integrando un bcms a las prácticas de gestión de la ... 2013... · alinearla a las necesidades de...
TRANSCRIPT
www.isaca.org.uy
Integrando un BCMS a las prácticas
de gestión de la empresa: nuevo
enfoque y normativa
Graciela Ricci, CISA, CGEIT, CRISC
www.isaca.org.uy
Agenda
• Evolución de la práctica de BCM
• Necesidad de contar con un BCMS
• Cómo integrarlo a la realidad de la empresa
• ¿Cómo impacta en lo que ya hemos
desarrollado en Continuidad Operativa?
www.isaca.org.uy
Evolución de la práctica de BCM
www.isaca.org.uy
Evolución de la práctica de BCM
Desarrollo
de
Soluciones
puntuales
Alineación a
los objetivos
del negocio
Integración
con socios
de negocio
Integración
con las
restantes
prácticas de
gestión
Foco en los
Planes de
Contingencia
Concepto de
“Solución” de BCM:
•Planes
•Recursos
•Personas
Escenarios
DRPs ya no
son
suficientes
Definición de un
Sistema de Gestión
de la Continuidad
Operativa
Desarrollo de la
práctica de prueba y
mantenimiento
Contar con una Solución
de BCM
Alinearla a las necesidades
de la organización
Mantenerla
actualizada
Cambios básicos
BIA
Política de
Continuidad
Operativa
Uso de
estándares
www.isaca.org.uy
Evolución de la práctica de BCM
Desarrollo
de
Soluciones
puntuales
Alineación a
los objetivos
del negocio
Integración
con socios
de negocio
Integración
con las
restantes
prácticas de
gestión
Foco en los
Planes de
Contingencia
Gerencia de IT
Auditoría Interna
Principales Gerencias
de negocio
Alta Gerencia
Riesgo Operativo
Resto de las Gerencias
de negocio
Alta Gerencia
Todas las gerencias de
negocio y soporte
Responsables e involucrados
Los roles y funciones se
incluyen en los
Manuales de Cargos
Muy pocos roles y
funciones formales
(Manuales de Cargos)
Más roles y funciones
formales (Manuales de
Cargos)
www.isaca.org.uy
Evolución de la práctica de BCM
Desarrollo
de
Soluciones
puntuales
Alineación a
los objetivos
del negocio
Integración
con socios
de negocio
Integración
con las
restantes
prácticas de
gestión
Foco en los
Planes de
Contingencia
Desde el punto de vista de la normativa
BS 25999 ISO 22301 ISO 22313
www.isaca.org.uy
Necesidad de contar con un BCMS
www.isaca.org.uy
Necesidad de contar con un BCMS
Nuevas expectativas
Unos años atrás el objetivo de las
organizaciones era desarrollar
una Solución de BCM
Hoy debería ser contar con
prácticas formalmente
establecidas que involucren a
todos los que corresponda dentro
y fuera de la organización, para
garantizar la capacidad de
respuesta deseada.
Por eso es muy importante hablar
de “Sistema
www.isaca.org.uy
Necesidad de contar con un BCMS
Enfoque actual:
Una práctica de BCM madura
debería estar enfrentando la
dificultad de garantizar la
adecuación de su Solución de
BCM desde el punto de vista de:
• Expectativas de recuperación
de la Alta Gerencia (teniendo
en cuenta los requerimientos
de sus socios de negocio y la
normativa interna y/o externa
pertinente)
• Correctitud
• Eficiencia y Eficacia
• Capacidad de prueba y
mantenimiento
• Compromiso del
personal
www.isaca.org.uy
Cómo integrarlo a la realidad de la empresa
www.isaca.org.uy
Cómo integrarlo a la realidad de la empresa
ISO 22313
Evaluación
Contexto
Liderazgo
Objetivos
Soporte Operación
Mejora
www.isaca.org.uy
Cómo integrarlo a la realidad de la empresa
Evaluación
Contexto
Liderazgo
Objetivos
Soporte Operación
Mejora
ISO 22313:
Brinda un marco de buenas
prácticas para la definición y
gestión de un sistema que
garantice un adecuado nivel
de mantenimiento de la
solución de BCM, así cómo su
alineación a los
requerimientos del negocio y
su mejora continua.
Administrar / Mejorar
www.isaca.org.uy
ISO 22301
Cómo integrarlo a la realidad de la empresa
Evaluación
Contexto
Liderazgo
Objetivos
Soporte Operación
Mejora
www.isaca.org.uy
Cómo integrarlo a la realidad de la empresa
Evaluación
Contexto
Liderazgo
Objetivos
Soporte Operación
Mejora
ISO 22301:
Guía cómo diseñar,
implementar y gestionar
una solución de BCM que
le garanticen el logro de
los objetivos de
continuidad de la
organización
Prevenir / Responder
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Contexto
• Comprender necesidades
y expectativas de los
involucrados respecto a la
continuidad del negocio
• Determinar y definir el
alcance del Business
Continuity Management
Systems - BCMS
Liderazgo
• Lograr el compromiso de
la Gerencia
• Definir y asegurar la
estructura organizativa,
roles y responsabilidades
• Definir y aprobar la
Política de Continuidad
del Negocio
ISO 22313
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Objetivos
• Identificar riesgos y
oportunidades relativas a
continuidad del negocio
teniendo en cuenta la
situación de contexto
relevada
• Definir los objetivos de
continuidad
ISO 22313
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Soporte
• Analizar/validar recursos
habituales de respuesta
ante incidentes
• Analizar/validar recursos
para la solución de BCM
(prevención, respuesta)
• Relevar/procurar
competencias
• Promover la
concientización y
comunicación
• Documentar las
estrategias
ISO 22313
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Operación
• Planificar cómo alcanzar
los objetivos de
continuidad de acuerdo a
la Política de Continuidad
• Realizar BIA y Análisis de
Riesgos para definir la
estrategia de continuidad
• Definir e implementar los
procesos de continuidad
del negocio (Ver ISO
22301)
• Realizar el entrenamiento y
prueba
ISO 22313 ISO 22301
www.isaca.org.uy
ISO 22301
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Evaluación
• Validar la alineación
entre la Política de
Continuidad y la solución
de BCM; y de ambas
respecto a la estrategia y
requerimientos del
negocio
• Validar la suficiencia de
competencias y recursos
• Revisar los controles de
efectividad y eficiencia de
la solución BCM
instalados (controles
sobre las pruebas,
asignación de roles y
responsabilidades, etc.)
• Realizar auditorías
internas
ISO 22313
www.isaca.org.uy
Cómo integrarlo a la realidad de la
empresa
Mejora
• Identificar las no
conformidades del BCMS
en relación a su
capacidad de garantizar
una Solución de BCM
actualizada, eficiente,
eficaz y que satisface los
requerimientos de
organización
• Analizar las causas raíz
• Definir pasos para su
remediación
ISO 22313
www.isaca.org.uy
¿Cómo impacta en lo que ya hemos
desarrollado en Continuidad Operativa?
www.isaca.org.uy
¿Cómo impacta en lo que ya hemos
desarrollado en CB?
www.isaca.org.uy
¿Cómo impacta en lo que ya hemos
desarrollado en CB?
www.isaca.org.uy
¿Cómo impacta en lo que ya hemos
desarrollado en CB?