta disponibilidad ayudan a la efectividad y
eficiencia del IRBC■ El IRBC debe ser actualizado al menos una vez al año o cuando
existan cambios trascendentales a los procesos o a lainfraestructura tecnológica.
Bibliografía
■ Business Continuity Institute (2013) Good Practice Guidelines: A guide to global goodpractice in business continuity, Business Continuity Institute, Caversham.
■ Disaster Recovery Institute International (DRII) (2012) Professional Practices forBusiness Continuity Practitioners, DRII, New York.
■ ISO 22301 (2012) – Societal security – Business continuity management systems –Requirements
■ ISO 22301 (2012) – Societal security – Business continuity management systems –Guidance
■ ISO 22301 (2012) – Societal security – Terminology■ ISO 27031 (2011) Guidelines for information and communication technology
readiness for business continuity.■ Guía para la preparación de las TIC para la continuidad del negocio (Mintic)■ ISO 22317 (2014) Business Impact Analysis