01/04/2020 © Manuel Carpio 1

CONFERENCIA:

“La continuidad de negocio”

Por: Manuel Carpio Cámara

01/04/2020 © Manuel Carpio 2

SUMARIO

TERMINOLOGÍARESPONSABILIDADESESCENARIOSESTÁNDARESREQUISITOS MÍNIMOSINTERDEPENDENCIAS

ISO 22301:2019SISTEMA CORPORATIVO DE GESTIÓN DE LA CONTINUIDAD (GCSGCN)• ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)• PLAN DE CONTINUIDAD DE NEGOCIO (PCN)• GESTIÓN DE CRISIS• PROCEDIMIENTOS DE GESTIÓN DE CRISIS Y CONTINUIDAD• PLAN DE FORMACIÓN Y PLAN DE PRUEBAS• MÉTRICAS Y PLAN DE MEJORA

PROYECTO TIPOFACTORES CLAVE DE ÉXITO

Incidente

Evento Incidencia Parada

Contingencia

Desastre

Continuidad

Resiliencia

Crisis

“Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido”

“Posible evento futuro, condición o eventualidad”

“Evento, ya sea anticipado (por ejemplo, una huelga laboral o huracán) o no anticipado (por ejemplo, un apagón o un terremoto), que causa una desviación negativa no planificada de la entrega esperada de productos o servicios de acuerdo con la organización objetivos ”“Cuestión distinta de la

principal en un proceso”

”Ocurrencia o cambio de un conjunto particular de circunstancias”

“Situación en la que se han producido pérdidas humanas, materiales, económicas o medioambientales generalizadas que superaron la capacidad de la organización afectada , la comunidad o la sociedad para responder y recuperarse utilizando sus propios recursos”“Parte de la advertencia pública que

capta la atención de los socorristas y las personas en riesgo en una situación de emergencia en desarrollo”

“Capacidad estratégica y táctica, preaprobadapor la gerencia, de una organización para planificar y responder a condiciones, situaciones y eventos para continuar las operaciones a un nivel predefinido aceptable”

“Condición inestable que implica un cambio abrupto o significativo inminente que requiere atención y acción urgentes para proteger la vida, los activos, la propiedad o el medio ambiente”

Alerta

“Situación que puede ser, o podría conducir a, una interrupción), pérdida, emergencia o crisis”

ISO 22300:2018(en) Security and resilience — Vocabulary

Por un clavo se perdió la herraduraPor la herradura se perdió el caballoPor el caballo se perdió la batallaPor la batalla se perdió la guerraPor la guerra se perdió el Reino

TERMINOLOGÍA

Disrupción

Desastres Naturales

Incidentes en infraestructuras empresariales

Ataques terroristasSeptiembre 2001

Huracán KatrynaNueva Orleans Agosto 2005

Fallo sistemas TI BA Agosto 2019

01/04/2020 © Manuel Carpio 4

RESPONSABILIDADES

Eyjafjallajökull Islandia Abril 2010

▪ 5.000 edificios afectados, entre ellos 700

escuelas, 200 hospitales y 100.000 viviendas

▪ 1.200 personas heridas

▪ 200.000 km2 de cristales rotos

▪ 24.000 trabajadores de servicios de

emergencia movilizados

▪ 13 de julio 2012, 2h 04m 51s

▪ Diámetro 1m

▪ Peso 2 Tn

▪ Velocidad 90.000 Km/h

▪ Altitud 40Km

Meteorito de Cheliabinsk

Rusia, Febrero 2013

01/04/2020 © Manuel Carpio 5

RESPONSABILIDADES

Riesgo de supervivencia de:

Categoría I

Categoría II

Categoría III

Escenariosaltamente catastróficos

EscenariosExtinción

Res

po

nsa

bili

dad

de

las

inve

rsio

nes

par

aga

ran

tiza

r o

bje

tivo

s d

e re

silie

nci

a m

ínim

a

Org

aniz

ació

nG

rup

o s

ecto

rial

Go

bie

rno

País

esPo

ten

cias

?

A proposal for categorization of responsibilitiesin prevention of business continuity crisis scenarios

Organización Sector Cadena suministro Nación Área económica Humanos

Fuente:

“Instituciones Financieras Críticas: Escenarios de Continuidad de Negocios y su coste”. César Pérez-Chirinos. European CIIP Newsletter. August-September 2009

Alcance de la Directiva CIIP

2008/114

COVID-19

Katrina

11-S

Eyjafjallajökull (volcán)

BritishAirways

Alcance de Basilea II

RESPONSABILIDADES

01/04/2020 © Manuel Carpio 7

RESPONSABILIDADES

Infraestructuras críticas

Contingenciatecnológica

Continuidad de negocio

Datos

Sistemas

Redes InfraestructurasRedes

Personas

Servicios de soporte

Instalaciones

Procesos de negocio

ServiciosFinales

Relaciones oficiales

01/04/2020 © Manuel Carpio 8

RESPONSABILIDADES

Indisponibilidad de Capital Humano

1. 2.

3. 4.Indisponibilidad de Suministros Críticos

Indisponibilidad de Sistemas de Información

Inaccesibilidad al centro de trabajo e inhabitabilidad (total o parcial)

01/04/2020 © Manuel Carpio 9

ESCENARIOS

Nª ORDEN SERIE CATEGORÍA TIPO

ISO 22301 Security and resilience Business continuity management systems Requirements

ISO 22313 Security and resilience Business continuity management systems Guidance on the use of ISO 22301

ISO/TS 22330 Security and resilience Business continuity management systems Guidelines for people aspects of business continuity

ISO/TS 22331 Security and resilience Business continuity management systems Guidelines for business continuity strategy

ISO/TS 22317 Societal security Business continuity management systems Guidelines for business impact analysis (BIA)

ISO/TS 22318 Societal security Business continuity management systems Guidelines for supply chain continuity

ISO 22398 Societal security Guidelines for exercises

ISO/IEC 27002 Information technology Security techniques Code of practice for information security controls

ISO/IEC 27031 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity

ISO 31000 Risk management Guidelines

01/04/2020 © Manuel Carpio 10

ESTÁNDARES

01/04/2020 © Manuel Carpio 11

ESTÁNDARES

1995 2000 2005 2010 2015 2020

NFPA 1600 NFPA 1600

BS 7799

ISO 27001

DRII Prácticas Profesionales

para BCM

BCI PAS 56

BS 25999-1-2

BCI BCLM

Bank forInternational Settlement

Basilea II

ANSI/ASIS Organizational

resilience

BCI PAS 200

ISO 27031

ISO 22301

ISO 22398

ISO 27320 ISO 22318

ISO 22317

PSO/PPE Contenidos

mínimos

ISO 22301

ENISA OES MSR

DRII Terminología

SECURITY SUB-DOMAIN

SECURITYMEASURE

DESCRIPTION ISO 27001 NIST CSFISA/IEC 62443

Continuity of operations

Disaster recovery management

In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding disaster recovery management, in case of a severe IT security incident.

A.17.2 Redundancies

ID.BE-5PR.PT-5PR.IP-9, 10PR.DS-4RC.IM-1, 2RC.RP-1

SR 5.2SR 7.1SR 7.2

Crisis management

Crisis management organisation

The operator defines in its ISSP the organization for crisis management in case of IT security incidents and the continuity of organization’s activities.

5.3 Organizational roles, responsibilities and authoritiesA.6.1.1 Information security roles and responsibilitiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity

PR.DS-4PR.IP-10ID.BE-5

SR 3.3SR 7.1SR 7.2

Crisis management

Crisis management organization

5.3 Organizational roles, responsibilities and authoritiesA.6.1.1 Information security roles and responsibilitiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity

PR.DS-4PR.IP-10ID.BE-5

SR 3.3SR 7.1SR 7.2

Continuity of operations

Business continuity management

In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding business continuity management, in case of IT security incident.

9.3 Management review10.2 Continual improvementA.5.1.2 Review of the policies for information securityA.11.2.4 Equipment maintenanceA.17.1 Information security continuityA.17.2 Redundancies

ID.RM-1, 2, 3RP.IP-4, 7, 9, 10RS.IM- 2RC.IM-1, 2RC.RP-1RC.CO-1,2,3PR.PT-5PR.DS-4ID.BE-5ID.SC-5

SR 2.8SR 3.3SR 5.2SR.6.1SR 7.1,SR 7.2SR 7.3SR 7.4

Crisis management

Crisis managementprocess

The operator defines in its ISSP the processes for crisis management which the crisis management organization will implement in case of IT security incidents and the continuity of an organization’s activities.

7.4 Communication9.3 Management review10.2 Continual improvementA.5.1.2 Review of the policies for information securityA.6.1.3 Contact with authoritiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity

RC.CO-1, 2, 3RC.RP-1RS.IM-1, 2ID.SC-5PR.IP-4, 9, 10PR.PT-5

SR 2.8SR 3.3SR.6.1SR 7.1SR 7.2SR 7.3SR 7.4

01/04/2020 © Manuel Carpio 12

REQUISITOS MÍNIMOS

Electricidad

Finanzas

Comunicaciones

Transportes

País 1

País 2

País 3

01/04/2020 © Manuel Carpio 13

INTERDEPENDENCIAS

PLAN

DOCHECK

ACT

01/04/2020 © Manuel Carpio 14

ISO 22301:2019

0h<T<6h 6h<T<12h 12h<T<24h 24h<T<48h 48h<T<96h >96h

Intervalo 32 16 8 4 2 1

Valoración 0 1 1 3 3 4

Económico -- 1 1 3 3 4

Legal -- -- -- 2 2 3

Estratégico -- -- -- -- -- 2

Externo 2 2 3 3 4 1

Reputación -- 2 2 3 3 4

𝑉𝑇𝐼(𝑖) = ∑( 10𝑉𝑎𝑙𝑜𝑟𝑎𝑐𝑖ó𝑛𝑖 × 𝐼𝑛𝑡𝑒𝑟𝑣𝑎𝑙𝑜𝑖)

= 16.272

= 1.656

= 72

= 136.800

=18.432

63 <= VTI <= 6.300.000

𝑉𝑇𝐼𝑒 =𝑉𝑇𝐼(𝑖) − 𝑣𝑡𝑖𝑚

𝑣𝑡𝑖𝑀 − 𝑣𝑡𝑖𝑚+ 𝑣𝑡𝑖𝑒𝑚

McorrVI Financiero Legal Estratégico Externo Reputación

Financiero 1 0,5 0,75 0,5 0,5

Legal 0,5 1 0,25 0,25 0,5

Estratégico 0,75 0,25 1 0,1 0,25

Externo 0,5 0,25 0,1 1 0,75

Reputación 0,5 0,5 0,25 0,75 1

vtim vtiM vtiem

63 630 0

630 6.300 1

6.300 63.000 2

63.000 630.000 3

630.000 6.300.000 4

6.300.000 + 5

VTIe = Valor Tipo de Impacto EscaladoVTI = Valor Tipo Impactovtim = valor mínimo del intervalo al que corresponde VTIvtiM = valor máximo del intervalo al que corresponde VTIvtiem = valor mínimo del intervalo al que corresponde VTIe

→ 2,176

→ 1,181

→ 0,016

→ 3,130

→ 2,214

𝑉𝑇𝐼(𝑖) 𝑽𝑻𝑰𝒆

𝑉𝐼 𝑃 = 𝑉𝑇𝐼𝑒 ·1 ⋯ 0,5⋮ ⋱ ⋮0,5 ⋯ 1

· 𝑉𝑇𝐼𝑒𝑇

VI = Valoración del ImpactoP = Proceso que se está valorandoVTIe = Vector de valoraciones de tipo de impacto escalado del proceso PMCorrVI = Matriz de correlación de tipos de impacto

= 7,069

01/04/2020 © Manuel Carpio 15

ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)

Actividad Crítica M

Actividad Crítica 1

Centro

Alternativo

Localización y acondicionamiento de Centros Alternativos y

establecimiento de procedimientos de Acceso Remoto para poder

ejecutar las Actividades de Negocio Críticas en caso de contingencia

5

Hogares personal

crítico

Personal crítico

remoto

Personal crítico

físico

Centro de trabajo

01/04/2020 © Manuel Carpio 16

PLAN DE CONTINUIDAD DE NEGOCIO (PCN)

Actividad Crítica M

Actividad Crítica 1

Definición de los Procedimientos de

Gestión de Crisis

6

Centro

Alternativo

Personal No Crítico

Hogares

personal

crítico

Centro de trabajo

01/04/2020 © Manuel Carpio 17

PLAN DE CONTINUIDAD DE NEGOCIO (PCN)

Alerta EvaluaciónDeclaración

Contingencia

Indisponibilidad de Infraestructuras

Indisponibilidad Tecnológica

Indisponibilidad de Proveedores Críticos.

Indisponibilidad de Personas

Monitorización y recepción de Alarmas de Seguridad Física.

Monitorización y recepción de Incidentes de Seguridad Lógica.

Movilización de los equipos de evaluación y en caso de ser necesario, del Comité de Crisis.

Declaración de la situación de contingencia y activación de los Planes correspondientes para recuperar las actividades identificadas como críticas.

Recomendable centralizar desde un Centro de Control de Seguridad Integral (CCSI) :

Equipos de evaluación diferenciados para cada escenario de contingencia:

01/04/2020 © Manuel Carpio 18

GESTIÓN DE CRISIS

Presidente

Grupo Apoyo Crisis

Coordinador /Secretario

Seguridad Física

RRHH

Prevención RRLL

Gestión Patrimonial / Servicios Generales

Sistemas de InformaciónY Comunicaciones

OperacionesComunicación Interna

Unidad N

Unidad 2

Responsables de las

áreas de Negocio con

Actividades críticas

afectadas

Unidad 1

Comunicación Crisis

Asuntos Legales

Servicios Médicos

Seguros

Medio Ambiente

Comunicación Externa

Comité de Crisis

GESTIÓN DE CRISIS

Plan de Pruebas:

Comprobar que los procedimientos se cumplen según lo previsto

Aumentar progresivamente el nivel de madurez:

Trabajo remoto con equipo del usuario

Trabajo remoto con equipo nuevo (incluye plataformado)

Prueba de continuidad completa

Mantener actualizado el Plan de Contingencias

Optimizar los procedimientos

Obtener sugerencias y recomendaciones de mejora

Sesiones o Cursos de Formación periódicos:

Segmentadas según audiencia

Incluyen información relevante e instrucciones a seguir en caso decontingencia

01/04/2020 © Manuel Carpio 20

PLAN DE FORMACIÓN Y PLAN DE PRUEBAS

PROCESO DE

NEGOCIO NO CRÍTICO

PROCESO DE

NEGOCIO CRÍTICO

Análisis de Impacto en el Negocio (BIAS)

Análisis de Riesgos

Estrategia de Continuidad de Negocio

Planes de Continuidad de Negocio y Gestión de Crisis

Plan de Pruebas

Org

aniz

ació

n d

e G

esti

ón

de

Cri

sis

Co

nci

enci

ació

n y

Fo

rmac

ión

en

Co

nti

nu

idad

de

Neg

oci

o

Man

ten

imie

nto

y R

evis

ión

de

los

Pla

nes

de

Co

nti

nu

idad

de

Neg

oci

o

01/04/2020 © Manuel Carpio 21

MÉTRICAS Y PLAN DE MEJORA

5 Optimizado: procesos automatizados y fiables

4 Gestionado: procesos monitorizados y medidos

3 Definido: procesos documentados y publicados

2 Repetible: los procesos siguen un patrón regular

1 Inicial: se aplican procesos ad-hoc y desorganizados

0 Inexistente: no se aplican procesos de gestión

100%

80%

60%

40%

20%

0%

01/04/2020 © Manuel Carpio 22

MÉTRICAS Y PLAN DE MEJORA

Apoyo institucional

Metodología

Capacidades

Compromiso de las áreas

Capacidades

CO

RP

OR

ATIV

OLO

CA

L

Herramientas

Análisis de Riesgos BIA Métricas

Continuidad

Portal Formación

Comunicación Gestión continuidad

Gestión crisis

Comunicación

SLAs

Respaldo mutuo

Auditoría

Formación Teletrabajo

Respaldo

Presupuesto

Presupuesto

01/04/2020 © Manuel Carpio 23

FACTORES CLAVES DE ÉXITO

01/04/2020 © Manuel Carpio 24

¡Muchas gracias!

Manuel Carpio

Cybersecurity Senior Advisor

mcarpio@inerco.com

linkedin.com/in/manuelcarpio

@M_Carpio_