Implantacion de un SGCN segun UNE 71599

4,901 views

Published on

Presentación de Jorge García Carnicero en el evento de lanzamiento de la norma UNE 71599 por AENOR.

Published in: Self Improvement
1 Comment
8 Likes
Statistics
Notes
  • Estimado Jorge, mucho apreciaré me haga llegar la presentación, en caso de ser posible, cordial saludo, Marcelo (msburbujas@yahoo.com)
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
4,901
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
0
Comments
1
Likes
8
Embeds 0
No embeds

No notes for slide

Implantacion de un SGCN segun UNE 71599

  1. 1. Implantación de la Gestión de la Continuidad del Negocioconforme con las Normas UNE 71599/1/2:2010<br />Jorge García Carnicero<br />MBCI, CISA, CISSP, LA25999<br />
  2. 2. Supongamos una empresa…<br />
  3. 3. ¿Qué es y qué no es GCN para TBCS?<br />NO<br />SI<br />
  4. 4. ¿Qué nos preocupa?<br />La Repercusión del Incidente.<br />En la Sociedad de la Información tener el control de los mensajes transmitidos es complicado sin una buena política y concienciación<br /><ul><li>Especial atención a la presencia en Redes Sociales de empleados y canales no oficiales</li></li></ul><li>Decisión<br />DECIDIDO: Vamos a Implantar un Sistema de Gestión de Continuidad de Negocio<br />¿Y ahora qué? ¿por donde empiezo?<br />
  5. 5. Norma UNE 71599Antecedentes<br />ISO 22399<br />Guideline for incident prep. & op.cont.mang<br />AENOR<br />UNE 71599-1 y 2<br />PAS 56<br />BC Management<br />BCI - GPG<br />BC Management<br />BS 25999-1 y 2<br />BC Management<br />ISO 22301<br />2011<br />2010<br />2006<br />2004<br />2002<br />2003<br />2005<br />2007<br />2008<br />2009<br />EEUU<br />NIST <br />SP 800-34<br />ContingencyPlanning Guide for IT<br />PAS-77<br />IT Service Continuity<br />BS 25777<br />IT Service Continuity Management<br />ISO 27031<br />Guidelines for ICT readiness for BC<br />Singapour<br />SS 507<br />BC/DR Service Providers<br />ISO/IEC 24762<br />Guidelines for ICT disaster recovery serv.<br />
  6. 6. <ul><li>Asignación de responsabilidades (gobierno)
  7. 7. Implantación de la continuidad de negocio en la organización
  8. 8. Gestión Continua
  9. 9. Documentación de GCN
  10. 10. Análisis de impacto
  11. 11. Identificación de actividades críticas
  12. 12. Determinación de requisitos de continuidad
  13. 13. Evaluación de amenazas sobre actividades críticas
  14. 14. Determinación de opciones
  15. 15. Visto bueno</li></ul>Embedding BCM in the organization’s culture<br />Implementación de la GCN en la cultura de la organización <br />Entendimiento<br />de la <br />organización<br />Gestión del programa de GCN<br /><ul><li>Concienciación
  16. 16. Formación
  17. 17. Opciones Estratégicas
  18. 18. Personal
  19. 19. Locales
  20. 20. Tecnología
  21. 21. Información
  22. 22. Suministros
  23. 23. Partes interesadas
  24. 24. Emergencias civiles
  25. 25. Visto bueno</li></ul>Determinación de la estrategia de continuidad del negocio<br />Prueba, mantenimiento y revisión<br /><ul><li>Programa de pruebas
  26. 26. Pruebas de puesta en práctica
  27. 27. Mantenimiento de las disposiciones
  28. 28. Revisión de las disposiciones</li></ul>Desarrollo e implantación<br />de una respuesta de GCN<br />UNE 71599-1:2010<br /><ul><li>Estructura de la respuesta a incidentes
  29. 29. Contenido de los planes
  30. 30. Plan de Gestión de Incidentes
  31. 31. Plan de Continuidad de Negocio</li></li></ul><li>Sistema de Gestión: UNE 71599-2:2010<br />PLANIFICACIÓN DEL SISTEMA DE CONTINUIDAD DE NEGOCIO:<br /><ul><li>Creación y Gestión del SGCN
  32. 32. Implantación de la GCN en la cultura de la organización
  33. 33. Documentos y registros del SGCN</li></ul>P<br />Establecer<br />D<br />A<br />Implantar y operar<br />Mantener y Mejorar<br />MANTENIMIENTO Y MEJORA DEL SGCN<br /><ul><li>Acciones Preventivas y Correctivas
  34. 34. Mejora continua</li></ul>IMPLANTACIÓN Y OPERACIÓN DEL SGCN<br /><ul><li>Entender la Organización
  35. 35. Determinación de la estrategia de continuidad de negocio
  36. 36. Desarrollo e implantación de una respuesta de GCN
  37. 37. Prueba, mantenimiento y revisión de planes y acciones de GCN</li></ul>Seguimiento y Supervisión<br />C<br />SUPERVISIÓN Y REVISION DEL SGCN<br /><ul><li>Auditoría Interna
  38. 38. Revisión por la dirección del SGCN</li></li></ul><li>Política de GCN<br />EJEMPLO DE POLÍTICA DE GCN<br />La política es el documento clave que define el alcance y el gobierno del programa de GCN y refleja las razones por las que las que es implementado el SGCN.<br />Para definir el alcance:<br />Que sea un requisito de los clientes<br />Que se deba cumplir con un marco regulatorio concreto<br />Que se perciba un nivel de riesgo alto de<br />Que exista una gran dependencia por parte de la organización<br />Para TBCS como una organización de ámbito nacional, es un aspecto esencial contar con un Programa de Continuidad del Negocio que nos permita afrontar con éxito una situación de crisis que afecte al normal desenvolvimiento de nuestras operaciones cotidianas.<br /> <br />Nuestra función como prestadores de servicios es de tal importancia que debemos encontrarnos preparados en todo momento para poder cumplir nuestros compromisos aún en situaciones adversas.<br /> <br />La premisa fundamental que orienta nuestro enfoque es que los esfuerzos - tanto humanos como económicos - que dediquemos a este objetivo siempre serán muy inferiores al impacto negativo que la materialización de una amenaza pueda tener y que este impacto recae directamente sobre nuestros clientes y sobre la reputación no solo nuestra sino de todo el grupo.<br /> <br />Es así que los objetivos principales que planteamos para el desarrollo, implementación y mantenimiento de este programa son:<br /> <br /><ul><li>La identificación del impacto de la interrupción de las operaciones
  39. 39. La determinación de un riesgo aceptable para determinadas funciones
  40. 40. La seguridad y bienestar de los empleados.
  41. 41. La protección de la reputación de toda la companía
  42. 42. La protección de los activos que están bajo nuestra responsabilidad.
  43. 43. Promover un programa de continuidad en todos los departamentos de TBCS
  44. 44. Y por último, transmitir confianza y fortaleza a nuestros clientes, socios y empleados en el sentido de que sabremos afrontar exitosamente una crisis</li></ul> <br />Para implementar este programa seguiremos las normativas, procedimientos y buenas prácticas generalmente adoptadas por la industria, así como las normativas y regulaciones que existan.<br /> <br /> <br /> <br />Consejero Delegado<br /> Jorge García Carnicero<br /> <br />
  45. 45. Entendimiento de la organización:Análisis de Impacto de Negocio<br />Paso 1: Identificación de procesos críticos<br />Tratar de clasificarlos por Estratégicos, Tácticos y Operativos<br />Identificar las dependencias de los procesos: Personas, Locales, Tecnología, Información y Provedores.<br />Paso 2: Determinar los impactos a incluir en análisis <br />Bienestar del personal, Imagen, Legales, Reputación, etc.<br />Paso 3: Analizar el impacto a lo largo del tiempo para determinar:<br />MTPD / TMIT: Tiempo máximo de interrupción tolerable.<br />RTO / OTR: Objetivo de Tiempo de Recuperación <br />RPO / OPR: Objetivo de Punto de Recuperación<br />Paso 4: Determinación de requisitos de continuidad<br />Recursos necesarios para prestar el servicio en modo Contingencia<br />
  46. 46. Entendimiento de la organización:Evaluación de Amenazas / Análisis de Riesgos<br />Definición:<br />Analizar el riesgo de interrupción de una actividad crítica debido aun incidente grave o desastre.<br />Objetivo: <br />Priorizar de actividades de construcción del Plan de continuidad de negocio <br />Establecer medidas preventivas<br />Principales diferencias con Seguridad de la Información:<br />Amenazas: aquellas que puedan provocar un incidente grave o desastre<br />Recursos: No sólo Información: Personal, Locales, Proveedores y Tecnologías<br />Exclusivamente dimensión de disponibilidad<br />Buenas Prácticas:<br />Orientar el análisis por ubicación física.<br />Ejemplos de amenazas:<br />Por Proximidad: Aeropuertos, Plantas Químicas, Centrales eléctricas, etc.<br />Por Desastres Naturales: Terremotos, Huracanes, Tsunamis, Nevadas,…<br />Por Factor Humano: Accidentes, Terrorismo, actos vandálicos, ….<br />Por Tecnología: Fallos en las comn., fallos en equipos, Interrupción de suministros, …<br />
  47. 47. Determinación de la estrategia de Continuidad de Negocio<br />¿Qué respuesta queremos dar?<br />Ya veremos en su momento, pero seguro que salimos adelante<br />Confiamos en la “inteligencia de masas” o en la “improvisación latina”<br />Nos coordinamos y entrenamos para dar la mejor respuesta en el menor tiempo<br />
  48. 48. Determinando estrategias de continuidad: 5 pilares<br /><ul><li>Cada Negocio es diferente
  49. 49. Se debe poner el foco en el componente más crítico</li></li></ul><li>Desarrollo e implantación de una respuesta de GCN<br />Estructura de la respuesta <br /><grafico del BCI><br />Respuesta a la Emergencia<br />Entrenamiento y Preparación<br />Gestión del Incidente<br />Recuperación<br />Incidente no planificado<br />Es posible volver al trabajo en condiciones normales<br />Perparar para entrar en recuperación<br />Iniciar las operaciones de recuperación<br />No<br />Reepuesta de empergencia<br />Condiciones de emergeencia superadas<br /><ul><li>Concienciación de empleados
  50. 50. Selección de equipos
  51. 51. Planificación
  52. 52. Entrenamiento de equipos
  53. 53. Asignar recursos
  54. 54. Análisis de Riesgos
  55. 55. Análisis de impactos
  56. 56. Pruebas / Entrenamiento de incidentes
  57. 57. Mantenimiento de Documentación
  58. 58. Distribución de documentación
  59. 59. Plan de recuperación IT
  60. 60. Gestión del cumplimiento</li></ul>SI<br /><ul><li>Emergencia médica
  61. 61. Fuego
  62. 62. Desastre Natural
  63. 63. Ataque terrorista
  64. 64. Evento de
  65. 65. Violencia en el puesto de trabajo
  66. 66. Perdida de suministro eléctrico
  67. 67. Rescate médico
  68. 68. Respuesta a fuego
  69. 69. Evacuación
  70. 70. Respuesta Policial
  71. 71. Comunicación
  72. 72. Reubicación de empleados
  73. 73. Notificar los equipos de incidecia y desastre.</li></ul>Comunicar<br /><ul><li>Valoración de daños
  74. 74. Centro de Operaciones de Emergencia
  75. 75. Elaboración de informe del incidente
  76. 76. Implementar estrategias de recuperación
  77. 77. Recuperar los procesos críticos
  78. 78. Recuperar los procesos críticos de IT.</li></ul>Volver al Trabajo<br />Lecciones Aprendidas<br />Acciones<br />Equipo de emergencias notificado, Evaluadas las condiciones y comunicaciones realizadas.<br />Comunicar<br />Equipo de recuperación de negocio notificado. Documentar todo lo relativo al incidente.<br />
  79. 79. Prueba, mantenimiento y revisión<br />La única forma de comprobar la eficacia de los planes es mediante las pruebas. Son esenciales en el programa de GCN.<br />Existen diferentes tipos de pruebas, con diferente frecuencia y complejidad<br />Coste<br />Prueba total del PCN<br />Riesgo <br />Alto<br />Pruebas de actividades Críticas<br />Simulación<br />Comprobación del puesto<br />Repaso<br />Riesgo Bajo<br />Complejidad<br />
  80. 80. Empresa <br />Sector <br />Seguros<br />Simulacro de Ataque terrorista sobre las 5 sedes de Eurocontrol repartidas en 3 paises<br />Indisponibilidad del CPD principal, activación de CPD de respaldo. <br />Dos ejemplos de Pruebas Reales<br />
  81. 81. Mantenimiento y Formación<br />Mantenimiento:<br />GCN es un proceso continuo, por lo que es necesario planificar las inversiones de mantenimiento de los planes.<br />Es imprescindible revisar los planes:<br />De forma periódica, en los tiempos indicados en el programa de gestión<br />De forma excepcional, cuando se produzca un cambio mayor<br />Después de la activación del plan, tanto en pruebas como por necesidad real, para incorporar lecciones aprendidas.<br />Formación: <br />Todos los empleados de la Organización deben conocer, comprender y estar preparados para:<br />Ejecutar su correspondiente parte del Plan.<br />Evitar difundir información sobre el incidente perjudicial para la compañía.<br />
  82. 82. Herramientas de automatización<br />Organizaciones medias y grandes no pueden plantearse la construcción y mantenimiento de los planes en papel. Se requieren aplicaciones que automaticen todo o parte del proceso.<br />Objetivos Principales:<br />Facilitar el mantenimiento y revisión periódica<br />Mejorar los tiempos de respuesta al incidente<br />Garantizar la completitud veracidad de los registros<br />Actividades a Automatizar:<br />Construcción de los planes, preferiblemente mediante proceso colaborativo<br />Actualización del contenido de los planes<br />Planificación de pruebas<br />Seguimiento de proyectos de construcción de los planes.<br />Notificaciones de incidentes / Activación de planes<br />Seguimientos de despliegue de recuperación en escenarios reales y en pruebas<br />Workflows de aprobaciones para:<br />Notas de prensa<br />Gastos extraordinarios<br />
  83. 83. @jorgegarciacarn<br />jgarcia@sia.es<br />jorgegarciacarn<br />jorgegarciacarnicero<br />

×