CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA Mario Ureña Cuate Secure Information Technologies CISA, CISM, CGEIT, CISSP Lead Auditor ISO 27001, ISO 22301 Lead Implementer ISO 22301
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
INTRODUCCIÓN
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Base metodológica
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Qué es un BIA? Proceso de analizar actividades y el efecto que unatener interrupción del negocio podría sobre ellas ISO 22301: 2012, cláusula 3.8
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Qué es una actividad? Proceso o conjunto de procesos realizados porque unaproduce organización (o en su nombre) o soporta uno o mas productos o servicios. ISO 22301: 2012, cláusula 3.1
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Qué es un proceso? Conjunto de actividades interelacionadas o interactivas que transforma entradas en salidas. ISO 22301: 2012, cláusula 3.40
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Qué hacemos primero? Valuación de riesgos (RA)
Análisis de Impacto al Negocio (BIA) @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Requerimientos de ISO 22301 Existen diversas metodologías para Análisis de Impacto al Negocio y Valuación de Riesgos que determinarán el órden en que estos serán conducidos ISO 22301: 2012, cláusula 8.2.1, Nota @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿En qué momento hacemos el BIA?
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿En qué momento hacemos el BIA?
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Objetivos de un BIA •
•
•
•
Determinar prioridades de continuidad Determinar prioridades de recuperación Determinar objetivos de continuidad Determinar metas
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
PROCESO BIA
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
BURBUJA, la tortuga
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Recursos Entradas
Personas Actividades
Procedimientos @mariourena
www.slideshare.net/mariourena
Salidas Medidores Mario Ureña Cuate
Ejemplo… Entendimiento del negocio Partes interesadas Roles y responsabilidades Productos y servicios Objetivos de continuidad Criterios de impacto Requisitos legales
Dinero Tiempo Herramientas
Responsables de actividades Tomadores de decisión Gestión BCMS
…
…
ISO 22301 Cláusula 8.2.2 Procedimientos Metodología Técnicas
Actividades críticas Prioridades RTO, MTPoD, RPO, MBCO Dependencias Recursos críticos Actividades analizadas / total Personal capacitado / total
…
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
POLÍTICA Y OBJETIVOS
@mariourena
ESTRATEGIA
www.slideshare.net/mariourena
Mario Ureña Cuate
REQUERIMIENTOS ISO 22301
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
a
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Identificar actividades Evaluar impactos en el tiempo Establecer periodos de tiempo y objetivos de operación Identificar dependencias y recursos que las soportan @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
1. IDENTIFICAR ACTIVIDADES
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Organización
Proveedores y socios de negocio Productos y servicios
Actividad Actividades de soporte Activos y recursos
Contexto interno
Contexto externo
Propósito de la organización Producto / servicio
Actividad
Actividad
Producto / servicio
Actividad
Actividad
Actividad
Clientes
Dependencias y actividades de soporte Activos y recursos
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
1. Identificar actividades Identificar productos y servicios Identificar actividades críticas Identificar actividades de soporte Identificar dependencias Identificar proveedores críticos Identificar recursos críticos @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Línea de tiempo
Nivel de operación
Nivel de operación normal
Operación normal
Ocurre el incidente
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
Tiempo Regreso a la operación normal del negocio
! @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Cuál es el RTO?
E
Nivel de operación
C
F
D
B A Nivel de operación normal
Operación normal
Ocurre el incidente
@mariourena
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
www.slideshare.net/mariourena
!
Tiempo Regreso a la operación normal del negocio
Mario Ureña Cuate
¿Cuál es el RTO?
E
Nivel de operación
C
F
D
B A Nivel de operación normal
Operación normal
Ocurre el incidente
@mariourena
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
www.slideshare.net/mariourena
!
Tiempo Regreso a la operación normal del negocio
Mario Ureña Cuate
¿Cuál es el MTPD / MAO? Nivel de operación
1
3
2
4 5
Nivel de operación normal
Operación normal
Ocurre el incidente
@mariourena
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
www.slideshare.net/mariourena
!
Tiempo Regreso a la operación normal del negocio
Mario Ureña Cuate
¿Cuál es el MTPD / MAO? Nivel de operación
1
3
2
4 5
Nivel de operación normal
Operación normal
Ocurre el incidente
@mariourena
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
www.slideshare.net/mariourena
!
Tiempo Regreso a la operación normal del negocio
Mario Ureña Cuate
2. EVALUAR IMPACTOS EN EL TIEMPO
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Cuál es el impacto en el tiempo? Impacto al negocio
Alto
Medio
Bajo
@mariourena
www.slideshare.net/mariourena
!
Mario Ureña Cuate
¿Cuál es el impacto en el tiempo? Impacto al negocio
Alto
A A A A
Medio
B B B B
Bajo
0-1 Min
@mariourena
1-5 Min
5-15 Min
1530Min
M M 3060Min
www.slideshare.net/mariourena
!
1-2 Hrs
1-2 Hrs
2-5 Hrs
5-12 Hrs
Mario Ureña Cuate
…… 12-24 Hrs
¿Cuál es el impacto en el tiempo?
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
3. ESTABLECER PERIODOS DE TIEMPO
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
¿Cuál es el MTPD / MAO? Nivel de operación
RPO
RTO
MTPoD
Nivel de operación normal
MBCO Operación normal
Ocurre el incidente
@mariourena
Detección del incidente
Inicio de recuperación
Recuperación (mínima) Resolución de la operación en el del incidente sitio alterno
www.slideshare.net/mariourena
!
Tiempo Regreso a la operación normal del negocio
Mario Ureña Cuate
4.RECURSOS IDENTIFICAR QUEDEPENDENCIAS LAS SOPORTANY
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Organización
Proveedores y socios de negocio Productos y servicios
Actividad Actividades de soporte Activos y recursos
@mariourena
Contexto interno
Contexto externo
Propósito de la organización Producto / servicio
Actividad
Actividad
Producto / servicio
Actividad
Actividad
Actividad
Clientes
Dependencias y actividades de soporte Activos y recursos
www.slideshare.net/mariourena
Mario Ureña Cuate
4a. Identificar dependencias Actividad Y
Actividad X
@mariourena
www.slideshare.net/mariourena
Actividad M
Mario Ureña Cuate
4b. Identificar recursos • • • • • • • •
Personal / Gente Información y datos Instalaciones Mobiliario, equipamiento y consumibles Sistemas de información y comunicaciones Transportación Finanzas Proveedores y socios de negocio
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Auditoría a
@mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
Preguntas y respuestas Mario Ureña Cuate CISSP, CISA, CISM, CGEIT ISO27001LA, BS25999LA, ISO22301
¡Gracias!
[email protected] @mariourena www.slideshare.net/mariourena @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate
DEPENDE… @mariourena
www.slideshare.net/mariourena
Mario Ureña Cuate