Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto al negocio (BIA)
Click here to load reader
-
Upload
mario-urena -
Category
Business
-
view
1.256 -
download
3
description
Transcript of Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto al negocio (BIA)
CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA
Mario Ureña Cuate
Secure Informa@on Technologies CISA, CISM, CGEIT, CISSP
Lead Auditor ISO 27001, ISO 22301 Lead Implementer ISO 22301
Importante – Nota para el lector
Las siguientes diaposi5vas han sido preparadas como apoyo para la presentación de la conferencia “Caso prác5co para la ejecución de un BIA” en La5n CACS 2013 en Medellín, Colombia. Para comprender correctamente el mensaje que el autor pretende transmi5r sobre este tema, es importante acompañar estas diaposi5vas con la explicación hablada. Este documento se comparte con fines de consulta para las personas que han asis5do a dicha conferencia, sin embargo, cualquier persona que consulte el documento puede contactar directamente al autor con el fin de clarificar el contenido y/o contexto de la información presentada. Los métodos / técnicas de Análisis de Impacto al Negocio ejemplificdos en este documento, se presentan con fines didác5cos para el entendimiento conceptual de la ejecución del proceso, pueden considerarse como básicos y no necesariamente reflejan la recomendación del autor para la ejecución del Análisis de Impacto al Negocio en todos los casos. El método / técnicas de Análisis de Impacto al Negocio puede cambiar de una organización a otra, así como los niveles de detalle, complejidad y forma de presentación de resultados.
INTRODUCCIÓN
Base metodológica
¿Qué es un BIA?
Proceso de analizar ac5vidades y el efecto que una interrupción del negocio podría tener sobre ellas
ISO 22301: 2012, cláusula 3.8
¿Qué es una ac5vidad?
Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos o servicios.
ISO 22301: 2012, cláusula 3.1
¿Qué es un proceso?
Conjunto de ac5vidades interelacionadas o interac5vas que transforma entradas en salidas.
ISO 22301: 2012, cláusula 3.40
¿Qué hacemos primero?
Valuación de riesgos (RA)
Análisis de Impacto al Negocio (BIA)
Requerimientos de ISO 22301
Existen diversas metodologías para Análisis de Impacto al Negocio y
Valuación de Riesgos que determinarán el órden en que estos
serán conducidos
ISO 22301: 2012, cláusula 8.2.1, Nota
¿En qué momento hacemos el BIA?
¿En qué momento hacemos el BIA?
Obje5vos de un BIA
• Determinar prioridades de con5nuidad • Determinar prioridades de recuperación • Determinar obje5vos de con5nuidad • Determinar metas
PROCESO BIA
BURBUJA, la tortuga
Entradas Salidas Ac5vidades
Recursos Personas
Procedimientos Medidores
Entendimiento del negocio Partes interesadas
Roles y responsabilidades Productos y servicios
Obje5vos de con5nuidad Criterios de impacto Requisitos legales
Ac5vidades crí5cas Prioridades
RTO, MTPoD, RPO, MBCO Dependencias Recursos crí5cos
ISO 22301 Cláusula 8.2.2
Dinero Tiempo
Herramientas …
Responsables de ac5vidades Tomadores de decisión
Ges5ón BCMS …
Procedimientos Metodología Técnicas
…
Ac5vidades analizadas / total Personal capacitado / total
Ejemplo…
ESTRATEGIA
RA
POLÍTICA Y OBJETIVOS
REQUERIMIENTOS ISO 22301
a
Iden5ficar ac5vidades
Evaluar impactos en el 5empo
Establecer periodos de 5empo y obje5vos de operación
Iden5ficar dependencias y recursos que las soportan
1. IDENTIFICAR ACTIVIDADES
Organización Proveedores y socios de negocio
Ac5vidad
Productos y servicios
Ac5vidades de soporte
Ac5vos y recursos
Ac5vos y recursos
Contexto externo
Contexto interno
Producto / servicio Producto / servicio
Propósito de la organización
Clientes Ac5vidad Ac5vidad Ac5vidad Ac5vidad Ac5vidad
Dependencias y ac5vidades de soporte
1. Iden5ficar ac5vidades
Iden5ficar productos y servicios Iden5ficar ac5vidades crí5cas Iden5ficar ac5vidades de soporte Iden5ficar dependencias Iden5ficar proveedores crí5cos Iden5ficar recursos crí5cos
Tiempo
Línea de 5empo
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
Tiempo
¿Cuál es el RTO?
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
AB
CD
EF
Tiempo
¿Cuál es el RTO?
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
C
Tiempo
¿Cuál es el MTPD / MAO?
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
1 2 3 4 5
Tiempo
¿Cuál es el MTPD / MAO?
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
5
2. EVALUAR IMPACTOS EN EL TIEMPO
¿Cuál es el impacto en el 5empo?
Impacto al negocio
Bajo
Medio
Alto
!
¿Cuál es el impacto en el 5empo?
!
Impacto al negocio
Bajo
Medio
Alto
…… 15-‐30Min
B 0-‐1 Min
B 1-‐5 Min
B 5-‐15 Min
B 30-‐60Min
M
1-‐2 Hrs
M
1-‐2 Hrs
A
2-‐5 Hrs
A
5-‐12 Hrs
A
12-‐24 Hrs
A
¿Cuál es el impacto en el 5empo?
3. ESTABLECER PERIODOS DE TIEMPO
Tiempo
¿Cuál es el MTPD / MAO?
Operación normal
!
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) de la operación en el
si5o alterno
Resolución del incidente
Regreso a la operación normal
del negocio
Nivel de operación
Nivel de operación normal
RTO MTPoD RPO
MBCO
4. IDENTIFICAR DEPENDENCIAS Y RECURSOS QUE LAS SOPORTAN
Organización Proveedores y socios de negocio
Productos y servicios
Ac5vidades de soporte
Ac5vos y recursos
Ac5vidad Ac5vidad Ac5vidad Ac5vidad Ac5vidad Ac5vidad
Dependencias y ac5vidades de soporte
Ac5vos y recursos
Clientes
Contexto externo
Contexto interno
Producto / servicio Producto / servicio
Propósito de la organización
4a. Iden5ficar dependencias
Ac5vidad X
Ac5vidad Z
Ac5vidad V
Ac5vidad Y
Ac5vidad M
Ac5vidad R
4b. Iden5ficar recursos • Personal / Gente • Información y datos • Instalaciones • Mobiliario, equipamiento y consumibles • Sistemas de información y comunicaciones • Transportación • Finanzas • Proveedores y socios de negocio
a
Auditoría
[email protected] @mariourena www.slideshare.net/mariourena
Preguntas y respuestas ¡Gracias! Mario Ureña Cuate
CISSP, CISA, CISM, CGEIT ISO27001LA, BS25999LA, ISO22301