Este documento proporciona una introducción a la implementación de un sistema de gestión de continuidad del negocio (GCN) de acuerdo con las normas UNE 71599/1/2:2010. Explica los pasos clave como entender la organización mediante análisis de impacto y evaluación de amenazas, determinar la estrategia de continuidad, desarrollar una respuesta a incidentes, y probar, mantener y revisar los planes. El objetivo final es ayudar a las organizaciones a prepararse y responder eficazmente a posibles interrup

1. Implantación de la Gestión de la Continuidad del Negocioconforme con las Normas UNE 71599/1/2:2010 Jorge García Carnicero MBCI, CISA, CISSP, LA25999

2. Supongamos una empresa…

3. ¿Qué es y qué no es GCN para TBCS? NO SI

5. Norma UNE 71599Antecedentes ISO 22399 Guideline for incident prep. & op.cont.mang AENOR UNE 71599-1 y 2 PAS 56 BC Management BCI - GPG BC Management BS 25999-1 y 2 BC Management ISO 22301 2011 2010 2006 2004 2002 2003 2005 2007 2008 2009 EEUU NIST SP 800-34 ContingencyPlanning Guide for IT PAS-77 IT Service Continuity BS 25777 IT Service Continuity Management ISO 27031 Guidelines for ICT readiness for BC Singapour SS 507 BC/DR Service Providers ISO/IEC 24762 Guidelines for ICT disaster recovery serv.

7. Implantación de la continuidad de negocio en la organización

8. Gestión Continua

9. Documentación de GCN

10. Análisis de impacto

11. Identificación de actividades críticas

12. Determinación de requisitos de continuidad

13. Evaluación de amenazas sobre actividades críticas

14. Determinación de opciones

16. Formación

17. Opciones Estratégicas

18. Personal

19. Locales

20. Tecnología

21. Información

22. Suministros

23. Partes interesadas

24. Emergencias civiles

26. Pruebas de puesta en práctica

27. Mantenimiento de las disposiciones

29. Contenido de los planes

30. Plan de Gestión de Incidentes

32. Implantación de la GCN en la cultura de la organización

35. Determinación de la estrategia de continuidad de negocio

36. Desarrollo e implantación de una respuesta de GCN

39. La determinación de un riesgo aceptable para determinadas funciones

40. La seguridad y bienestar de los empleados.

41. La protección de la reputación de toda la companía

42. La protección de los activos que están bajo nuestra responsabilidad.

43. Promover un programa de continuidad en todos los departamentos de TBCS

44. Y por último, transmitir confianza y fortaleza a nuestros clientes, socios y empleados en el sentido de que sabremos afrontar exitosamente una crisis Para implementar este programa seguiremos las normativas, procedimientos y buenas prácticas generalmente adoptadas por la industria, así como las normativas y regulaciones que existan. Consejero Delegado Jorge García Carnicero

45. Entendimiento de la organización:Análisis de Impacto de Negocio Paso 1: Identificación de procesos críticos Tratar de clasificarlos por Estratégicos, Tácticos y Operativos Identificar las dependencias de los procesos: Personas, Locales, Tecnología, Información y Provedores. Paso 2: Determinar los impactos a incluir en análisis Bienestar del personal, Imagen, Legales, Reputación, etc. Paso 3: Analizar el impacto a lo largo del tiempo para determinar: MTPD / TMIT: Tiempo máximo de interrupción tolerable. RTO / OTR: Objetivo de Tiempo de Recuperación RPO / OPR: Objetivo de Punto de Recuperación Paso 4: Determinación de requisitos de continuidad Recursos necesarios para prestar el servicio en modo Contingencia

46. Entendimiento de la organización:Evaluación de Amenazas / Análisis de Riesgos Definición: Analizar el riesgo de interrupción de una actividad crítica debido aun incidente grave o desastre. Objetivo: Priorizar de actividades de construcción del Plan de continuidad de negocio Establecer medidas preventivas Principales diferencias con Seguridad de la Información: Amenazas: aquellas que puedan provocar un incidente grave o desastre Recursos: No sólo Información: Personal, Locales, Proveedores y Tecnologías Exclusivamente dimensión de disponibilidad Buenas Prácticas: Orientar el análisis por ubicación física. Ejemplos de amenazas: Por Proximidad: Aeropuertos, Plantas Químicas, Centrales eléctricas, etc. Por Desastres Naturales: Terremotos, Huracanes, Tsunamis, Nevadas,… Por Factor Humano: Accidentes, Terrorismo, actos vandálicos, …. Por Tecnología: Fallos en las comn., fallos en equipos, Interrupción de suministros, …

47. Determinación de la estrategia de Continuidad de Negocio ¿Qué respuesta queremos dar? Ya veremos en su momento, pero seguro que salimos adelante Confiamos en la “inteligencia de masas” o en la “improvisación latina” Nos coordinamos y entrenamos para dar la mejor respuesta en el menor tiempo

50. Selección de equipos

51. Planificación

52. Entrenamiento de equipos

53. Asignar recursos

54. Análisis de Riesgos

55. Análisis de impactos

56. Pruebas / Entrenamiento de incidentes

57. Mantenimiento de Documentación

58. Distribución de documentación

59. Plan de recuperación IT

61. Fuego

62. Desastre Natural

63. Ataque terrorista

64. Evento de

65. Violencia en el puesto de trabajo

66. Perdida de suministro eléctrico

67. Rescate médico

68. Respuesta a fuego

69. Evacuación

70. Respuesta Policial

71. Comunicación

72. Reubicación de empleados

74. Centro de Operaciones de Emergencia

75. Elaboración de informe del incidente

76. Implementar estrategias de recuperación

77. Recuperar los procesos críticos

78. Recuperar los procesos críticos de IT.Volver al Trabajo Lecciones Aprendidas Acciones Equipo de emergencias notificado, Evaluadas las condiciones y comunicaciones realizadas. Comunicar Equipo de recuperación de negocio notificado. Documentar todo lo relativo al incidente.

79. Prueba, mantenimiento y revisión La única forma de comprobar la eficacia de los planes es mediante las pruebas. Son esenciales en el programa de GCN. Existen diferentes tipos de pruebas, con diferente frecuencia y complejidad Coste Prueba total del PCN Riesgo Alto Pruebas de actividades Críticas Simulación Comprobación del puesto Repaso Riesgo Bajo Complejidad

80. Empresa Sector Seguros Simulacro de Ataque terrorista sobre las 5 sedes de Eurocontrol repartidas en 3 paises Indisponibilidad del CPD principal, activación de CPD de respaldo. Dos ejemplos de Pruebas Reales

81. Mantenimiento y Formación Mantenimiento: GCN es un proceso continuo, por lo que es necesario planificar las inversiones de mantenimiento de los planes. Es imprescindible revisar los planes: De forma periódica, en los tiempos indicados en el programa de gestión De forma excepcional, cuando se produzca un cambio mayor Después de la activación del plan, tanto en pruebas como por necesidad real, para incorporar lecciones aprendidas. Formación: Todos los empleados de la Organización deben conocer, comprender y estar preparados para: Ejecutar su correspondiente parte del Plan. Evitar difundir información sobre el incidente perjudicial para la compañía.

82. Herramientas de automatización Organizaciones medias y grandes no pueden plantearse la construcción y mantenimiento de los planes en papel. Se requieren aplicaciones que automaticen todo o parte del proceso. Objetivos Principales: Facilitar el mantenimiento y revisión periódica Mejorar los tiempos de respuesta al incidente Garantizar la completitud veracidad de los registros Actividades a Automatizar: Construcción de los planes, preferiblemente mediante proceso colaborativo Actualización del contenido de los planes Planificación de pruebas Seguimiento de proyectos de construcción de los planes. Notificaciones de incidentes / Activación de planes Seguimientos de despliegue de recuperación en escenarios reales y en pruebas Workflows de aprobaciones para: Notas de prensa Gastos extraordinarios

83. @jorgegarciacarn jgarcia@sia.es jorgegarciacarn jorgegarciacarnicero