Академический Документы
Профессиональный Документы
Культура Документы
CISSP ABCP COBIT Foundation Certificate CSSA CST Rodrigo.ferrer@sisteseg.com www.sisteseg.com 310 2234533 Ing Electrico Esp. Telecomunicaciones Estudios de Maestra.
fferreol@ferrolig.com fferreol@banrep.gov.co
314-2950236 Socio Fundador de FERROL International Group IT Governance, Control, Security and Audit Services Universidad Catlica de Colombia Especializacin Auditora de Sistemas
El uso de TI tiene el potencial de ser el conductor principal de la abundancia econmica en el Siglo XXI. Mientras que este recurso ya es crtico para el xito de las empresas, proporciona oportunidades de obtener una ventaja competitiva y ofrece los medios para aumentar productividad, esto ser an ms cierto en el futuro.
Pero, TI conlleva riesgos. Y es claro que en estos das de negocios a escala global, los tiempos improductivos han llegado a ser demasiado costosos para las empresas. En algunas industrias, es un recurso necesario para diferenciar y proporcionar una ventaja competitiva mientras que en muchos otras determina la supervivencia.
AGENDA
1. 2.
Introduccin FCE para la Implementacin de PCNs eficientes Metodologa Proyectos vs. Procesos Otros Frameworks Roles & Responsabilidades Concientizacin, Entrenamiento & Educacin Empleo de Herramientas Mantenimiento del Plan Pruebas y Auditoras Conclusiones
3.
Introducci Introduccin
Presiones internas
Presiones externas
25
50
75
100
125
150
175
200
225
250
Impacto en la reputacin
Debida diligencia
Copyright: Rodrigo Ferrer
Legislacin concerniente a:
Control Interno sobre Reportes Financieros - SOX Informacin Mdica HIPPA Superintendencia Financiera
Risk Management Requerimientos de Aseguradoras Requerimientos de Auditora Clentes (SLAs) Obligacin con accionistas & empleados
Copyright: Rodrigo Ferrer
Never before had the ability of business to recover been played out in the full glare of the worldwide media (Honour, 2002)
Pero qu es BCM?
Existen mltiples definiciones:
provides the availability of processes and resources in order to ensure the continued achievent of critical objectives
Standars Australia /NZ HB 221: 2003
[the] way an organization provides its products and services whilst increase its resilience to disruption, interruption or loss
Business Continuity Institute 2002
The uninterrupted availability of all key resources to support essential business processes
Australian National Audit Office
La continuidad del servicio involucra capacidades estratgicas y tcticas, preaprobadas por la direccin de una entidad, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido
Metodolog Metodologa
pr Mejores prcticas
DRII
BCI
Business Continuity Management Principles (Chapter 1) Understanding the Organisation (Chapter 2) Determining BCM Strategy (Chapter 3) Developing and Implementing BCM Response (Chapter 4) Exercising, Maintaining & Reviewing BCM arrangements (Chapter 5) Embedding BCM in the Organisations Culture (Chapter 6)
NPFA 1600
Qu es la NFPA 1600?
La NFPA 1600 establece una base de normalizacin para el planeamiento y operaciones de manejo de desastres/ emergencias al brindar elementos comunes del programa, tcnicas, y procedimientos enfocados en su totalidad en el programa.
CARRERA 18 NO. Facilities 86A 14. TELFONO: IT +57 (1) 6386223. Business FAX: +57 (1) 6163030. Major Impact WWW.ESTEGANOS. for Information Technology Systems, Recommendations of the National Institute of Standards and Technology NIST, June 2002 Contingency Planning Guide Copyright: Rodrigo Ferrer COM
Prevention Plans
Before
During
After
Risk Management
Facility Plans
Bus. UnitsPlans
Security Plans
Risk Management Policy Appendix A Risk Management Phases, Treasury Board of Canada Secretariat.
Risk Management
Before an Incident
During an Incident
After an Incident
Identify
Contain
Minimize
Metodologa Metodolog
Impacto
Tiempo Impacto Financiero (3) Prdida de Imagen o Reputacin (4) Dao a la Comunidad (5)
10 minutos 30 minutos 1 hora 4 horas 16 horas 1 dia 2 dias 4 dias 1 semana 1 mes
Tecnologa Informacin
Legal
COSTO
TIEMPO
El Riesgo La falta de una gestin del riesgo en cualquier entidad puede tener como consecuencia:
Perdida de tiempo Perdida de productividad Perdida de informacin confidencial Prdida de clientes Prdida de ingresos Prdida de competitividad en el mercado Prdida de imagen - credibilidad
Las Amenazas
Amenazas Naturales & Ambientales Fuego Tormenta Elctrica Terremoto Inundacin Tornado Sequa Huracn, Tifn, Cicln Volcn Tsunami Pandmica Accidentales Omisin Error Humanas Intencionales Omisin Error Fuego Robo Sabotaje Vandalismo Huelga Terrorismo Amenaza qumica o biolgica Guerra Ciber-amenaza De Infraestructura Dao estructural Comunicaciones Sistemas de Seguridad Potencia elctrica Calefaccin / Aire Paro de transporte Prdida de utilidades Contaminacin de comida o agua 29 Cambio legal o regulatorio
EVITAR EL RIESGO
Estrategias de Tratamiento
TRANSFERIR EL RIESGO
ATOMIZAR EL RIESGO
Tecnolgicas
Estrategias de mitigacin
No tecnolgicas
Adaptado de IT Governance Hands-on: Using COBIT to implement IT Governance, Luc Kordel, Information Systems Control Journal, Volume 2, 2004
Roles y Responsabilidades
Concientizacin
Talleres
Deduccin
Presentaciones
nfasis en imagenes, experiencias, estadsticas, mensajes
Expertos
Internos y Externos
Concientizacin
Deduccin
Qu hara usted maana si su compaa es
consumida por el fuego hoy? Qu haran sus clientes? Qu haran sus competidores? Qu haran sus bancos y accionistas?
CARRERA 18 NO. 86A 14. TELFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM
Una imagen ..
Una imagen ..
Could your company carry on if the unthinkable happened?
Experiencias, eventos
Naturales
o o o o o
Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance yymagnitud Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance magnitud (Mitroff, 2001) (Mitroff, 2001)
Terrorist Attacks Hurricane Andrew Earthquake Floods Riots Blizzard Wildfires Bombing Heavy Rains Tornados Power Outages
Sep/2001 Aug/1992 Jan/1994 Apr/1992 May/1992 Mar/1993 Oct/1991 Feb/1993 Jan/1993 Apr/1991 Aug/2003
NY, PA and Wash DC Florida, Gulf Coast Los Angeles, CA Midwest Los Angeles 24 States Oakland, CA NY World Trade Center Arizona Andover, KS US and Canada
$27 Billion $24 Billion $11 Billion $10 Billion $2 Billion $1.8 Billion $1.7 Billion $540 Million $56 Million $50 Million $ N/A
NOTA: Los datos reflejan costos de infraestructura y limpieza no las prdidas de ingresos de negocio
Interrupcin de negocio == MUCHO DINERO !!! Interrupcin de negocio MUCHO DINERO !!!
. Pilas con
Todo lo anterior es cierto, pero
Nosotros somos inmunes a desastres Eso nunca pasar aqu Nosotros tenemos una poltica de seguros, eso es suficiente Nosotros nunca hemos tenido problemas antes
CARRERA 18 NO. 86A 14. TELFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM
Entrenamiento en BCM
El adiestramiento al personal en sus roles y responsabilidades relacionadas al Plan As como el entrenamiento en habilidades especificas que necesitarn para llevar a cabo sus roles efectivamente Certificaciones
Actividades a realizar
Empleo de herramientas
Mantener contactos
Alertas
Beneficios Herramientas
El plan se mantiene actualizado Ms fcil notificacin a participantes Facilidad de realizar el BIA (incluido en la herramienta) Facil intercambio de planes especficos (workflow) Facilidad para el entrenamiento y educacin Se debe considerar de la confiabilidad del sistema en donde se encuentre la herramienta en caso de fallas.
Se puede tener una plataforma o varias con el software Servicios de acceso web
Entrenamiento Online
Auditor Auditora
Capacitarse en estos temas Certificarse en estos temas Contribuir a la sensibilizacin y concientizacin sobre estos temas Durante la definicin o establecimiento del Framework Durante el Proyecto Inicial de Construccin de Planes Sugiriendo innovaciones al Framework Aporte de buenas prcticas Durante la elaboracin de los Planes Revisiones posteriores a los Procesos de Construccin de Planes Revisiones posteriores a los Planes
Consultor
Evaluador
Tcnicas
Inspeccin y observacin Entrevista Revisin contra estndares aceptados Listas de chequeos y cuestionarios Simulacin Prueba de escenarios Prueba sorpresa aleatoria Desconexin Participar en la prueba de compatibilidad Correr los sistemas crticos en sitios alternos Verificacin del inventario de elementos para la recuperacin Revisin de documentacin Prueba del equipo tigre Observacin de Programas de respaldo similares Revisar los resultados de las pruebas obtenidas por el equipo de recuperacin Participar en pruebas de sitios de backup y Hot Simulacros de emergencia
Copyright: Rodrigo Ferrer
Conclusiones
Proactivo Vs Reactivo Tomar las acciones correctivas cuando sea necesario Se deben establecer controles que mitiguen el riesgo Respuesta ordenada ante un desastre
Preguntas?