CASO  PRÁCTICO  PARA  LA  EJECUCIÓN  DE  UN  BIA    

Mario  Ureña  Cuate      

Secure  Informa@on  Technologies  CISA,  CISM,  CGEIT,  CISSP  

Lead  Auditor  ISO  27001,  ISO  22301  Lead  Implementer  ISO  22301  

Importante  –  Nota  para  el  lector  

Las   siguientes   diaposi5vas   han   sido   preparadas   como   apoyo   para   la   presentación   de   la   conferencia   “Caso  prác5co  para  la  ejecución  de  un  BIA”  en  La5n  CACS  2013  en  Medellín,  Colombia.    Para  comprender  correctamente  el  mensaje  que  el  autor  pretende  transmi5r  sobre  este  tema,  es  importante  acompañar  estas  diaposi5vas  con  la  explicación  hablada.    Este  documento  se  comparte  con  fines  de  consulta  para  las  personas  que  han  asis5do  a  dicha  conferencia,  sin  embargo,  cualquier  persona  que  consulte  el  documento  puede  contactar  directamente  al  autor  con  el  fin  de  clarificar  el  contenido  y/o  contexto  de  la  información  presentada.    Los  métodos  /  técnicas  de  Análisis  de  Impacto  al  Negocio  ejemplificdos  en  este  documento,  se  presentan  con  fines   didác5cos   para   el   entendimiento   conceptual   de   la   ejecución   del   proceso,   pueden   considerarse   como  básicos  y  no  necesariamente  reflejan  la  recomendación  del  autor  para  la  ejecución  del  Análisis  de  Impacto  al  Negocio  en  todos  los  casos.    El  método  /  técnicas  de  Análisis  de  Impacto  al  Negocio  puede  cambiar  de  una  organización  a  otra,  así  como  los  niveles  de  detalle,  complejidad  y  forma  de  presentación  de  resultados.  

INTRODUCCIÓN  

Base  metodológica  

¿Qué  es  un  BIA?  

Proceso  de  analizar  ac5vidades  y  el  efecto  que  una  interrupción  del  negocio  podría  tener  sobre  ellas  

 ISO  22301:  2012,  cláusula  3.8  

¿Qué  es  una  ac5vidad?  

Proceso  o  conjunto  de  procesos  realizados  por  una  organización  (o  en  su  nombre)  que  produce  o  soporta  uno  o  mas  productos  o  servicios.  

 ISO  22301:  2012,  cláusula  3.1  

¿Qué  es  un  proceso?  

Conjunto  de  ac5vidades  interelacionadas  o  interac5vas  que  transforma  entradas  en  salidas.  

 ISO  22301:  2012,  cláusula  3.40  

¿Qué  hacemos  primero?  

Valuación  de  riesgos  (RA)  

   

Análisis  de  Impacto  al  Negocio  (BIA)  

Requerimientos  de  ISO  22301  

Existen  diversas  metodologías  para  Análisis  de  Impacto  al  Negocio  y  

Valuación  de  Riesgos  que  determinarán  el  órden  en  que  estos  

serán  conducidos    

ISO  22301:  2012,  cláusula  8.2.1,  Nota  

¿En  qué  momento  hacemos  el  BIA?  

¿En  qué  momento  hacemos  el  BIA?  

Obje5vos  de  un  BIA  

•  Determinar  prioridades  de  con5nuidad  •  Determinar  prioridades  de  recuperación  •  Determinar  obje5vos  de  con5nuidad  •  Determinar  metas  

PROCESO  BIA  

BURBUJA,  la  tortuga  

Entradas   Salidas  Ac5vidades  

Recursos   Personas  

Procedimientos   Medidores  

Entendimiento  del  negocio  Partes  interesadas  

Roles  y  responsabilidades  Productos  y  servicios  

Obje5vos  de  con5nuidad  Criterios  de  impacto  Requisitos  legales  

Ac5vidades  crí5cas  Prioridades  

RTO,  MTPoD,  RPO,  MBCO  Dependencias  Recursos  crí5cos  

ISO  22301  Cláusula  8.2.2  

Dinero  Tiempo  

Herramientas  …  

Responsables  de  ac5vidades  Tomadores  de  decisión  

Ges5ón  BCMS  …  

Procedimientos  Metodología  Técnicas  

…  

Ac5vidades  analizadas  /  total  Personal  capacitado  /  total  

Ejemplo…  

ESTRATEGIA  

RA  

POLÍTICA  Y  OBJETIVOS  

REQUERIMIENTOS  ISO  22301  

a  

Iden5ficar  ac5vidades  

Evaluar  impactos  en  el  5empo  

Establecer  periodos  de  5empo  y  obje5vos  de  operación  

Iden5ficar  dependencias  y  recursos  que  las  soportan  

1.  IDENTIFICAR  ACTIVIDADES  

Organización  Proveedores  y  socios  de  negocio  

Ac5vidad  

Productos  y  servicios  

Ac5vidades  de  soporte  

Ac5vos  y  recursos  

Ac5vos  y  recursos  

Contexto  externo  

Contexto  interno  

Producto  /  servicio   Producto  /  servicio  

Propósito  de  la  organización  

Clientes  Ac5vidad  Ac5vidad  Ac5vidad  Ac5vidad  Ac5vidad  

Dependencias  y    ac5vidades  de  soporte  

1.  Iden5ficar  ac5vidades  

Iden5ficar  productos  y  servicios  Iden5ficar  ac5vidades  crí5cas  Iden5ficar  ac5vidades  de  soporte  Iden5ficar  dependencias  Iden5ficar  proveedores  crí5cos  Iden5ficar  recursos  crí5cos      

Tiempo  

Línea  de  5empo  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

Tiempo  

¿Cuál  es  el  RTO?  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

AB

CD

EF

Tiempo  

¿Cuál  es  el  RTO?  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

C

Tiempo  

¿Cuál  es  el  MTPD    /  MAO?  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

1   2   3   4   5  

Tiempo  

¿Cuál  es  el  MTPD    /  MAO?  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

5  

2.  EVALUAR  IMPACTOS  EN  EL  TIEMPO  

¿Cuál  es  el  impacto  en  el  5empo?  

Impacto  al  negocio  

Bajo  

Medio  

Alto  

!  

¿Cuál  es  el  impacto  en  el  5empo?  

!  

Impacto  al  negocio  

Bajo  

Medio  

Alto  

……  15-­‐30Min  

B  0-­‐1  Min  

B  1-­‐5  Min  

B  5-­‐15  Min  

B  30-­‐60Min  

M  

1-­‐2  Hrs  

M  

1-­‐2  Hrs  

A  

2-­‐5  Hrs  

A  

5-­‐12  Hrs  

A  

12-­‐24  Hrs  

A  

¿Cuál  es  el  impacto  en  el  5empo?  

3.  ESTABLECER  PERIODOS  DE  TIEMPO  

Tiempo  

¿Cuál  es  el  MTPD    /  MAO?  

Operación  normal  

!  

Ocurre  el    incidente  

Detección  del  incidente  

Inicio  de  recuperación  

Recuperación  (mínima)  de  la  operación  en  el  

si5o  alterno  

Resolución  del  incidente  

Regreso  a  la  operación  normal  

del  negocio  

Nivel  de  operación  

Nivel  de  operación  normal  

RTO   MTPoD  RPO  

MBCO  

4.  IDENTIFICAR  DEPENDENCIAS  Y  RECURSOS  QUE  LAS  SOPORTAN  

Organización  Proveedores  y  socios  de  negocio  

Productos  y  servicios  

Ac5vidades  de  soporte  

Ac5vos  y  recursos  

Ac5vidad   Ac5vidad   Ac5vidad   Ac5vidad   Ac5vidad   Ac5vidad  

Dependencias  y    ac5vidades  de  soporte  

Ac5vos  y  recursos  

Clientes  

Contexto  externo  

Contexto  interno  

Producto  /  servicio   Producto  /  servicio  

Propósito  de  la  organización  

4a.  Iden5ficar  dependencias  

Ac5vidad  X  

Ac5vidad  Z  

Ac5vidad  V  

Ac5vidad  Y  

Ac5vidad  M  

Ac5vidad  R  

4b.  Iden5ficar  recursos  •  Personal  /  Gente  •  Información  y  datos  •  Instalaciones  •  Mobiliario,  equipamiento  y    consumibles  •  Sistemas  de  información  y  comunicaciones  •  Transportación  •  Finanzas  •  Proveedores  y  socios  de  negocio    

a  

Auditoría  

mario.urena@secureit.com.mx @mariourena www.slideshare.net/mariourena

Preguntas  y  respuestas  ¡Gracias!  Mario  Ureña  Cuate  

CISSP,  CISA,  CISM,  CGEIT  ISO27001LA,  BS25999LA,  ISO22301