Embed Size (px)
DESCRIPTION
Cómo llevar a cabo el proceso de análisis de impacto en el negocio y el proceso de evaluación de riesgos de una forma integrada consiguiendo una importante reduccion de de tiempos gracias a GlobalCONTINUITY
Citation preview
Optimización de Tiempos con un enfoque integrado de BIAs y
Riesgos con GlobalCONTINUITY®GlobalSUITE® - www.globalsuite.es – [email protected]
• Quienes somos• Introducción• Antecedentes• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
• QUIENES SOMOS• Introducción• Antecedentes• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad y continuidad a los activos y procesos más importantes de sus clientes.
CONSULTORÍA
Seguridad de la Información, Continuidad de Negocio, Gestión de Servicios, Protección de Datos, Riesgos, etc.
PROYECTOS I+D+i
Armonización de estándares, creación de marcos de evaluación, optimización de software, etc.
QUIENES SOMOS
GlobalSUITE® única herramienta que existe actualmente en el mercado mundial que gestione ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier tipo de sistema de gestión.
GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo de sistema de gestión.
QUIENES SOMOS
• Quienes somos• INTRODUCCIÓN• Antecedentes• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
• BIA (Business Impact Analysis): Proceso de análisis de actividades y el efecto que una interrupción de negocio podría tener sobre ellas.
• RA (Risk Assessment): Proceso global de identificación de riesgos, análisis de riesgos y evaluación de riesgos.
• SGCN (Sistema de Gestión de Continuidad de Negocio): Parte del sistema general de gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad de Negocio.
INTRODUCCIÓN
Fuente ISO 22301
DEFINICIONES
INTRODUCCIÓN
LO QUE UN DÍA PUEDE OCURRIR
CUMPLIMIENTOS DE SLAs
CLIENTES SATISFECHOS
IMAGEN
CUMPLIMIENTO LEGAL
FUNCIONAMIENTO PROCESOS
INGRESOS
INTRODUCCIÓN
LO QUE UN DÍA PUEDE OCURRIR
Am
enaz
as
INTRODUCCIÓN
LO QUE UN DÍA PUEDE OCURRIR
INTRODUCCIÓN
LO QUE UN DÍA PUEDE OCURRIR
CUMPLIMIENTOS DE SLAs
CLIENTES SATISFECHOS
IMAGEN
CUMPLIMIENTO LEGAL
FUNCIONAMIENTO PROCESOS
INGRESOS
ESCENARIO DE DESASTRE
¿Qué procesos se han visto afectados?¿Cuáles son las consecuencias de lo ocurrido?
¿Qué hay que hacer?¿A dónde hay que ir?
¿Qué hay que recuperar?¿A quién hay que avisar?
¿Por qué no estábamos preparados?
INTRODUCCIÓN
¿QUÉ HACEMOS?
Se realiza una evaluación de los procesos de negocio con el objetivo de identificar:
• Áreas / Funciones / Procesos: Aquellos que puedan ser sensibles a interrupciones.
• Impactos: Se podrán evaluar desde un impacto operativo o financiero, hasta un impacto legal o en la imagen.
• RTO: Tiempo objetivo de recuperación del proceso.
• RPO: Punto objetivo de recuperación de la información del proceso.
• Clientes / Proveedores: Aquellos que resulten críticos para las operaciones de los procesos de negocio.
• Recursos recuperación: Todos los recursos con los que sería necesario contar para llevar a cabo la recuperación ante la situación de desastre.
• Periodos críticos: Momentos en los que el proceso de negocio resulta más crítico.
INTRODUCCIÓN
ANÁLISIS DE IMPACTO EN EL NEGOCIO
Se realiza una evaluación de los procesos del negocio con el objetivo de identificar:
• Riesgos: Producidos por la materialización de amenazas que derivan en la interrupción de la organización.
• Controles: Medidas que permitirán reducir la exposición de la organización a los riesgos identificados.
• Coste: Evaluar el coste de la implantación de los controles.
INTRODUCCIÓN
ANÁLISIS DE RIESGOS
• Quienes somos• Introducción• ANTECEDENTES• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
ANTECEDENTES
ANÁLISIS DE IMPACTO EN EL NEGOCIO Y ANÁLISIS DE RIESGOS
Análisis de Impacto
en el Negocio
Evaluación de Riesgos
Proceso de análisis de actividades y el efecto que una interrupción de negocio podría tener sobre ellas.
Proceso global de identificación de riesgos, análisis de riesgos y evaluación de riesgos.
ANTECEDENTES
¿QUÉ HACER PRIMERO?
BIA RA
1 21. Análisis de Impacto en el Negocio: Se identifican los PROCESOS CRÍTICOS del negocio a partir
de la valoración de distintos tipos de impacto.
2. Evaluación de Riesgos: Se identifican y evalúan los RIESGOS para los procesos críticos resultado de los BIA y que podrían dar lugar a interrupciones de dichos procesos.
ANTECEDENTES
¿QUÉ HACER PRIMERO?
BIA RA
2 11. Evaluación de Riesgos: Se identifican y evalúan los RIESGOS a los que están expuestos todos los
procesos de negocio.
2. Análisis de Impacto en el Negocio: Se analizan los impactos para los PROCESOS DE NEGOCIO con mayores posibilidades de interrupción por el volumen de riesgos identificados.
• Quienes somos• Introducción• Antecedentes• ENFOQUE INTEGRADO• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
ENFOQUE INTEGRADO
ANÁLISIS DE IMPACTO EN EL NEGOCIO Y ANÁLISIS DE RIESGOS
Análisis de Impacto
en el Negocio
Evaluación de Riesgos
Proceso de análisis de actividades y el efecto que una interrupción de negocio podría tener sobre ellas.
Proceso global de identificación de riesgos, análisis de riesgos y evaluación de riesgos.
ENFOQUE INTEGRADO
ANÁLISIS DE IMPACTO EN EL NEGOCIO Y ANÁLISIS DE RIESGOS
Enfoque Integrado de BIAs y Riesgos
Proceso INTEGRADO para el análisis de actividades, identificando el efecto que una interrupción podría tener sobre ellas y los riesgos que podrían dar lugar a estas interrupciones.
ENFOQUE INTEGRADO
¿QUÉ HACER PRIMERO?
BIAs con RA
Con la ejecución de un proceso integrado de BIAs y Riesgos obtendremos:
• Procesos de negocio: Los procesos de negocio más críticos de la organización.
• Riesgos procesos: Los riesgos a los que está expuesta la organización por cada uno de los procesos de negocio.
• MTPD: El periodo máximo de interrupción de cada uno de los procesos de negocio asociado a los riesgos que podrían incrementar dicho tiempo.
• Recursos críticos: Recursos necesarios para la recuperación de los procesos de negocio.
• Riesgos recursos: Riesgos derivados de los recursos existentes para la recuperación de los procesos de negocio.
• RTO: El tiempo objetivo de recuperación para cada proceso de negocio junto con los riesgos que podrían dar lugar al incumplimiento de este objetivo.
• RPO: El punto objetivo de recuperación para la información junto con los riesgos que podrían dar lugar al incumplimiento de este objetivo.
ENFOQUE INTEGRADO
EJECUCIÓN DEL ENFOQUE INTEGRADO
• Quienes somos• Introducción• Antecedentes• Enfoque Integrado• SUPUESTO PRÁCTICO• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
SUPUESTO PRÁCTICO
DESPLIEGUE DEL ANÁLISIS DE IMPACTO EN EL NEGOCIO
• Identificación de procesos.
• Identificación Responsables.
• Valoración de impactos en el tiempo.
• Identificación de recursos críticos.
• MTPD / RTO / RPO.
• Consolidación de información
TIEMPO: 2 meses
SUPUESTO PRÁCTICO
DESPLIEGUE DE LA EVALUACIÓN DE RIESGOS
• Identificación de activos/recursos.
• Identificación responsables.
• Identificación de amenazas.
• Valoración de probabilidades e impactos.
• Consolidación de información
TIEMPO: 1 MES
SUPUESTO PRÁCTICO
RESULTADO DESPLIEGUE SEPARADO
EJECUCIÓN BIAs
ESCENARIOS DE DESASTRE
EVALUACIÓN DE RIESGOS
ESTRATEGIAS
RIESGOS
CONTROLES
SUPUESTO PRÁCTICO
DESPLIEGUE PROCESO INTEGRADO BIAs Y RIESGOS
• Identificación de procesos, recursos y activos.
• Identificación de responsables.
• Valoración de impactos en el tiempo, de probabilidad de ocurrencia de amenazas e impacto de dichas amenazas.
• MTPD / RTO / RPO.
• Consolidación de información
TIEMPO: 2 meses
SUPUESTO PRÁCTICO
RESULTADO PROCESO INTEGRADO DE BIAs Y RIESGOS
EJECUCIÓN DE BIAs Y RA INTEGRADO
ESCENARIOS DE DESASTRE ASOCIADOS CON RIESGOS
DESARROLLO DE ESTRATEGIAS ALINEADO AL PLAN DE TRATAMIENTO DE RIESGOS
• Quienes somos• Introducción• Antecedentes• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• Conclusiones
AGENDA
GlobalCONTINUITY® es la herramienta web que facilita la implantación, gestión, mantenimiento y despliegue de Sistemas de Gestión de Continuidad de Negocio conforme a la norma ISO 22301.
GlobalCONTINUITY® está integrada dentro de la plataforma GlobalSUITE® lo cual facilita la integración con otros sistemas como Seguridad de la Información, Gestión de Servicios, Gestión de Riesgos y Análisis de Cumplimiento.
GlobalCONTINUITY® permite ejecutar los BIAs, analizar los Riesgos, gestionar la Crisis, desplegar los DRPs, ejecutar Pruebas, etc.
ENFOQUE INTEGRADO CON GlobalCONTINUITY®
¿QUÉ ES GlobalCONTINUITY®?
GlobalCONTINUITY® ha sido creada precisamente para optimizar los tiempos tanto en el desarrollo y ejecución de las actividades que conlleva mantener un Sistema de Gestión de Continuidad de Negocio, como en la práctica cuando es necesario activar una situación de crisis o desastre.
El enfoque integrado de BIAs y Riesgos que ofrece la solución de GlobalCONTINUITY® permite a las organizaciones un importante ahorro de tiempo a la hora de ejecutar estas actividades lo que se traduce en un importante ahorro de costes para la organización a la hora de mantener estos sistemas.
ENFOQUE INTEGRADO CON GlobalCONTINUITY®
¿GlobalCONTINUITY® PERMITE ESTE ENFOQUE INTEGRADO DE BIAs Y RIESGOS?
ENFOQUE INTEGRADO CON GlobalCONTINUITY®
DESPLIEGUE PROCESO INTEGRADO BIAs Y RIESGOS EN GlobalCONTINUITY®
• Proceso Integrado de BIAs y Riesgos
• Despliegue de encuestas
• Consolidación de información automático e inmediato
TIEMPO: 2 SEMANAS
ENFOQUE INTEGRADO CON GlobalCONTINUITY®
PROCESO INTEGRADO
DE BIAs Y RIESGOS
ESCENARIOS DE DESASTRE
Y ESTRATEGIAS
GESTIÓN DE LA CRISIS Y
ACTIVACIÓN DE LOS DRPs
EJECUCIÓN DE PRUEBAS
ENFOQUE INTEGRADO con GlobalCONTINUITY®
PROCESO INTEGRADO
DE BIAs Y RIESGOS
ESCENARIOS DE DESASTRE
Y ESTRATEGIAS
GESTIÓN DE LA CRISIS Y
ACTIVACIÓN DE LOS DRPs
EJECUCIÓN DE PRUEBAS
• Quienes somos• Introducción• Antecedentes• Enfoque Integrado• Supuesto Práctico• Enfoque Integrado con GlobalCONTINUITY®• CONCLUSIONES
AGENDA
• Inconsistencia de información.
• Redundancia en algunos aspectos de la ejecución.
• Mayor inversión de tiempo tanto del entrevistador como del entrevistado.
• Consolidación de información más compleja.
• Mayor separación entre departamentos de la organización.
• Resultados menos fiables para la dirección.
CONCLUSIONES
POSIBLES INCONVENIENTES DE LA GESTIÓN POR SEPARADO
• Información 100% consistente.
• Simplificación en la consolidación de la información.
• Mayor integración entre las distintas áreas de la organización.
• Aumento de la madurez de la organización en la gestión de la continuidad de negocio.
• Reducción considerable de los tiempos de ejecución.
CONCLUSIONES
VENTAJAS DE LA GESTIÓN INTEGRADA
Como parte del Proceso de Gestión de la Continuidad de Negocio es importante llevar a cabo tanto la realización de los BIAs como la realización del RA.Los datos de cada una de estas actividades son únicos pero la combinación de ambos permite a las organizaciones tomar decisiones inteligentes de una forma efectiva sin dar importancia sobre cual de las dos actividades realizar primero.Con una gestión integrada las organizaciones consiguen un ahorro importante de tiempo en la ejecución de estas actividades además de obtener resultados reales que mejorarán la eficacia de la organización.
Al utilizar GlobalCONTINUITY® las organizaciones estarán mejor preparadas para hacer frente a las situaciones de desastre que pudieran presentarse.
CONCLUSIONES
GlobalSUITE® - www.globalsuite.es – [email protected]
