Sistema de Gestión de Continuidad del Negocio de acuerdo con BS 25999 e ISO 22301
del Negocio de Acuerdo con
BS25999 e ISO 22301
BS25999 e ISO 22301
October 2011
O t b 2011
Mario Ureña Cuate
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
Introducción
Elementos que componen el SGCN
Gestión de incidentes en el SGCN
Gestión de incidentes en el SGCN
Similitudes y diferencias entre BS 25999‐2 e ISO/DIS 22301
ISO/DIS 22301
• Factores críticos de éxito
• C l i
Conclusiones
•
•
•
•
Nota
• Al cierre de la preparación de esta presentación,
p p
p
,
el estándar ISO 22301 no ha sido publicado en su
versión final, por lo que la información contenida
en esta presentación se refiere al documento
ISO/DIS 22301.
• La publicación de ISO 22301 en su versión final
pudiera incluircambios relevantes no incluídos en
esta presentación
presentación.
Introducción
Introducción
• Ejemplos de incidentes
continuidad del negocio:
–
–
–
–
–
–
–
–
que
pueden
afectar
Percepción negativa del público hacia la organización
Problema con productos y servicios
P bl
d t
i i
Problema financiero
Problema de relaciones con empleados
Evento internacionaladverso
Violencia en el lugar de trabajo
Pérdida de personal
Desastre natural
la
Introducción
• Evento Internacional Adverso
• El 31 de diciembre de 1986 ocurrió un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados El fuego fue iniciado
lesionados.
por un empleado inconforme.
2,300 demandantes.
2,300 demandantes.
DrexelHeritage Furnishing
fue encontrada “no
f e encontrada “no
responsable” por el jurado en
1989.
Introducción
• Eventos que en ocasiones no son consideradas,
causadas por:
–
–
–
–
–
–
–
Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos
Acciones de los medios
Situación de espionaje industrial
p
j
Muerte precipitada defuncionarios
Introducción
• Proveedores
• En 1993 Play‐Doh Co inhabilitó a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricación de masa para modelar
modelar.
El proveedor fue afectado por
la “gran inundación del ’93”.
l “
d ó d l’ ”
Los trabajadores fueron
j
f
llamados cuando se encontró un nuevo proveedor.
Introducción
• Pruebas / ejercicios mal ejecutados
• En 1992 el Federal Reserve Bank de San Francisco realizó una
prueba de su plan de recuperación ante desastres. Como
resultado de las actividades realizadas durante la prueba un
prueba,
mainframe dejó de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15 instituciones bancarias
fueron afectadas.El banco atribuye el hecho a
un error humano.
Introducción
• Pruebas / ejercicios mal ejecutados
• En 1996 cinco hombres “enmascarados” ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia,
Virginia apuntando sus armas al personal y demandando
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
“No creo que cualquiera pueda apuntar un arma en la cabeza de una
persona y se salga con la suya…”
Abogado representante de 3
enfermeras.
Introducción
Introducción – Evolución
•
•
•
•
•
•
•
•
•
Plan de Contingencias (CP)
Plan de Contingencias (CP)
Plan de Recuperación de Desastres (DRP)
Plan de Continuidad de las Operaciones (COOP)
Plan de Continuidad del Negocio (BCP)
Plan de Reanudación del Negocio (BRP)Gestión de la Continuidad del Negocio (BCM)
Gestión de la Continuidad del Negocio (BCM)
Programa de Gestión de la Continuidad del Negocio (BCMP)
Sistema de Gestión de Continuidad del Negocio (BCMS)
Sistema de Gestión de Preparación y Continuidad (PCMS) ?
Introducción
Introducción – Retos
• No contar con una estrategia de continuidad
No contar con una estrategia de continuidad
•
•
•...
Regístrate para leer el documento completo.