Si necesitas implantar una certificación ISO 22301 en tu empresa, el bagaje profesional de Ingertec te ofrece un servicio de consultoría de calidad, caminando en la misma dirección que las necesidades de tu entidad y focalizando los servicios de nuestra empresa en la consecución de este tipo de certificación lo más rápido posible y con las máximas garantías.
1. 1
PROTECCIÓN Y SEGURIDAD DE LOS CIUDADANOS. SISTEMA DE GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
ISO 22301:2015
2. 2
Índice
1. Introducción y Objetivos
2. Visión de la Problemática
3. Equipo de Trabajo y Experiencia previa
4. Ciclo de Vida – Gestión de Continuidad
del Negocio
5. Forma de trabajo de los estándares
6. Integración con Planes
7. Plan de Continuidad de Negocio
8. BIA. Business Impact Analysis
9. Análisis de Riesgos
10. Alcance
3. 3
1. Introducción y Objetivos
Las empresas son vulnerables a una gran variedad de riesgos
y agentes tanto externos como internos, variando la severidad
del impacto sobre el negocio en función de una gran variedad
de factores.
A veces, el tratamiento de las contingencias derivadas de esta
vulnerabilidad se lleva a cabo de forma no proactiva,
desarrollando un impacto directo sobre la operación y los
resultados de la empresa.
Cuando estas contingencias afectan a los sistemas críticos de
la compañía, y tienen una severidad elevada hacen muy difícil
la vuelta a la situación de operación normal partir de
procedimientos convencionales de recuperación.
En el caso de desastres, se requiere de un tratamiento
normalizado y acorde a una estrategia alineada con las
necesidades del área operativa.
4. 4
1. Introducción y Objetivos
Los Planes de Continuidad de Negocio (PCN) tiene como
objetivo de disminuir el riesgo de una interrupción imprevista
de las funciones críticas de una organización. Asegurando, de
este modo, la continuidad de los servicios durante el mayor
tiempo posible, a través de:
●
medios tecnológicos,
●
procedimentales
●
y organizativos.
Téngase en cuenta que un Plan de Continuidad no solo nos
ayuda a no generar gastos cuando se presenta un desastre, si
no que nos genera ingresos en la medida en la que
generamos más clientes por la confanza que ofrecemos.
5. 5
2. Visión de la Problemática
La implantación de la ISO 22301 permite establecer una
estrategia corporativa que garantice la operación a través de
la “elaboración de un Sistema de Gestión de Continuidad de la
Organización según se indica en ISO 22301, que una vez
implantado cubra los siguientes objetivos fundamentales:
●
Contener las pérdidas económicas asociadas a un desastre
●
Minimizar la interrupción de las funciones críticas del
negocio ante situaciones de desastre.
●
Minimizar el impacto y las implicaciones sobre la
organización provocados por un desastre.
Dentro de este marco Ingertec ofrece sus servicios su
organización para implementar el Sistema de Gestión de
Continuidad hasta su certifcación.
6. 6
2. Visión de la Problemática
Del tiempo que tarde en reaccionar una empresa dependerá
la gravedad de sus consecuencias:
●
Un 43% de las organizaciones después de un accidente
no podrán continuar sus operaciones viéndose
obligadas a cerrar.
●
Un 80% tendrán que hacerlo en menos de 13 meses.
●
Un 53% de los clientes de estas organizaciones no
recuperarán las pérdidas causadas por los daños
derivados.
●
Un 50% se verán forzadas a cerrar antes de cinco años
después del desastre.
*Fuente: Cámara de Comercio de Londres .
7. 7
2. Visión de la Problemática
Las mejores prácticas en materia de Continuidad de Negocio
que ofrece Ingertec se basan en la experiencia en la
aplicación de los dominios indicados tanto por la Norma ISO
22301, y los marcos referenciales y directrices de auditoría de
COBIT.
Por otro lado, todas estas normativas recomiendan con
carácter general dentro del código de buenas prácticas para la
problemática asociada a la Gestión de Continuidad de
Negocio, aspectos como:
●
Análisis de impacto de desastres sobre el negocio (BIA)
●
La identifcación y evaluación de Riesgos
●
Los aspectos organizativos, equipos humanos y procesos IT
●
El análisis detallado de las alternativas de respaldo (centros
de respaldo vs. centros secundarios)
●
Documentación y Registros del BCMS.
●
Estrategia de Continuidad de Negocio.
8. 8
2. Visión de la Problemática
Plan de Continuidad de Negocio
Mantener:
✗
Servicios Críticos
✗
La generación de ingresos
✗
Confanza, Imagen
Reducir el impacto
del desastre
➢
¿Qué? Business Impact Analysis
➢
¿Dónde? Centros alternativos
➢
¿Quién? Equipos de recuperación
➢
¿Cómo? Planes operativos
➢
¿Cuándo? Plazos
OBJETIVO
M
E
T
O
D
O
L
O
G
Í
A
9. 9
2. Visión de la Problemática
Destacar como hecho relevante, que la metodología y
procedimientos de Ingertec en la ejecución de Sistemas de
Gestión de la Continuidad, BCMS está alineada con la reciente
normativa ISO 20000 e ISO 27001.
VERIFICAR
Auditoría Interna del
SGSI
HACER
Implantación del SGSI
Implantación de
Controles
PLANIFICAR
Política de Seguridad
Alcance del SGSI
Análisis de Riesgos
Selección de Controles
HACER
Acciones Correctivas
10. 10
2. Visión de la Problemática
La normativa ISO 27001 aplicada a la gestión del Plan de
Continuidad de Negocio, tiene especial relevancia en la fase de
implantación del Plan de Continuidad de Negocio, puesto que
nos permitirá controlar de manera cuantitativa la evolución
del riesgo de la organización en relación a los controles que
vayan siendo aplicados.
En este sentido se trabajara de acuerdo al estándar
establecido, ISO 22301.
11. 11
3. Equipo de Trabajo y Experiencia Previa
Ingertec es una empresa con una alta experiencia en la
implantación de Sistemas de Gestión aplicados a las TIC.
Contamos con un equipo de trabajo formado por
profesionales de distintas disciplinas
●
Ingenieros informáticos.
●
Ingenieros Superiores de Telecomunicaciones.
●
Licenciados.
●
Abogados expertos en LOPD.
●
Profesionales de CISA, CISM y LEAD AUDITOR.
Ingertec es PROVEEDOR OFICIAL DEL INTECO-INCIBE
(INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA
COMUNICACIÓN – SEGURIDAD CIBERNÁUTICA), con el que
hemos colaborado en distintos proyectos del sector.
12. 12
3. Equipo de Trabajo y Experiencia Previa
Algunas de las empresas en las que Ingertec ha colaborado
en la implantación de proyectos relativos a servicios de
tecnología de la información son:
14. 14
5. Forma de trabajo de los estándares
ISO 9001
ISO 14001
ISO 27001
ISO 22301
BIA. Businness Impact Analysis
Gestión de Riesgos
Estrategia de Continuidad de Negocio
Respuesta Incidente
Acción Preventiva
Management Review
Preventiva Reactiva
15. 15
6. Integración con Planes
La gestión de la Continuidad del Negocio en una empresa se
debe integrar y hacer compatible con los diferentes planes
que se tenga en la compañía
●
Planes de seguridad
●
Planes de seguridad física.
●
Planes de seguridad de información.
●
Plan de emergencia.
●
Plan de comunicación institucional.
●
Plan de continuidad de negocio.
Los planes de emergencia (abarcarían aspectos como los
procedimientos de evacuación de edifcios, conducta ante
incendios, y en general actuaciones frente emergencias), no
son objeto de este servicio. Ni los referidos a los Riesgos
Laborales que marca la legislación.
16. 16
6. Integración con Planes
Plan de emergencia
Planes de seguridad
(física y lógica)
Plan de comunicación
institucional
Plan de continuidad
de negocio
DESARROLLO
INTEGRACIÓN
MANTENIMIENTOIMPLANTACIÓN
Gestión de la continuidad de
negocio en una organización
17. 17
7. Plan de Continuidad de Negocio
El enfoque más adecuado se inicia de un análisis exhaustivo
de los procesos de negocio (fundamentalmente los
procesos críticos para la operación), que posteriormente
desemboca en una revisión “dirigida”. Este enfoque se
caracteriza por:
●
Asegurar que desde el inicio se comprende todas las
áreas de negocio de la organización, identifcando
aquellas críticas
●
Permite una fuerte racionalización de inversiones a
realizar una vez identifcados con sufciente rigor los
procesos críticos
●
La obtención de resultados prácticos relativos a la
recuperación tecnológica se alcanza en fases más
avanzadas
18. 18
7. Plan de Continuidad de Negocio - Objetivos
El objetivo fundamental de todo plan de continuidad de
negocio (DRP), es la reducción del impacto de un desastre
sobre la operativa de la compañía. Este objetivo se concreta
en:
●
Mantener la operativa de los servicios críticos (core del
negocio)
●
Evitar la pérdida de ingresos asociada a la interrupción de
operaciones
●
Mantener la confanza e imagen de la compañía
Un plan de continuidad de negocio se debe implementar
involucrando todos los niveles de la organización y debe
combinar las acciones preventivas con controles de
recuperaciones.
19. 19
8. BIA. Business Impact Analysis
El objetivo es determinar los principales procesos, sistemas y
aplicaciones críticos para el negocio de la entidad que deben
ser recuperados.
Para su clasifcación se realizará un inventario de elementos
que pudieran estar contemplados en el plan y que son de
varios tipos: logísticos, instalaciones, almacenamiento, CRM´s,
ERP’s, equipos informáticos, aplicaciones, elementos de red,
líneas de comunicaciones, equipos auxiliares, operadores, etc.
21. 21
9. Análisis de Riesgos
El principal objetivo de un análisis de riesgos es identifcar y
valorar los riesgos que afectan a los activos que conforman un
sistema de información.
En este modelo de análisis de riesgos, se parte de una
situación inicial en la que una organización dispone de un
conjunto de activos. Todos los activos pueden ser atacados de
alguna manera, es decir, existen amenazas sobre los activos.
La vulnerabilidad refeja aquí la frecuencia con la que una
amenaza puede concretarse sobre un activo. Por otro lado,
cuando una amenaza se materializa sobre un activo, se
produce un impacto que puede degradar a éste o a otros.
Finalmente, el riesgo viene a medir la posibilidad de que se
produzca un impacto sobre un activo.
22. 22
9. Análisis de Riesgos
El modelo a utilizar para realizar un análisis de riesgos se
puede presentar en la siguiente fgura.
ACTIVOS AMENAZAS
IMPACTOS VULNERABILIDADES
RIESGOS
Pueden tener Se materializan
Resultado de
la agresión
Se pueden
convertir
Probabilidad de que una amenaza
se materialice sobre un activo y
produzca un impacto
23. 23
10. Alcance de las Actividades
Las actividades que se recogen en la implantación de una ISO
22301 son:
●
Recogida de información.
●
Plan del proyecto.
●
Mantenimiento del sistema
●
Desarrollo de documentación escrita.
●
Ayuda a la implantación.
●
Formación.
●
Auditoría interna.
24. 24
10. Alcance de las Actividades
La documentación propia a desarrollar en un Sistema de
Gestión de Continuidad de Negocio es:
●
Política de Continuidad de negocio.
●
Ámbito del BCMS. Procedimientos y controles para el soporte de
BCMS.
●
Términos de Referencia.
●
Informe de BIA. Business impact Analisys
●
Informe de Riesgos.
●
Detalles de las Estrategias de BCM. Estrategias de Continuidad de
Negocio.
●
Procedimiento para asegurar la planifcación, operación y control
para procesos de continuidad.
●
Planes de Gestión de Incidentes y Continuidad de Negocio.
●
Detalles de contacto y de comunicación a nivel de recursos,
organización, etc. Para el caso de las estrategias de respuesta.
●
Procedimientos de control de Cambios.
●
Registro de Riesgos, etc.
●
Registro de pruebas, y Planifcación de Pruebas.
●
Log de incidentes.
●
Programa de Formación.
●
Organización de Respuesta.