problemática planes continuidad de negocio; audisec

PLANES DE CONTINUIDAD DE NEGOCIO

GlobalCONTINUITY®

Audisec: Quienes somos

AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en

el tratamiento de su activo más importante, sus datos, su información

Experiencia en Consultoría, Implantación y auditoría de:

• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001

(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Sistemas de Gestión de Servicios TI Norma ISO 20000

(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Planes de continuidad de Negocio BS 25999/ISO 22301

•Sistemas de gestión para Protección de Infraestructuras Críticas

•Calidad de Software, CMMI, SPICE

•Sistemas de protección de datos de carácter personal (LOPD)

•Esquema Nacional de Seguridad (ENS)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios: GlobalSUITE

Audisec: Dónde estamos

AUDISEC Seguridad de la Información, tiene enfoque internacional y actualmente se

encuentra operando en los principales países de Latinoamérica, Norteamérica y Europa.

GlobalSUITE: Solución integrada

GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que gestiona

ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier

tipo de sistema de gestión

GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo

de sistema de gestión

GlobalSuite: Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS:

Herramienta para la gestión y

mantenimiento de sistemas de calidad y

medioambiente (ISO 9001 e ISO 14001)

Herramienta para gestionar sistemas de

gestión de Seguridad de la Información

(ISO 27001)

Para empresas TI Global 20000 permite la

gestión de sistemas de gestión de sus

servicios TI ( ISO 20000)

Esta herramienta permite gestionar la

continuidad de negocio bajo la norma

ISO22301 / BS25999


HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL

aprovechando el motor de AGR avanzado de

GlobalSGSI, nos permite analizar y gestionar riesgos,

de cualquier tipo (Financieros, legales, operacionales,

etc.) con cualquier metodología de análisis, y

pudiendo personalizar los catálogos de amenazas,

vulnerabilidades, controles, etc

CUMPLIMIENTO LEGAL Y NORMATIVO

Gracias a los módulos GAP ANALYSIS y AUDITORÍA se

pueden cargar esquemas de leyes, normas o

estándares y realizar un análisis diferencial contra el

esquema deseado para que luego GlobalCOMPLIANCE

genere automáticamente el plan de adecuación

BALANCED SCORECARD (BSC) Herramienta para la

implantación y mantenimiento diario de un Cuadro de

Mandos Integral (CMI) que además ayuda al

mantenimiento de cualquier sistema de gestión (9001,

14001, 27001, etc.)


HERRAMIENTAS INTEGRADAS:

Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la

legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose

con el resto de sistemas o de manera aislada)

Herramienta para que empresas privadas y

administraciones públicas puedan adecuarse a la

Ley de Protección de Datos

Herramienta para la adecuación del Esquema

Nacional de Seguridad, obligatorio para

Administraciones Públicas

Herramienta para la Implantación de Sistemas para

la Gestión de la Protección de Infraestructuras

Críticas

Audisec: Planes de Continuidad de Negocio


Visión General


ISO 22301, el estándar internacional para la implantación de

sistemas de gestión de continuidad de negocio.


22301

SGCN ENS

PCI

27001

27031

PIC

25777

20000

Contexto legal y normativo


Cuestiones Técnicas

Cuestiones Organizativas

Sistema de Gestión


SGCN

BCP1

DRP1 DRP2 DRP3

BCP2

DRP1


RRHH

ORGANIZATIVA

TÉCNICA

VUELTA NORMALIDAD


El 81% de las grandes organizaciones españolas han emprendido

actividades encaminadas a desarrollar e implementar planes de

continuidad de negocio.

¿Buen dato?, redactado de otro modo NO LO ES:

Una quinta parte de las grandes organizaciones españolas NO han

hecho absolutamente nada en relación a la continuidad de su negocio.


Hay que diferenciar entre Continuidad de Negocio y Recuperación ante

desastres.

Continuidad de negocio: tras una fase previa de análisis y a través de

una serie de acciones planificadas, probadas y mantenidas a lo largo

del tiempo, trata de minimizar el impacto de un incidente en las

actividades críticas de la organización, intentando que estén paradas el

menor tiempo posible, que haya el mínimo de efectos colaterales

posibles y que en consecuencia los costes asociados a ocurrencia del

incidente no pongan en peligro la viabilidad de la organización.


Hay que diferenciar entre Continuidad de Negocio y Recuperación ante

desastres.

Recuperación ante desastres: no tiene como punto de partida el

“negocio” ni suele haber fases de análisis de la organización. Se centra

en recuperar áreas concretas de una organización en un tiempo

pactado. Los planes de continuidad de negocio suelen incluir varios

planes de recuperación ante desastres.



Problemática


BIAs

RTOs

Personas

Árboles de llamada

Crisis

Comunicación

CPD

Riesgos


Problemática

Demasiadas personas a coordinar

Demasiados sistemas de información

Complejidad técnica de las tareas

Toma de decisiones muy lenta

Poca mantenibilidad de los planes de

continuidad y de recuperación ante

desastres -> información obsoleta

Herramientas complejas

Gestión documental obsoleta


RRHH

ORGANIZATIVA

TÉCNICA

VUELTA NORMALIDAD


Consecuencias

Excesiva dedicación de recursos humanos

a estas tareas -> aumento del coste

Excesiva dedicación de recursos técnicos

-> aumento del coste

Planes de continuidad obsoletos

Planes de recuperación ante desastres

que no funcionan

Se alarga el tiempo de ejecución de estos

proyectos


Consecuencias

Excesiva dedicación de recursos humanos

a estas tareas -> aumento del coste

Excesiva dedicación de recursos técnicos -

> aumento del coste

Planes de continuidad obsoletos

Planes de recuperación ante desastres que

no funcionan

Se alarga el tiempo de ejecución de estos

proyectos

Necesidades Negocio Planes de

Continuidad

costes



Solución propuesta


Identificar todas las actividades de

negocio

PRE-BIA para ver las más críticas

Identificar procesos de soporte a esas

actividades

Modelar dependencias entre

actividades y procesos

BIA a los procesos

Análisis de riesgos

MTPDs, RTOs y RPOs

Estrategias y opciones

Desarrollo

Cuadro de mando

Pruebas

Mantenimiento

Estructurar el proyecto de manera natural


Herramientas: GlobalCONTINUITY

Características generales

Objetivos de Continuidad Actas de reunión Gestión Documentación Cuadro de mando

Gestión de usuarios Gestión del Proyecto Funciones y Obligaciones Gestión de empleados

Análisis de Impacto en el Negocio

Cuestionarios guiados para los BIAs BIAs automáticos Consolidación de BIAs Cálculo MTPD, RTO y RPO

Análisis y Gestión de Riesgos

Inventario de activos Análisis de riesgos Gestión de riesgos Históricos e informes

Catálogos de riesgos Retorno de inversión Simulación de riesgos

Planes de Continuidad

Escenarios de desastre Planes de continuidad y recuperación ante desastres Despliegue automático de los planes Cuadros de mando y seguimiento del despliegue


Interfaz muy sencilla


Inicio y GAPs Analysis


BIAs, encuestas y consolidación de BIAs


BIAs



BIAs BIAs BIAs BIAs BIAs

BIA CONSOLIDADO



Riesgos de continuidad de negocio


Planes de Continuidad de Negocio

Comités de decisión

Planes de Gestión de Incidentes

Escenarios de desastre

Planes de continuidad

Planes de recuperación

Tareas

Subtareas

Alertas


Activación de un plan: ocurre el incidente


Activación de un plan: GlobalCONTINUITY convoca el comité


Activación de un plan: se decide activar uno u otro plan


Activación de un plan: se manda a cada responsable de cada tarea

toda la información relevante que necesita


Planes de Prueba


Cuadros de Mando de Continuidad


Cuadros de Mando de Continuidad

MÉTRICAS

INDICADORES

CSF

OBJETIVOS DE NEGOCIO

Obj. Cont.

Obj. Plan1

Indicador Cont.1

Indicador Cont.2

Obj. Plan2

Indicador Cont.3

MétricaA MétricaB

Gracias por su atención!

Q&A

MADRID CIUDAD REAL

www.globalsuite.es

BOGOTÁ MÉXICO DF

problemática planes continuidad de negocio; audisec

Technology