resiliencia convergencia de la seguridad el gobierno de ti y la continuidad de negocio

Por: Ing. Felipe Agustín Rodríguez – Consultor Externo.

ITILv3-F, PPO, CISSP, IRCA ISMS Auditor,CBCP

Ing. Industrial, Ing. Electrónico, MBA

Resiliencia: Convergencia de la Seguridad, el gobierno de TI y la continuidad de negocio.

Agenda

•¿Qué es resiliencia?

•¿Por qué hay que tener una visión de 3 pilares?

•¿Qué papel puede jugar esta visión en su realidad?

• Bibliografía

Introducción

Resiliencia

Tomado de:

http://www.portalciencia.net/images/mater2.jpg

Tomado de:

http://www.madrimasd.org/blogs/universo/wp-

content/blogs.dir/42/files/189/o_Biodiversidad

%20Marina.jpg

Tomado de:

http://eselby.net/network/music/wp-

content/plugins/wp-o-

matic/cache/a6875_therentalspresentresili.jpg

Japón

Tomado de:

http://pn.psychiatryonline.org/content/46/11/1.1.full

Tomado de:

http://pn.psychiatryonline.org/content/46/11/1.1.full

Tomado de:

http://www.wordscanspeak.com/wp-content/uploads/2011/10/japan.jpg

Tomado de:

http://pamirtimes.net/2011/04/07/

Tomado de:

http://pamirtimes.net/2011/04/07/

Resiliencia también es una propiedad

empresarial

La resiliencia es una propiedad que surge de

las actividades que una empresa realiza

alrededor de:

• Sus servicios

• Sus procesos de negocio

• Sus elementos constituyentes (Activos)

•Frente a condiciones cambiantes del riesgo.

Tomado de:

http://www.coverbrowser.com/image/books-about-

success/504-4.jpg

En síntesis…

• Resiliencia es la capacidad de sostener y

proteger la operación de una empresa y

apoyar el cumplimiento de su misión con la

presencia y realización del riesgo.

Tomado de: http://2.bp.blogspot.com/_8OmD6SQJh5M/RyY68Z3UYeI/AAAAAAAAArs/CEWTwyCJa9k/s400/2007_10_sustain.jpg

Marco de referencia:

CERT- Resilience Management Model

• CERT-RMM v1.1 es una forma de aproximar el reto de administrar la

resiliencia en las empresas en un ambiente complejo.

•Resultado de años de investigación en formas que tienen las empresas

para garantizar su seguridad y sostenibilidad.

•El CERT- RMM v1.1 es un modelo orientado a capacidad para la

mejora de procesos en las disciplinas de:

• Seguridad de la información.

•Continuidad del negocio

• Gestión de Operaciones de Tecnología

Agenda

•¿Qué es resiliencia?

•¿Por qué hay que tener una visión de 3 pilares?

•¿Qué papel puede jugar esta visión en su realidad?

• Bibliografía

• Las empresas sufren de una serie de Perturbaciones y

stress •¿Cuáles?

• Objetivos Administración gerencia operacional

• Prevenir la realización de algún riesgo operacional en un servicio de

alto valor -> Estrategia protección.

•Sostener un servicio de alto valor en caso que el riesgo se manifieste.

• Aproximar efectivamente las consecuencias, y retorna a la empresa a

su normalidad.

• Optimizar el logro de los objetivos anteriores al menor costo posible.

Administración de la resiliencia

Elementos de la resiliencia

operacional

Tomado de:

CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational Resilience (SEI Series in Software Engineering)

Addison-Wesley Professional; 1 edition (December 4, 2010)

Sostenibilidad Protección

Servicios

Procesos

Activos Seguridad de la

Información Gestión de la

continuidad

Gestión de

Tecnología

Pilares para la construcción de

resiliencia

Protección vs Sostenibilidad

Tomado de:

CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational Resilience (SEI Series in Software Engineering)

Addison-Wesley Professional; 1 edition (December 4, 2010)

Agenda

•¿Qué es resiliencia?

•¿Por qué hay que tener una visión de 3 pilares?

•¿Qué papel puede jugar esta visión en su realidad?

• Bibliografía

Visión Resiliencia ISMS

•Política de Seguridad

•Organización de la seguridad de la información.

•Clasificación y control de activos

•Seguridad en los RRHH

•Seguridad física y ambiental

•Gestión de Comunicaciones y operaciones

•Control de acceso

•Adquisición, desarrollo y mantenimiento de sistemas de información.

•Gestión de Incidentes

•Gestión de Continuidad de Negocio

•Cumplimiento

ITSM

• Service Strategy: Financial Management, Service Portafolio Management, Demand Management.

•Service Design: Service Catalogue Mngmt, Service Leve Mngmt, Capacity Mangmt, Availability Mangmt, IT Service Continuity Mngmt, Supplier Mngmt.

•Service Transition: Change Management, Service Asset & Config Mngmt, Release & Deploy Mangmt, Knowledge Mngmt.

•Service Operation: Incident Mngmt, Problem Mngmt, Access Mangmt, Service Desk.

•CSI: Service Reporting.

BCM

•Iniciación y justificación proyecto. •Evaluación y Control de Riesgos. • BIA: Business Impact Analysis •Desarrollo de estrategias de continuidad •Operaciones y respuesta frente a emergencias. •Desarrollo y mantenimiento de planes de continuidad •Programas de conciencia y entrenamiento. •Realización de pruebas planes de continuidad. •Relaciones públicas y coordinación crisis. • Coordinación con áreas externas.

Analicemos cada pilar

Hipótesis, Herramientas

y retos

•La empresa

•Hay que saber caracterizar

correctamente a la empresa:

•Herramientas:

- Arquitectura Empresarial

- Estrategia y diseño de servicios

- Cadena de valor- Macroprocesos y procesos base

• Retos:

-Dinámica de cambio empresarial

- Variedad de formas de entregar productos y servicios.

•Seguridad Información

•En área de Tecnología, más seguridad

informática que otra cosa

Hipótesis, Herramientas

y retos

•Herramientas: - SGSI- ISO 27001.

• Retos:

- Alinear Gestión de riesgos con gestión de servicios.

- Responsabilidades de protección con obligaciones de

sostenibilidad. Falsa confianza.

•Gestión de Continuidad

•No se administra de forma orquestada

con otras áreas.

•Herramientas: - DRII- GAP

- Teoría Análisis Decisión

• Retos:

- Salir del saco de DRP, Atención de emergencias. Onerosas en

costos.

- Justificar inversiones en recursos pre-instalados.

•Gestión de Tecnología

•Concentrada principalmente en

requisitos de disponibilidad y

funcionalidad.

•Herramientas: - ITIL

- COBiT

• Retos:

- Diseñar servicios de TI con requisitos garantía.

- Alinear ritmos de operación con otros pilares.

¿Qué papel puede jugar esta visión

en su realidad?

•Hoy existe una mayor conciencia frente a

escenarios adversos.

• Se debe comunicar a la alta gerencia la

necesidad de administrar el concepto de

resiliencia.

•

¿Preguntas?- Bibliografía

•Gracias por su atención

1. CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational

Resilience (SEI Series in Software Engineering) Addison-Wesley Professional; 1 edition (December

4, 2010)

2. The Resilient Enterprise: Overcoming Vulnerability for Competitive Advantage [Paperback], Yossi

Sheffi (Author). MIT Press

3. CERT Resilience Management Model. En: http://www.cert.org/resilience/rmm.html

4. SEI- CERT Program “Measures for Managing Operational Resilience” Julia Allen, Pamela D. Curtis.

July 2011

5. SEI- CERT Program “Sustaining Operational Resiliency: A process improvement Approach to

Security Management” Richard A. Caralli. April 2006