Este documento presenta un enfoque práctico para el desarrollo e implementación de planes de continuidad de negocio (BCP) y planes de recuperación ante desastres (DRP). Explica el marco conceptual de estos planes y el ciclo de vida de una contingencia. Luego, detalla el enfoque metodológico que incluye análisis de impacto al negocio, selección de estrategias, desarrollo del plan, pruebas y mantenimiento. Finalmente, resalta los beneficios de contar con un B
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
The webinar covers:
1. Cumplimiento de la cláusula 9.1 Monitoreo, medición, análisis y evaluación de un Sistema de
Gestión.
2. Establecer una organización, un modelo, y un método de monitoreo y medición.
3. Elaborar el programa de medición en un sistema de gestión.
Presenter:
Ing. Manuel Collazos Balaguer, Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Instructor internacional de PECB Canadá, Instructor de BASC (Business Alliance for Secure Commerce), implementador líder en más de 30 proyectos de sistemas de gestión.
Link of the recorded session published on YouTube: https://youtu.be/wDAXF7nNkZE
El documento que ahora os compartimos ilustra la correspondencia entre la edición de ISO 45001: 2018, ISO 14001: 2015 e ISO 9001: 2015, esperamos que os sea de utilidad.
ISO 45001: 2018 Sistemas de gestión de la Seguridad y Salud en el Trabajo
ISO 14001: 2015 Sistemas de gestión medioambiental
ISO 9001: 2015 Sistemas de gestión de la calidad
Recuerda que el desarrollo de las nuevas normas se basa en la nueva estructura de alto nivel (HLS) que aporta un nuevo marco común a todos los sistemas de gestión. Esta nueva estructura ayuda a las empresas a mantener una coherencia y un mismo lenguaje.
Con esta nueva estructura de la norma, será más sencillo para las organizaciones incorporar sus sistema de gestión en los procesos de negocio y conseguir una mayor participación de la alta dirección.
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
En este curso aprenderemos a desarrollar un Plan de Continuidad de Negocio para nuestra empresa que nos permita estar preparados ante posibles contingencias que de otra manera podrían impedir la actividad o incluso al cierre de nuestro negocio.
Un curso eminentemente práctico enfocado a adquirir conocimientos de utilidad directa en nuestro día a día para nuestro negocio que además está alineado con los requisitos de las normas relacionadas con Sistemas de Gestión dela Continuidad del Negocio ISO22301 (antesBSI25999), con Sistemas de Gestión de Seguridad de la Información ISO27000 e incluso con la norma nacional UNE 71599 sobre Gestión de la Continuidad de Negocio.
Se pone el énfasis en que este curso no es un curso de certificación en ninguna de las normas anteriormente citadas convirtiéndose en un curso eminentemente práctico donde obtener conocimientos profundos de rápida aplicación a las necesidades de la empresa además y por supuesto alineados condichas normas.
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
El Análisis de impacto al negocio es fundamental en la implementación de un plan de continuidad del negocio (BCP), estaremos compartiendo algunas aspectos importante al momento de realizar un BIA en su organización.
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
The webinar covers:
- Aplicación de los principios
- Marco de referencia
- El proceso
Presenter:
CARLOS ALFONSO RESTREPO ORAMAS, formador certificado por el Instituto Tecnológico de Monterrey México, con 20 años de experiencia profesional en el sector financiero colombiano; capacitando, diseñando, auditando, implementando, operando y liderando sistemas de gestión integral de riesgo y continuidad del negocio para empresas de reconocido prestigio internacional.
Link of the recorded session published on YouTube: https://youtu.be/U8IP9pgZf-I
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
The webinar covers:
1. Cumplimiento de la cláusula 9.1 Monitoreo, medición, análisis y evaluación de un Sistema de
Gestión.
2. Establecer una organización, un modelo, y un método de monitoreo y medición.
3. Elaborar el programa de medición en un sistema de gestión.
Presenter:
Ing. Manuel Collazos Balaguer, Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Instructor internacional de PECB Canadá, Instructor de BASC (Business Alliance for Secure Commerce), implementador líder en más de 30 proyectos de sistemas de gestión.
Link of the recorded session published on YouTube: https://youtu.be/wDAXF7nNkZE
El documento que ahora os compartimos ilustra la correspondencia entre la edición de ISO 45001: 2018, ISO 14001: 2015 e ISO 9001: 2015, esperamos que os sea de utilidad.
ISO 45001: 2018 Sistemas de gestión de la Seguridad y Salud en el Trabajo
ISO 14001: 2015 Sistemas de gestión medioambiental
ISO 9001: 2015 Sistemas de gestión de la calidad
Recuerda que el desarrollo de las nuevas normas se basa en la nueva estructura de alto nivel (HLS) que aporta un nuevo marco común a todos los sistemas de gestión. Esta nueva estructura ayuda a las empresas a mantener una coherencia y un mismo lenguaje.
Con esta nueva estructura de la norma, será más sencillo para las organizaciones incorporar sus sistema de gestión en los procesos de negocio y conseguir una mayor participación de la alta dirección.
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
En este curso aprenderemos a desarrollar un Plan de Continuidad de Negocio para nuestra empresa que nos permita estar preparados ante posibles contingencias que de otra manera podrían impedir la actividad o incluso al cierre de nuestro negocio.
Un curso eminentemente práctico enfocado a adquirir conocimientos de utilidad directa en nuestro día a día para nuestro negocio que además está alineado con los requisitos de las normas relacionadas con Sistemas de Gestión dela Continuidad del Negocio ISO22301 (antesBSI25999), con Sistemas de Gestión de Seguridad de la Información ISO27000 e incluso con la norma nacional UNE 71599 sobre Gestión de la Continuidad de Negocio.
Se pone el énfasis en que este curso no es un curso de certificación en ninguna de las normas anteriormente citadas convirtiéndose en un curso eminentemente práctico donde obtener conocimientos profundos de rápida aplicación a las necesidades de la empresa además y por supuesto alineados condichas normas.
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
El Análisis de impacto al negocio es fundamental en la implementación de un plan de continuidad del negocio (BCP), estaremos compartiendo algunas aspectos importante al momento de realizar un BIA en su organización.
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
The webinar covers:
- Aplicación de los principios
- Marco de referencia
- El proceso
Presenter:
CARLOS ALFONSO RESTREPO ORAMAS, formador certificado por el Instituto Tecnológico de Monterrey México, con 20 años de experiencia profesional en el sector financiero colombiano; capacitando, diseñando, auditando, implementando, operando y liderando sistemas de gestión integral de riesgo y continuidad del negocio para empresas de reconocido prestigio internacional.
Link of the recorded session published on YouTube: https://youtu.be/U8IP9pgZf-I
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
Presentación de la conferencia "Caso práctico para la ejecución de un análisis de impacto al negocio" del 01 de Octubre del 2013 en Latin CACS realizado en Medellín, Colombia.
Cobit 5 un framework para el gobierno y gestión de las TI
Proyecto de curso de Contabilidad para Gestión,
Universidad Nacional Mayor de San Marcos, Lima, Perú
Noviembre del 2014
Servicio de gestión de los Activos Físicos de las organizaciones como factor de mejora de la competitividad.
Abstract:
El hombre construye las máquinas y activos físicos en general y los opera pero, paradójicamente, es la principal causa de su indisponibilidad técnica. ¿Por qué?. Básicamente porque muchas veces los diseña, los usa o los repara mal. Actualmente se está trabajando en todo el mundo para convertir en norma ISO la PAS55 que daría marco de buenas prácticas de actuación a la Gestión de Activos Físicos. La ISO 55000 nos da el pie para el desarrollo del MBG (Mantenimiento Basado en la Gente) que toma la satisfacción de las necesidades objetivas del cliente interno de mantenimiento como la primera meta a cumplir. El mantenedor debe garantizarle capacidad para producir u operar adecuadamente.
La idea de MBG es hacer uso de varios de los conceptos de TPM y RCM pero parte del factor humano en la gestión operativa y técnica. Todo esto se puede estructurar así MBG=TPM+RCM+SIX SIGMA+CONFIABILIDAD OPERACIONAL+FACTOR HUMANO+….
También de debe tener cuenta la Confiabilidad Humana pero no solo desde la hipótesis de que las fallas debido a los seres humanos tienen raíz en el “error”, sino profundizando los sesgos cognitivos que son su mayor caldo de cultivo.
Disertante: Ing. Ricardo Pauro
Es egresado de UTN FRBA y dirige la Diplomatura en Gestión de Activos Físicos y Facilites. También el Centro de Investigación de Activos CIGAF y el Congreso de la especialidad. Con más de 30 años de experiencia, en distintas empresas hoy como consultor asesora a empresas de distintos rubros y países en Ingeniería de Activos Físicos, Gestión, Confiabilidad y Mantenimiento.
www.congresodecalidad.com.ar
Modulo presupuestario y administrativo. Inicio:21 de Enero 2015 de 6:15 a 9:30pm (3 sesiones)Certificación por R&C CONSULTING (24h lectivas), Obtén promociones.Sujeto a convocatoria ( mínimo 15 participantes). Mas informacion: www.rc-consulting.org
Similar a Segurinfo 2015 bcp -presentación cristián fourcade (20)
3. Marzo 2015
Agenda
Marco conceptual
• BCM
• BCP
• DRP
Ciclo de vida de una Contingencia con BCM / BCP
Enfoque Metodológico
• Análisis de impacto en negocio (BIA)
• Selección de Estrategia
• Desarrollo del Plan
• Prueba y mantenimiento del plan
Síntesis y Beneficios esperados
4. Marzo 2015
Definiciones – Marco Conceptual
Business Continuity Management (BCM):
• Dota a la organización de capacidades de gestión y acción para:
o Identificar y valorar amenazas potenciales,
o Definir estrategias acordes a los impactos y necesidades concretas y reales
del negocio,
o Planificar y construir la respuesta de la organización a las amenazas,
resguardando los intereses de toda la organización. (Reputación, marca,
empleados, actividades de valor agregado, y rentabilidad),
o Estructurar un esquema de mantenimiento y mejora continua que garantice
la efectividad y validez en el tiempo.
(1) Normas y Prácticas: NFPA 1600; DRII; ASIS/BCI; PAS56; BS-25999-1/2; ISO 22301/2012
• Es un activo de la organización. No es un gasto.
5. Marzo 2015
Definiciones – Marco Conceptual
Plan de Continuidad de Negocios (BCP) :
• “Es la capacidad que tiene la organización para continuar la entrega de
productos o servicios a niveles predefinidos aceptables después de que haya
sucedido un incidente perjudicial” (ISO 22301),
• Procesos y acciones desarrollados para prevenir interrupciones de actividades
del Negocio, que minimizan el impacto de un evento o incidente en el negocio,
• Tiene un alcance Operativo y Tecnológico.
Plan de Recuperación ante Desastres (DRP) :
• Subconjunto del BCP,
• Está focalizado en los aspectos Tecnológicos. Es un conjunto de acciones y
procedimientos, medios, y responsables,
• Recupera la funcionalidad y operación de la infraestructura y las aplicaciones.
6. Marzo 2015
Ciclo de vida de la Contingencia con BCM - BCP
Plan de Recuperación de Desastres (DRP)
t
t1t4
RPO
Sitio Alternativo
RPO: Punto de
Recuperación
Objetivo
t5
Período en Contingencia
Operación
en
Contingencia
Mantener Contingencia y
Soporte a la Operación
Actividades
para la vuelta atrás
t6
Tiempo para
retornar a la
Normalidad
Vuelta a la
normalidad
Ejecutar
Vuelta a la
Normalidad
t2
Detección y
Ejecución
Arbol de
Llamados
Comité
Continuidad de
Negocio
Comité
Administración
de Crisis
RTO
t3
RTO: Tiempo de
Recuperación
Objetivo
Contención
Mitigación
Actividades para
activar Sitio y/o
Sistemas Alternos
y Puesta en marcha
Unidades
de
Negocio
Unidades
Operativas
Sistemas
yTecnología
Administración,
RRHH,
Otros
Plan de Contingencia y Procedimientos (PCP)
7. Marzo 2015
Evaluación general de riesgos
Evaluación de procesos y aplicaciones de
negocio, con el objetivo de determinar:
o Criticidad,
o Tiempos de recuperación,
o Interdependencias entre
procesos y tecnología
(internos /terceros),
o Requerimientos mínimos
para su recuperación.
Enfoque Metodológico
de la Gestión de continuidad de Negocio
Desarrollar Plan de
recuperación detallado:
o Roles &
responsabilidades,
o Criterios de decisión,
o Procedimientos
detallados,
o Logística.
Diseño de las pruebas del plan
y su periodicidad,
Políticas y procedimientos
para mantener actualizado y
vigente el plan desarrollado,
Entrenamientos,
Ejecución de pruebas.
Determinación de las
estrategias viables de
continuidad y
recuperación, evaluando:
o Requerimientos mínimos,
o Estrategias de Backup & Recovery,
o Posibles sitios alternos de
procesamiento.
8. Marzo 2015
Análisis de impacto en negocio (BIA)
Procesos / Impacto de Negocio / RTO / Dependencias
Procesos / Impacto de Negocio / Tiempos
máximos de interrupción
- Sin dependencia No aplica
1 Baja dependencia No impacta en el proceso
2 Dependencia media Puede trabajar con medios alternativos
3 Dependencia absoluta Imposibilita trabajar o producir
Nivel de dependencia
10. Marzo 2015
Análisis de impacto en negocio (BIA)
Evaluación de Riesgos – Distribución del Riesgo
11. Marzo 2015
Selección de Estrategia
Para evaluar las estrategias a utilizar se debe tener en cuenta:
• Resultado del BIA – VAR
• Análisis Costo / Beneficio (ROI) de las alternativas propuestas
o Los costos para cada alternativa. (Capex – Opex)
o Beneficios: Comerciales – Seguro – Tasas bancarias, VAR, otros
• Factibilidades técnicas y operativas
• Desarrollar acuerdos recíprocos y/o con proveedores de servicios y
validarlos.
Evaluar el alcance y alternativas de Mitigación / Recuperación y sus niveles de
activación:
• Sitios internos o externos,
• Hot , Warm o Cold Sites.
• Generación de capacidad ociosa para
reprogramación de producción,
• Gestión de Stocks,
• Distribución en locaciones.
(1) VAR (Value at risk)
13. Marzo 2015
Desarrollo del Plan
El plan debe ser una guía de decisión y respuesta que
Identifica como mínimo:
El daño potencial y recursos mínimos para
recuperar los servicios en función a la estrategia,
Secuencia de Fases y estados de alerta , R & R,
Funciones críticas y priorización de la ejecución de
procedimientos alternos y de restauración,
Area Afectada
Incendio
Falla
electrica
(apagon) o
Propio
Vandalismo,
Terrorismo,
Piquete
Placa de
Red Discos Sistema operativo Core Switch
Switch de
Borde Storage Un Vinculo Todos los vinculos
Nivel de Emergencia 4 Plan A
Nivel de emergencia 3 Plan B
Nivel de emergencia 2 Plan C
NO Nivel de emergencia 1 Plan D
Nivel de Emergencia 4 Plan A1
Nivel de emergencia 3 Plan B1
Nivel de emergencia 2 Plan C1
NO Nivel de emergencia 1 Plan D1
Data Center
Servidor SAP
Acción
SI No existe alternativa de DRP
SI No existe alternativa de DRP
Fallas Tecnicas componentes
Net working
Fallas Proveedor de Comunicaciones (unico)
Interrumpe el Servicio
Amenaza Amenaza
Fallas Tecnicas componentes Servidores o
sabotaje
Riesgo
Nombre
Rol en el
plan
BCP
Responsab.
en el Plan
BCP
Participa en Planes
A1
.1
A1
.2
A
2
A
3
A4
B1
.2
B1
.2
B
2
B
3
B
4
C
1
C
2
C
3
C
4
Persona 1 Steering
Commitee
Argentina CFO
Persona 2 Steering
Commitee
CFO Latam
Persona 3 Steering
Commitee
Latam IS IA
Persona 5 SAP Platform
Manager
Idem DRP Director ? ? ? ? ? ? ? ? ? ? ? ? ? ?
Persona 6 DRP Manager Coordina
actividades DRP
Según plan en
ejecución.
Procedimientos detallados (alternativos y
recuperación),
Criterios de aceptación,
Equipos de trabajo, insumos y logística requerida.
14. Marzo 2015
Plan de Pruebas
• Su objetivo es medir efectividad y capacidad del plan
Contiene:
o Todos los aspectos a probar (Secuencia o fases, prioridad, logística,
aspectos técnicos, RR.HH),
o Criterios de aceptación, resultados esperados,
o Revisión preliminar, Simulación (Dry run), Prueba real.
• Todo el personal involucrado debe ser entrenado.
Prueba y Mantenimiento
Mantenimiento y mejora continua del plan
• Un único responsable con autoridad necesaria para:
o Requerir y obtener de todas las áreas los ajustes que aseguren la
vigencia del plan,
o Realizar las revisiones periódicas de cada uno de los planes de
continuidad del negocio, y el entrenamiento requerido.
• La periodicidad con la que realizará la revisión, pruebas subsiguientes y
auditorias.
15. Marzo 2015
Factores críticos de éxito
Desarrollo del BCP
• Involucramiento y compromiso del Senior Management,
• Liderazgo preferiblemente en el negocio,
• Los resultados del BIA y la definición de estrategia debe ser aprobada por el
Sr. Management,
• Es un proyecto de toda la Empresa – No es un proyecto de IT,
• IT es clave, pero es sólo una parte,
• Presentación niveladora en conceptos de BCP, y entrenamiento continuo,
• Se deben utilizar técnicas de Gestión de proyectos (PMI – Prince2 - PMO),
• Todos los procedimientos o especificaciones técnicas requeridas por el
proyecto deberían ser confeccionas por personal de la empresa,
• Los consultores externos participan fuertemente en las primeras etapas,
acompañan durante el desarrollo y auditan pruebas,
• El proyecto y el plan deben contar con criterios de aprobación formales,
• La responsabilidades deben especificarse claramente.
16. Marzo 2015
Síntesis
Beneficios esperados
• Contar con una solución de continuidad para la producción y entrega de
productos o servicios de la compañía después de la ocurrencia de un incidente,
• Potenciar la obtención de nuevos negocios por contar con un BCP,
• Disminución de la prima de seguros por pérdidas de beneficios,
• Previene sobre-inversión o inversión inefectiva,
• Disminución de la exposición a riesgos y pérdidas en el Negocio,
• Toma de decisiones rápidas, controladas y probadas ante las contingencias,
• Contar con una solución que permita evitar la interrupción y que facilite la
rápida recuperación de la infraestructura tecnológica en caso de ocurrir un
incidente o un desastre.
Para ello hemos considerado
18. Marzo 2015
Para mayor información:
Lic. Cristián P. Fourcade
cfourcade@cfourcade.com.ar
Para descargar esta presentación visite www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en