ISO 22301 - Ingertec
- 1. 1 PROTECCIÓN Y SEGURIDAD DE LOS CIUDADANOS. SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ISO 22301:2015
- 2. 2 Índice 1. Introducción y Objetivos 2. Visión de la Problemática 3. Equipo de Trabajo y Experiencia previa 4. Ciclo de Vida – Gestión de Continuidad del Negocio 5. Forma de trabajo de los estándares 6. Integración con Planes 7. Plan de Continuidad de Negocio 8. BIA. Business Impact Analysis 9. Análisis de Riesgos 10. Alcance
- 3. 3 1. Introducción y Objetivos Las empresas son vulnerables a una gran variedad de riesgos y agentes tanto externos como internos, variando la severidad del impacto sobre el negocio en función de una gran variedad de factores. A veces, el tratamiento de las contingencias derivadas de esta vulnerabilidad se lleva a cabo de forma no proactiva, desarrollando un impacto directo sobre la operación y los resultados de la empresa. Cuando estas contingencias afectan a los sistemas críticos de la compañía, y tienen una severidad elevada hacen muy difícil la vuelta a la situación de operación normal partir de procedimientos convencionales de recuperación. En el caso de desastres, se requiere de un tratamiento normalizado y acorde a una estrategia alineada con las necesidades del área operativa.
- 4. 4 1. Introducción y Objetivos Los Planes de Continuidad de Negocio (PCN) tiene como objetivo de disminuir el riesgo de una interrupción imprevista de las funciones críticas de una organización. Asegurando, de este modo, la continuidad de los servicios durante el mayor tiempo posible, a través de: ● medios tecnológicos, ● procedimentales ● y organizativos. Téngase en cuenta que un Plan de Continuidad no solo nos ayuda a no generar gastos cuando se presenta un desastre, si no que nos genera ingresos en la medida en la que generamos más clientes por la confanza que ofrecemos.
- 5. 5 2. Visión de la Problemática La implantación de la ISO 22301 permite establecer una estrategia corporativa que garantice la operación a través de la “elaboración de un Sistema de Gestión de Continuidad de la Organización según se indica en ISO 22301, que una vez implantado cubra los siguientes objetivos fundamentales: ● Contener las pérdidas económicas asociadas a un desastre ● Minimizar la interrupción de las funciones críticas del negocio ante situaciones de desastre. ● Minimizar el impacto y las implicaciones sobre la organización provocados por un desastre. Dentro de este marco Ingertec ofrece sus servicios su organización para implementar el Sistema de Gestión de Continuidad hasta su certifcación.
- 6. 6 2. Visión de la Problemática Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus consecuencias: ● Un 43% de las organizaciones después de un accidente no podrán continuar sus operaciones viéndose obligadas a cerrar. ● Un 80% tendrán que hacerlo en menos de 13 meses. ● Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas causadas por los daños derivados. ● Un 50% se verán forzadas a cerrar antes de cinco años después del desastre. *Fuente: Cámara de Comercio de Londres .
- 7. 7 2. Visión de la Problemática Las mejores prácticas en materia de Continuidad de Negocio que ofrece Ingertec se basan en la experiencia en la aplicación de los dominios indicados tanto por la Norma ISO 22301, y los marcos referenciales y directrices de auditoría de COBIT. Por otro lado, todas estas normativas recomiendan con carácter general dentro del código de buenas prácticas para la problemática asociada a la Gestión de Continuidad de Negocio, aspectos como: ● Análisis de impacto de desastres sobre el negocio (BIA) ● La identifcación y evaluación de Riesgos ● Los aspectos organizativos, equipos humanos y procesos IT ● El análisis detallado de las alternativas de respaldo (centros de respaldo vs. centros secundarios) ● Documentación y Registros del BCMS. ● Estrategia de Continuidad de Negocio.
- 8. 8 2. Visión de la Problemática Plan de Continuidad de Negocio Mantener: ✗ Servicios Críticos ✗ La generación de ingresos ✗ Confanza, Imagen Reducir el impacto del desastre ➢ ¿Qué? Business Impact Analysis ➢ ¿Dónde? Centros alternativos ➢ ¿Quién? Equipos de recuperación ➢ ¿Cómo? Planes operativos ➢ ¿Cuándo? Plazos OBJETIVO M E T O D O L O G Í A
- 9. 9 2. Visión de la Problemática Destacar como hecho relevante, que la metodología y procedimientos de Ingertec en la ejecución de Sistemas de Gestión de la Continuidad, BCMS está alineada con la reciente normativa ISO 20000 e ISO 27001. VERIFICAR Auditoría Interna del SGSI HACER Implantación del SGSI Implantación de Controles PLANIFICAR Política de Seguridad Alcance del SGSI Análisis de Riesgos Selección de Controles HACER Acciones Correctivas
- 10. 10 2. Visión de la Problemática La normativa ISO 27001 aplicada a la gestión del Plan de Continuidad de Negocio, tiene especial relevancia en la fase de implantación del Plan de Continuidad de Negocio, puesto que nos permitirá controlar de manera cuantitativa la evolución del riesgo de la organización en relación a los controles que vayan siendo aplicados. En este sentido se trabajara de acuerdo al estándar establecido, ISO 22301.
- 11. 11 3. Equipo de Trabajo y Experiencia Previa Ingertec es una empresa con una alta experiencia en la implantación de Sistemas de Gestión aplicados a las TIC. Contamos con un equipo de trabajo formado por profesionales de distintas disciplinas ● Ingenieros informáticos. ● Ingenieros Superiores de Telecomunicaciones. ● Licenciados. ● Abogados expertos en LOPD. ● Profesionales de CISA, CISM y LEAD AUDITOR. Ingertec es PROVEEDOR OFICIAL DEL INTECO-INCIBE (INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN – SEGURIDAD CIBERNÁUTICA), con el que hemos colaborado en distintos proyectos del sector.
- 12. 12 3. Equipo de Trabajo y Experiencia Previa Algunas de las empresas en las que Ingertec ha colaborado en la implantación de proyectos relativos a servicios de tecnología de la información son:
- 13. 13 4. Ciclo de Vida – Gestión de Continuidad de Negocio
- 14. 14 5. Forma de trabajo de los estándares ISO 9001 ISO 14001 ISO 27001 ISO 22301 BIA. Businness Impact Analysis Gestión de Riesgos Estrategia de Continuidad de Negocio Respuesta Incidente Acción Preventiva Management Review Preventiva Reactiva
- 15. 15 6. Integración con Planes La gestión de la Continuidad del Negocio en una empresa se debe integrar y hacer compatible con los diferentes planes que se tenga en la compañía ● Planes de seguridad ● Planes de seguridad física. ● Planes de seguridad de información. ● Plan de emergencia. ● Plan de comunicación institucional. ● Plan de continuidad de negocio. Los planes de emergencia (abarcarían aspectos como los procedimientos de evacuación de edifcios, conducta ante incendios, y en general actuaciones frente emergencias), no son objeto de este servicio. Ni los referidos a los Riesgos Laborales que marca la legislación.
- 16. 16 6. Integración con Planes Plan de emergencia Planes de seguridad (física y lógica) Plan de comunicación institucional Plan de continuidad de negocio DESARROLLO INTEGRACIÓN MANTENIMIENTOIMPLANTACIÓN Gestión de la continuidad de negocio en una organización
- 17. 17 7. Plan de Continuidad de Negocio El enfoque más adecuado se inicia de un análisis exhaustivo de los procesos de negocio (fundamentalmente los procesos críticos para la operación), que posteriormente desemboca en una revisión “dirigida”. Este enfoque se caracteriza por: ● Asegurar que desde el inicio se comprende todas las áreas de negocio de la organización, identifcando aquellas críticas ● Permite una fuerte racionalización de inversiones a realizar una vez identifcados con sufciente rigor los procesos críticos ● La obtención de resultados prácticos relativos a la recuperación tecnológica se alcanza en fases más avanzadas
- 18. 18 7. Plan de Continuidad de Negocio - Objetivos El objetivo fundamental de todo plan de continuidad de negocio (DRP), es la reducción del impacto de un desastre sobre la operativa de la compañía. Este objetivo se concreta en: ● Mantener la operativa de los servicios críticos (core del negocio) ● Evitar la pérdida de ingresos asociada a la interrupción de operaciones ● Mantener la confanza e imagen de la compañía Un plan de continuidad de negocio se debe implementar involucrando todos los niveles de la organización y debe combinar las acciones preventivas con controles de recuperaciones.
- 19. 19 8. BIA. Business Impact Analysis El objetivo es determinar los principales procesos, sistemas y aplicaciones críticos para el negocio de la entidad que deben ser recuperados. Para su clasifcación se realizará un inventario de elementos que pudieran estar contemplados en el plan y que son de varios tipos: logísticos, instalaciones, almacenamiento, CRM´s, ERP’s, equipos informáticos, aplicaciones, elementos de red, líneas de comunicaciones, equipos auxiliares, operadores, etc.
- 20. 20 8. BIA. Business Impact Analysis
- 21. 21 9. Análisis de Riesgos El principal objetivo de un análisis de riesgos es identifcar y valorar los riesgos que afectan a los activos que conforman un sistema de información. En este modelo de análisis de riesgos, se parte de una situación inicial en la que una organización dispone de un conjunto de activos. Todos los activos pueden ser atacados de alguna manera, es decir, existen amenazas sobre los activos. La vulnerabilidad refeja aquí la frecuencia con la que una amenaza puede concretarse sobre un activo. Por otro lado, cuando una amenaza se materializa sobre un activo, se produce un impacto que puede degradar a éste o a otros. Finalmente, el riesgo viene a medir la posibilidad de que se produzca un impacto sobre un activo.
- 22. 22 9. Análisis de Riesgos El modelo a utilizar para realizar un análisis de riesgos se puede presentar en la siguiente fgura. ACTIVOS AMENAZAS IMPACTOS VULNERABILIDADES RIESGOS Pueden tener Se materializan Resultado de la agresión Se pueden convertir Probabilidad de que una amenaza se materialice sobre un activo y produzca un impacto
- 23. 23 10. Alcance de las Actividades Las actividades que se recogen en la implantación de una ISO 22301 son: ● Recogida de información. ● Plan del proyecto. ● Mantenimiento del sistema ● Desarrollo de documentación escrita. ● Ayuda a la implantación. ● Formación. ● Auditoría interna.
- 24. 24 10. Alcance de las Actividades La documentación propia a desarrollar en un Sistema de Gestión de Continuidad de Negocio es: ● Política de Continuidad de negocio. ● Ámbito del BCMS. Procedimientos y controles para el soporte de BCMS. ● Términos de Referencia. ● Informe de BIA. Business impact Analisys ● Informe de Riesgos. ● Detalles de las Estrategias de BCM. Estrategias de Continuidad de Negocio. ● Procedimiento para asegurar la planifcación, operación y control para procesos de continuidad. ● Planes de Gestión de Incidentes y Continuidad de Negocio. ● Detalles de contacto y de comunicación a nivel de recursos, organización, etc. Para el caso de las estrategias de respuesta. ● Procedimientos de control de Cambios. ● Registro de Riesgos, etc. ● Registro de pruebas, y Planifcación de Pruebas. ● Log de incidentes. ● Programa de Formación. ● Organización de Respuesta.
- 25. 25 GRUPO INGERTEC 900 897 931 info@ingertec.com