Successfully reported this slideshow.

Continuidad de Negocio (UNE 71599 / BS 25999)

11

Share

Loading in …3
×
1 of 44
1 of 44

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

Continuidad de Negocio (UNE 71599 / BS 25999)

  1. 1. Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
  2. 2. Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
  3. 3. Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
  4. 4. Prólogo b. El indirecto o “momento certificación ISO 27001” 4
  5. 5. Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
  6. 6. Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
  7. 7. Acto I “Eso no me puede pasar a mí” 7
  8. 8. “Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
  9. 9. “Eso no me puede pasar a mí” 2. Edificio Windsor 9
  10. 10. “Eso no me puede pasar a mí” 3. Fukushima 10
  11. 11. Acto II “Quizá sí, pero es poco probable” 11
  12. 12. “Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
  13. 13. Acto III “De acuerdo, hagámoslo” 13
  14. 14. “De acuerdo, hagámoslo” 14
  15. 15. “De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
  16. 16. “De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
  17. 17. “De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
  18. 18. “De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
  19. 19. La Continuidad de Negocio según UNE 71599 / BS 25999 19
  20. 20. UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
  21. 21. UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
  22. 22. UNE 71599 / BS 25999 Seis pasos básicos 22
  23. 23. 1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
  24. 24. 1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
  25. 25. 2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
  26. 26. 2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
  27. 27. 2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
  28. 28. 2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
  29. 29. 3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
  30. 30. 3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
  31. 31. 3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
  32. 32. 4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
  33. 33. 4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
  34. 34. 4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
  35. 35. 4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
  36. 36. 5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
  37. 37. 5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
  38. 38. 6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
  39. 39. 6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
  40. 40. 6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
  41. 41. Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
  42. 42. Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
  43. 43. Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
  44. 44. 44

×