Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
01/04/2020 © Manuel Carpio 1
CONFERENCIA:
“La continuidad de negocio”
Por: Manuel Carpio Cámara
01/04/2020 © Manuel Carpio 2
SUMARIO
TERMINOLOGÍARESPONSABILIDADESESCENARIOSESTÁNDARESREQUISITOS MÍNIMOSINTERDEPENDENCIAS
ISO 22301:2019SISTEMA CORPORATIVO DE GESTIÓN DE LA CONTINUIDAD (GCSGCN)• ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)• PLAN DE CONTINUIDAD DE NEGOCIO (PCN)• GESTIÓN DE CRISIS• PROCEDIMIENTOS DE GESTIÓN DE CRISIS Y CONTINUIDAD• PLAN DE FORMACIÓN Y PLAN DE PRUEBAS• MÉTRICAS Y PLAN DE MEJORA
PROYECTO TIPOFACTORES CLAVE DE ÉXITO
Incidente
Evento Incidencia Parada
Contingencia
Desastre
Continuidad
Resiliencia
Crisis
“Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido”
“Posible evento futuro, condición o eventualidad”
“Evento, ya sea anticipado (por ejemplo, una huelga laboral o huracán) o no anticipado (por ejemplo, un apagón o un terremoto), que causa una desviación negativa no planificada de la entrega esperada de productos o servicios de acuerdo con la organización objetivos ”“Cuestión distinta de la
principal en un proceso”
”Ocurrencia o cambio de un conjunto particular de circunstancias”
“Situación en la que se han producido pérdidas humanas, materiales, económicas o medioambientales generalizadas que superaron la capacidad de la organización afectada , la comunidad o la sociedad para responder y recuperarse utilizando sus propios recursos”“Parte de la advertencia pública que
capta la atención de los socorristas y las personas en riesgo en una situación de emergencia en desarrollo”
“Capacidad estratégica y táctica, preaprobadapor la gerencia, de una organización para planificar y responder a condiciones, situaciones y eventos para continuar las operaciones a un nivel predefinido aceptable”
“Condición inestable que implica un cambio abrupto o significativo inminente que requiere atención y acción urgentes para proteger la vida, los activos, la propiedad o el medio ambiente”
Alerta
“Situación que puede ser, o podría conducir a, una interrupción), pérdida, emergencia o crisis”
ISO 22300:2018(en) Security and resilience — Vocabulary
Por un clavo se perdió la herraduraPor la herradura se perdió el caballoPor el caballo se perdió la batallaPor la batalla se perdió la guerraPor la guerra se perdió el Reino
TERMINOLOGÍA
Disrupción
Desastres Naturales
Incidentes en infraestructuras empresariales
Ataques terroristasSeptiembre 2001
Huracán KatrynaNueva Orleans Agosto 2005
Fallo sistemas TI BA Agosto 2019
01/04/2020 © Manuel Carpio 4
RESPONSABILIDADES
Eyjafjallajökull Islandia Abril 2010
▪ 5.000 edificios afectados, entre ellos 700
escuelas, 200 hospitales y 100.000 viviendas
▪ 1.200 personas heridas
▪ 200.000 km2 de cristales rotos
▪ 24.000 trabajadores de servicios de
emergencia movilizados
▪ 13 de julio 2012, 2h 04m 51s
▪ Diámetro 1m
▪ Peso 2 Tn
▪ Velocidad 90.000 Km/h
▪ Altitud 40Km
Meteorito de Cheliabinsk
Rusia, Febrero 2013
01/04/2020 © Manuel Carpio 5
RESPONSABILIDADES
Riesgo de supervivencia de:
Categoría I
Categoría II
Categoría III
Escenariosaltamente catastróficos
EscenariosExtinción
Res
po
nsa
bili
dad
de
las
inve
rsio
nes
par
aga
ran
tiza
r o
bje
tivo
s d
e re
silie
nci
a m
ínim
a
Org
aniz
ació
nG
rup
o s
ecto
rial
Go
bie
rno
País
esPo
ten
cias
?
A proposal for categorization of responsibilitiesin prevention of business continuity crisis scenarios
Organización Sector Cadena suministro Nación Área económica Humanos
Fuente:
“Instituciones Financieras Críticas: Escenarios de Continuidad de Negocios y su coste”. César Pérez-Chirinos. European CIIP Newsletter. August-September 2009
Alcance de la Directiva CIIP
2008/114
COVID-19
Katrina
11-S
Eyjafjallajökull (volcán)
BritishAirways
Alcance de Basilea II
RESPONSABILIDADES
01/04/2020 © Manuel Carpio 7
RESPONSABILIDADES
Infraestructuras críticas
Contingenciatecnológica
Continuidad de negocio
Datos
Sistemas
Redes InfraestructurasRedes
Personas
Servicios de soporte
Instalaciones
Procesos de negocio
ServiciosFinales
Relaciones oficiales
01/04/2020 © Manuel Carpio 8
RESPONSABILIDADES
Indisponibilidad de Capital Humano
1. 2.
3. 4.Indisponibilidad de Suministros Críticos
Indisponibilidad de Sistemas de Información
Inaccesibilidad al centro de trabajo e inhabitabilidad (total o parcial)
01/04/2020 © Manuel Carpio 9
ESCENARIOS
Nª ORDEN SERIE CATEGORÍA TIPO
ISO 22301 Security and resilience Business continuity management systems Requirements
ISO 22313 Security and resilience Business continuity management systems Guidance on the use of ISO 22301
ISO/TS 22330 Security and resilience Business continuity management systems Guidelines for people aspects of business continuity
ISO/TS 22331 Security and resilience Business continuity management systems Guidelines for business continuity strategy
ISO/TS 22317 Societal security Business continuity management systems Guidelines for business impact analysis (BIA)
ISO/TS 22318 Societal security Business continuity management systems Guidelines for supply chain continuity
ISO 22398 Societal security Guidelines for exercises
ISO/IEC 27002 Information technology Security techniques Code of practice for information security controls
ISO/IEC 27031 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity
ISO 31000 Risk management Guidelines
01/04/2020 © Manuel Carpio 10
ESTÁNDARES
01/04/2020 © Manuel Carpio 11
ESTÁNDARES
1995 2000 2005 2010 2015 2020
NFPA 1600 NFPA 1600
BS 7799
ISO 27001
DRII Prácticas Profesionales
para BCM
BCI PAS 56
BS 25999-1-2
BCI BCLM
Bank forInternational Settlement
Basilea II
ANSI/ASIS Organizational
resilience
BCI PAS 200
ISO 27031
ISO 22301
ISO 22398
ISO 27320 ISO 22318
ISO 22317
PSO/PPE Contenidos
mínimos
ISO 22301
ENISA OES MSR
DRII Terminología
SECURITY SUB-DOMAIN
SECURITYMEASURE
DESCRIPTION ISO 27001 NIST CSFISA/IEC 62443
Continuity of operations
Disaster recovery management
In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding disaster recovery management, in case of a severe IT security incident.
A.17.2 Redundancies
ID.BE-5PR.PT-5PR.IP-9, 10PR.DS-4RC.IM-1, 2RC.RP-1
SR 5.2SR 7.1SR 7.2
Crisis management
Crisis management organisation
The operator defines in its ISSP the organization for crisis management in case of IT security incidents and the continuity of organization’s activities.
5.3 Organizational roles, responsibilities and authoritiesA.6.1.1 Information security roles and responsibilitiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity
PR.DS-4PR.IP-10ID.BE-5
SR 3.3SR 7.1SR 7.2
Crisis management
Crisis management organization
5.3 Organizational roles, responsibilities and authoritiesA.6.1.1 Information security roles and responsibilitiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity
PR.DS-4PR.IP-10ID.BE-5
SR 3.3SR 7.1SR 7.2
Continuity of operations
Business continuity management
In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding business continuity management, in case of IT security incident.
9.3 Management review10.2 Continual improvementA.5.1.2 Review of the policies for information securityA.11.2.4 Equipment maintenanceA.17.1 Information security continuityA.17.2 Redundancies
ID.RM-1, 2, 3RP.IP-4, 7, 9, 10RS.IM- 2RC.IM-1, 2RC.RP-1RC.CO-1,2,3PR.PT-5PR.DS-4ID.BE-5ID.SC-5
SR 2.8SR 3.3SR 5.2SR.6.1SR 7.1,SR 7.2SR 7.3SR 7.4
Crisis management
Crisis managementprocess
The operator defines in its ISSP the processes for crisis management which the crisis management organization will implement in case of IT security incidents and the continuity of an organization’s activities.
7.4 Communication9.3 Management review10.2 Continual improvementA.5.1.2 Review of the policies for information securityA.6.1.3 Contact with authoritiesA.11.2.4 Equipment maintenanceA.17.1 Information security continuity
RC.CO-1, 2, 3RC.RP-1RS.IM-1, 2ID.SC-5PR.IP-4, 9, 10PR.PT-5
SR 2.8SR 3.3SR.6.1SR 7.1SR 7.2SR 7.3SR 7.4
01/04/2020 © Manuel Carpio 12
REQUISITOS MÍNIMOS
Electricidad
Finanzas
Comunicaciones
Transportes
País 1
País 2
País 3
01/04/2020 © Manuel Carpio 13
INTERDEPENDENCIAS
PLAN
DOCHECK
ACT
01/04/2020 © Manuel Carpio 14
ISO 22301:2019
0h<T<6h 6h<T<12h 12h<T<24h 24h<T<48h 48h<T<96h >96h
Intervalo 32 16 8 4 2 1
Valoración 0 1 1 3 3 4
Económico -- 1 1 3 3 4
Legal -- -- -- 2 2 3
Estratégico -- -- -- -- -- 2
Externo 2 2 3 3 4 1
Reputación -- 2 2 3 3 4
𝑉𝑇𝐼(𝑖) = ∑( 10𝑉𝑎𝑙𝑜𝑟𝑎𝑐𝑖ó𝑛𝑖 × 𝐼𝑛𝑡𝑒𝑟𝑣𝑎𝑙𝑜𝑖)
= 16.272
= 1.656
= 72
= 136.800
=18.432
63 <= VTI <= 6.300.000
𝑉𝑇𝐼𝑒 =𝑉𝑇𝐼(𝑖) − 𝑣𝑡𝑖𝑚
𝑣𝑡𝑖𝑀 − 𝑣𝑡𝑖𝑚+ 𝑣𝑡𝑖𝑒𝑚
McorrVI Financiero Legal Estratégico Externo Reputación
Financiero 1 0,5 0,75 0,5 0,5
Legal 0,5 1 0,25 0,25 0,5
Estratégico 0,75 0,25 1 0,1 0,25
Externo 0,5 0,25 0,1 1 0,75
Reputación 0,5 0,5 0,25 0,75 1
vtim vtiM vtiem
63 630 0
630 6.300 1
6.300 63.000 2
63.000 630.000 3
630.000 6.300.000 4
6.300.000 + 5
VTIe = Valor Tipo de Impacto EscaladoVTI = Valor Tipo Impactovtim = valor mínimo del intervalo al que corresponde VTIvtiM = valor máximo del intervalo al que corresponde VTIvtiem = valor mínimo del intervalo al que corresponde VTIe
→ 2,176
→ 1,181
→ 0,016
→ 3,130
→ 2,214
𝑉𝑇𝐼(𝑖) 𝑽𝑻𝑰𝒆
𝑉𝐼 𝑃 = 𝑉𝑇𝐼𝑒 ·1 ⋯ 0,5⋮ ⋱ ⋮0,5 ⋯ 1
· 𝑉𝑇𝐼𝑒𝑇
VI = Valoración del ImpactoP = Proceso que se está valorandoVTIe = Vector de valoraciones de tipo de impacto escalado del proceso PMCorrVI = Matriz de correlación de tipos de impacto
= 7,069
01/04/2020 © Manuel Carpio 15
ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)
Actividad Crítica M
Actividad Crítica 1
Centro
Alternativo
Localización y acondicionamiento de Centros Alternativos y
establecimiento de procedimientos de Acceso Remoto para poder
ejecutar las Actividades de Negocio Críticas en caso de contingencia
5
Hogares personal
crítico
Personal crítico
remoto
Personal crítico
físico
Centro de trabajo
01/04/2020 © Manuel Carpio 16
PLAN DE CONTINUIDAD DE NEGOCIO (PCN)
Actividad Crítica M
Actividad Crítica 1
Definición de los Procedimientos de
Gestión de Crisis
6
Centro
Alternativo
Personal No Crítico
Hogares
personal
crítico
Centro de trabajo
01/04/2020 © Manuel Carpio 17
PLAN DE CONTINUIDAD DE NEGOCIO (PCN)
Alerta EvaluaciónDeclaración
Contingencia
Indisponibilidad de Infraestructuras
Indisponibilidad Tecnológica
Indisponibilidad de Proveedores Críticos.
Indisponibilidad de Personas
Monitorización y recepción de Alarmas de Seguridad Física.
Monitorización y recepción de Incidentes de Seguridad Lógica.
Movilización de los equipos de evaluación y en caso de ser necesario, del Comité de Crisis.
Declaración de la situación de contingencia y activación de los Planes correspondientes para recuperar las actividades identificadas como críticas.
Recomendable centralizar desde un Centro de Control de Seguridad Integral (CCSI) :
Equipos de evaluación diferenciados para cada escenario de contingencia:
01/04/2020 © Manuel Carpio 18
GESTIÓN DE CRISIS
Presidente
Grupo Apoyo Crisis
Coordinador /Secretario
Seguridad Física
RRHH
Prevención RRLL
Gestión Patrimonial / Servicios Generales
Sistemas de InformaciónY Comunicaciones
OperacionesComunicación Interna
Unidad N
Unidad 2
Responsables de las
áreas de Negocio con
Actividades críticas
afectadas
Unidad 1
Comunicación Crisis
Asuntos Legales
Servicios Médicos
Seguros
Medio Ambiente
Comunicación Externa
Comité de Crisis
GESTIÓN DE CRISIS
Plan de Pruebas:
Comprobar que los procedimientos se cumplen según lo previsto
Aumentar progresivamente el nivel de madurez:
Trabajo remoto con equipo del usuario
Trabajo remoto con equipo nuevo (incluye plataformado)
Prueba de continuidad completa
Mantener actualizado el Plan de Contingencias
Optimizar los procedimientos
Obtener sugerencias y recomendaciones de mejora
Sesiones o Cursos de Formación periódicos:
Segmentadas según audiencia
Incluyen información relevante e instrucciones a seguir en caso decontingencia
01/04/2020 © Manuel Carpio 20
PLAN DE FORMACIÓN Y PLAN DE PRUEBAS
PROCESO DE
NEGOCIO NO CRÍTICO
PROCESO DE
NEGOCIO CRÍTICO
Análisis de Impacto en el Negocio (BIAS)
Análisis de Riesgos
Estrategia de Continuidad de Negocio
Planes de Continuidad de Negocio y Gestión de Crisis
Plan de Pruebas
Org
aniz
ació
n d
e G
esti
ón
de
Cri
sis
Co
nci
enci
ació
n y
Fo
rmac
ión
en
Co
nti
nu
idad
de
Neg
oci
o
Man
ten
imie
nto
y R
evis
ión
de
los
Pla
nes
de
Co
nti
nu
idad
de
Neg
oci
o
01/04/2020 © Manuel Carpio 21
MÉTRICAS Y PLAN DE MEJORA
5 Optimizado: procesos automatizados y fiables
4 Gestionado: procesos monitorizados y medidos
3 Definido: procesos documentados y publicados
2 Repetible: los procesos siguen un patrón regular
1 Inicial: se aplican procesos ad-hoc y desorganizados
0 Inexistente: no se aplican procesos de gestión
100%
80%
60%
40%
20%
0%
01/04/2020 © Manuel Carpio 22
MÉTRICAS Y PLAN DE MEJORA
Apoyo institucional
Metodología
Capacidades
Compromiso de las áreas
Capacidades
CO
RP
OR
ATIV
OLO
CA
L
Herramientas
Análisis de Riesgos BIA Métricas
Continuidad
Portal Formación
Comunicación Gestión continuidad
Gestión crisis
Comunicación
SLAs
Respaldo mutuo
Auditoría
Formación Teletrabajo
Respaldo
Presupuesto
Presupuesto
01/04/2020 © Manuel Carpio 23
FACTORES CLAVES DE ÉXITO
01/04/2020 © Manuel Carpio 24
¡Muchas gracias!
Manuel Carpio
Cybersecurity Senior Advisor
linkedin.com/in/manuelcarpio
@M_Carpio_