Presentación de Alejandro Delgado, Director de operaciones de Audisec, durante el "Desayuno Tecnológico sobre Continuidad de Negocio" organizado por Audisec y Nextel S.A. el 15 de mayo de 2013 en el Parque Científico y Tecnológico de Bizkaia
2. Audisec: Quienes somos
AUDISEC Seguridad de la Información, como fabricante de GlobalSUITE, ha participado en multitud
de proyectos:
• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001
(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI Norma ISO 20000
(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio ISO 22301
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
3. Audisec: Dónde estamos
AUDISEC Seguridad de la Información, fabricante de GlobalSUITE, tiene enfoque
internacional y actualmente se encuentra operando en los principales países de
Latinoamérica, Norteamérica y Europa.
4. GlobalSUITE: Solución integrada
GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que gestiona
ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier
tipo de sistema de gestión
GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo
de sistema de gestión
5. GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS:
Herramienta para la gestión y
mantenimiento de sistemas de calidad y
medioambiente (ISO 9001 e ISO 14001)
Herramienta para gestionar sistemas de
gestión de Seguridad de la Información
(ISO 27001)
Para empresas TI Global 20000 permite la
gestión de sistemas de gestión de sus
servicios TI ( ISO 20000)
Esta herramienta permite gestionar la
continuidad de negocio bajo la norma
ISO22301 / BS25999
6. GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL
aprovechando el motor de AGR avanzado de
GlobalSGSI, nos permite analizar y gestionar
riesgos, de cualquier tipo
(Financieros, legales, operacionales, etc.) con
cualquier metodología de análisis, y pudiendo
personalizar los catálogos de
amenazas, vulnerabilidades, controles, etcCUMPLIMIENTO LEGAL Y NORMATIVO
Gracias a los módulos GAP ANALYSIS y AUDITORÍA se
pueden cargar esquemas de leyes, normas o
estándares y realizar un análisis diferencial contra el
esquema deseado para que luego GlobalCOMPLIANCE
genere automáticamente el plan de adecuación
BALANCED SCORECARD (BSC) Herramienta para la
implantación y mantenimiento diario de un Cuadro de
Mandos Integral (CMI) que además ayuda al
mantenimiento de cualquier sistema de gestión
(9001, 14001, 27001, etc.)
7. GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS:
Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la
legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose
con el resto de sistemas o de manera aislada)
Herramienta para que empresas privadas y
administraciones públicas puedan adecuarse a la
Ley de Protección de Datos
Herramienta para la adecuación del Esquema
Nacional de Seguridad, obligatorio para
Administraciones Públicas
Herramienta para la Implantación de Sistemas para
la Gestión de la Protección de Infraestructuras
Críticas
8. Audisec: Planes de Continuidad de Negocio
PLANES DE CONTINUIDAD DE NEGOCIO
Visión General
9. Audisec: Planes de Continuidad de Negocio
ISO 22301, el estándar internacional para la implantación de
sistemas de gestión de continuidad de negocio.
10. Audisec: Planes de Continuidad de Negocio
22301
SGCNENS
PCI
27001
27031
PIC
25777
20000
Contexto legal y normativo
11. Audisec: Planes de Continuidad de Negocio
Cuestiones
Técnicas
Cuestiones
Organizativas
Sistema de
Gestión
12. Audisec: Planes de Continuidad de Negocio
SGCN
BCP1
DRP1 DRP2 DRP3
BCP2
DRP1
13. Audisec: Planes de Continuidad de Negocio
RRHH
ORGANIZATIVA
TÉCNICA
VUELTA NORMALIDAD
14. Audisec: Planes de Continuidad de Negocio
El 81% de las grandes organizaciones españolas han emprendido
actividades encaminadas a desarrollar e implementar planes de
continuidad de negocio.
¿Buen dato?, redactado de otro modo NO LO ES:
Una quinta parte de las grandes organizaciones españolas NO han
hecho absolutamente nada en relación a la continuidad de su negocio.
15. Audisec: Planes de Continuidad de Negocio
Hay que diferenciar entre Continuidad de Negocio y Recuperación ante
desastres.
Continuidad de negocio: tras una fase previa de análisis y a través de
una serie de acciones planificadas, probadas y mantenidas a lo largo
del tiempo, trata de minimizar el impacto de un incidente en las
actividades críticas de la organización, intentando que estén paradas el
menor tiempo posible, que haya el mínimo de efectos colaterales
posibles y que en consecuencia los costes asociados a ocurrencia del
incidente no pongan en peligro la viabilidad de la organización.
16. Audisec: Planes de Continuidad de Negocio
Hay que diferenciar entre Continuidad de Negocio y Recuperación ante
desastres.
Recuperación ante desastres: no tiene como punto de partida el
“negocio” ni suele haber fases de análisis de la organización. Se centra
en recuperar áreas concretas de una organización en un tiempo
pactado. Los planes de continuidad de negocio suelen incluir varios
planes de recuperación ante desastres.
17. Audisec: Planes de Continuidad de Negocio
PLANES DE CONTINUIDAD DE NEGOCIO
Problemática
18. Audisec: Planes de Continuidad de Negocio
BIAs
RTOs
Personas
Árboles de
llamada
Crisis
Comunicación
CPD
Riesgos
19. Audisec: Planes de Continuidad de Negocio
Problemática
Demasiadas personas a coordinar
Demasiados sistemas de información
Complejidad técnica de las tareas
Toma de decisiones muy lenta
Poca mantenibilidad de los planes de
continuidad y de recuperación ante
desastres -> información obsoleta
Herramientas complejas
Gestión documental obsoleta
20. Audisec: Planes de Continuidad de Negocio
RRHH
ORGANIZATIVA
TÉCNICA
VUELTA NORMALIDAD
21. Audisec: Planes de Continuidad de Negocio
Consecuencias
Excesiva dedicación de recursos humanos
a estas tareas -> aumento del coste
Excesiva dedicación de recursos técnicos
-> aumento del coste
Planes de continuidad obsoletos
Planes de recuperación ante desastres
que no funcionan
Se alarga el tiempo de ejecución de estos
proyectos
22. Audisec: Planes de Continuidad de Negocio
Consecuencias
Excesiva dedicación de recursos humanos
a estas tareas -> aumento del coste
Excesiva dedicación de recursos técnicos -
> aumento del coste
Planes de continuidad obsoletos
Planes de recuperación ante desastres que
no funcionan
Se alarga el tiempo de ejecución de estos
proyectos
Necesidades
Negocio Planes de
Continuidad
costes
23. Audisec: Planes de Continuidad de Negocio
PLANES DE CONTINUIDAD DE NEGOCIO
Solución propuesta
25. Audisec: Planes de Continuidad de Negocio
Identificar todas las
actividades de
negocio
PRE-BIA para ver las
más críticas
Identificar procesos
de soporte a esas
actividades
Modelar
dependencias entre
actividades y
procesos
BIA a los procesos
Análisis de riesgos
MTPDs, RTOs y
RPOs
Estrategias y
opciones
Desarrollo
Cuadro de mando
Pruebas
Mantenimiento
Estructurar el proyecto de manera natural
26. Audisec: Planes de Continuidad de Negocio
Herramientas: GlobalCONTINUITY
Características generales
Objetivos de Continuidad
Actas de reunión
Gestión Documentación
Cuadro de mando
Gestión de usuarios
Gestión del Proyecto
Funciones y Obligaciones
Gestión de empleados
Análisis de Impacto en el Negocio
Cuestionarios guiados para los BIAs
BIAs automáticos
Consolidación de BIAs
Cálculo MTPD, RTO y RPO
Análisis y Gestión de Riesgos
Inventario de activos
Análisis de riesgos
Gestión de riesgos
Históricos e informes
Catálogos de riesgos
Retorno de inversión
Simulación de riesgos
Planes de Continuidad
Escenarios de desastre
Planes de continuidad y recuperación ante desastres
Despliegue automático de los planes
Cuadros de mando y seguimiento del despliegue
29. Audisec: Planes de Continuidad de Negocio
BIAs, encuestas y consolidación de BIAs
30. Audisec: Planes de Continuidad de Negocio
BIAs
BIAs, encuestas y consolidación de BIAs
31. Audisec: Planes de Continuidad de Negocio
BIAs BIAs BIAsBIAs BIAs
BIA CONSOLIDADO
BIAs, encuestas y consolidación de BIAs
32. Audisec: Planes de Continuidad de Negocio
Riesgos de continuidad de negocio
33. Audisec: Planes de Continuidad de Negocio
Planes de Continuidad de Negocio
Comités de decisión
Planes de Gestión de Incidentes
Escenarios de desastre
Planes de continuidad
Planes de recuperación
Tareas
Subtareas
Alertas
34. Audisec: Planes de Continuidad de Negocio
Activación de un plan: ocurre el incidente
35. Audisec: Planes de Continuidad de Negocio
Activación de un plan: GlobalCONTINUITY convoca el comité
36. Audisec: Planes de Continuidad de Negocio
Activación de un plan: se decide activar uno u otro plan
37. Audisec: Planes de Continuidad de Negocio
Activación de un plan: se manda a cada responsable de cada tarea
toda la información relevante que necesita