Análisis y gestión de riesgos basados en ISO31000 y su integración con planes de continuidad de negocio basados en ISO 22301. Herramientas GlobalRISK® y GlobalContinuity® Alejandro Delgado, Director de Proyectos
Análisis y gestión de riesgos basados en ISO31000 y su
integración con planes de continuidad de negocio
basados en ISO 22301.
Herramientas GlobalRISK® y GlobalContinuity®
Alejandro Delgado, Director de Proyectos
ISO 22301 ha sido publicada
ISO 22301: Estándar Internacional para BCM.
Antigua BS 25999 para la implantación de planes de continuidad de
negocio, ahora convertido en estándar internacional.
Se estandariza a nivel internacional cómo montar un sistema de
gestión de continuidad de negocio.
Marco de referencia en continuidad de negocio para todas las
organizaciones que quieran acometer este tipo de proyectos.
Dice qué tenemos que hacer, pero NO DICE CÓMO HACERLO.
ISO 22301, ISO 31000 y la gestión de riesgos
ISO 31000: Gestión de Riesgos.
Estándar internacional, publicado en 2009 y traducido en 2010, para
analizar y gestionar riesgos.
Establece principios para que el proceso de gestión del riesgo sea
un proceso eficaz.
Se adapta a cualquier tipo de organización.
Es válida para cualquier tipo de riesgo:
Legales.
Operacionales.
Financieros.
Etc.
Contextualizando…
La ocurrencia de incidentes, en la mayoría de los casos, deriva en
pérdida de operatividad, lo cual es directamente traducible a costes.
¿Por qué ocurren los incidentes? -> Por RIESGOS mal gestionados.
ISO 22301, ISO 31000 y la gestión de riesgos
ISO 31000 & ISO 22301.
Uno de los principales cambios de ISO 22301: mayor importancia a la
fase de análisis y gestión de riesgos:
Recomienda el uso de ISO 31000 para todo el proceso de gestión
del riesgo.
Los riesgos deben ser parte del origen de los escenarios de
desastre a contemplar.
No sólo RIESGOS TIC.
ISO 22301, ISO 31000 y la gestión de riesgos
ISO 31000 & ISO 22301.
Tienen más puntos en común, que deben ser aprovechados en uno u
otro sentido:
Hablan de que los riesgos y la continuidad de negocio pueden y
deben afectar a toda la organización, a todas sus áreas y niveles,
en todo momento, y a todas sus actividades y productos.
Al igual que ha hecho ISO 22301, el resto de normas que incluyan un
proceso de análisis y gestión de riesgo irán haciendo mención a ISO
31000 en sus revisiones futuras.
ISO 22301, ISO 31000 y la gestión de riesgos
Proceso de gestión del riesgo
ISO 22301, ISO 31000 y la gestión de riesgos
ISO 31000 & ISO 22301 & PDCA
Contexto legal y normativo
¿Por qué hablar de continuidad y riesgos?
Gran multitud de normas relacionadas con continuidad:
BS 25999: norma de referencia en continuidad de negocio hasta
la publicación de ISO 22301.
UNE 71599: normas española de continuidad de negocio:
traducción de la BS 25999.
BS 25777: buenas prácticas en continuidad TIC.
ISO 27031: directrices para la preparación de las TIC para la
continuidad de negocio.
ISO 27001 e ISO 20000 tienen requisitos de continuidad.
Contexto legal y normativo
¿Por qué hablar de continuidad y riesgos?
Desde el punto de vista legal también tenemos diversas referencias a la
continuidad de negocio:
Esquema Nacional de Seguridad: obliga a las AAPP con servicios
de administración electrónica a adoptar diferentes medidas de
continuidad de negocio, en función de los datos manejados.
Ley de Protección de Infraestructuras Críticas: obliga a aquellas
organizaciones (públicas o privadas) que hayan sido catalogadas
como críticas a adoptar planes de continuidad de negocio y de
gestión de la crisis.
PCI-DSS obliga a tener planes de continuidad de negocio y
recuperación ante desastres.
Contexto legal y normativo
¿Por qué hablar de continuidad y riesgos?
Para gestión del riesgo también hay regulaciones específicas para el
sector de BANCA Y SEGUROS:
Basilea III.
Solvencia 2.
Regulaciones sectoriales.
Regulaciones propias de cada país.
Etc.
Todas ellas obligan a realizar una gestión del riesgo eficaz.
Factores Críticos de Éxito en BCPs y GRs
Duda Habitual en la parte organizativa
¿Cuándo hacer el análisis de riesgos?, ¿antes o después del BIA?
BIA
AGR
Desarrollo planes
AGR
BIA
Desarrollo planes
Factores Críticos de Éxito en BCPs y GRs
RECOMENDACIÓN: partir de un mismo mapa de nuestros procesos y que
uno y otro proceso sean colaborativos.
BIA
AGR
Factores Críticos de Éxito en BCPs y GRs
¿Cómo relacionar BIA con AGR?
Podemos alimentar el BIA con escenarios de desastre basados en
resultados del AGR y con las valoraciones de impacto de cada riesgo.
En el AGR podemos valorar el impacto que tiene un incidente usando
criterios que hayamos usado previamente en el BIA.
LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos
procesos.
Factores Críticos de Éxito en BCPs y GRs
Hay que automatizar estos procesos!!!!!!!!!!!!
En el año 2012 no podemos seguir haciendo los análisis
de riesgos o los planes de continuidad de negocio en
herramientas ofimáticas.
Automatizar significa optimizar, y centrar nuestros
esfuerzos en el negocio.
BCPs y SCORECARD
PLANES DE CONTINUIDAD
&
GESTIÓN DEL RIESGO
&
CUADROS DE MANDO INTEGRALES
BCPs , GRs y SCORECARD
MÉTRICAS
INDICADORES
CSF
OBJETIVOS DE NEGOCIO
Obj. Cont. Y GR
Obj. P1
Indicador 1
Indicador 2
Obj. P2
Indicador 3
MétricaA MétricaB
BCPs, GRs y SCORECARD
¿Por qué un BSC con un BCP/GR?
• Plasmamos el funcionamiento de todo un plan de continuidad de
negocio en un cuadro de mando.
¿Qué conseguimos?
• Medir la eficacia y eficiencia del BCP.
• Mejorar el BCP.
• Tener una visión de negocio del BCP.
• Mayor control.
• Reporte a dirección.
La gestión del riesgo se incluye dentro del ScoreCard al estar
incluida dentro del proceso de continuidad de negocio.
Herramientas GlobalSuite
Introducción
GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de
Gestión basado en las normas ISO 27001, ISO 20000, BS 25999/UNE 71599, Esquema Nacional de
Seguridad (ENS), Ley de Protección de Datos (LOPD), etc. Ahora también con los requisitos para
ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de
Infraestructuras Críticas).
GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así
como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión
PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera
integrada con los anteriores o bien de manera separada.
GlobalSUITE : : Modelado de Procesos de Negocio
GlobalSUITE : : Modelado de Árbol de Activos
GlobalSUITE.:. Catálogos de Riesgos
GlobalSUITE.:. Análisis .:. Gestión de Riesgos
GlobalSUITE.:. Mapas y Reporting de Riesgos
GlobalSUITE . : : . BIA Y CONSOLIDACIÓN DE BIAs
GlobalSUITE . : : . Plan de Gestión de Incidentes
GlobalSUITE . : : . Plan de Continuidad
GlobalSUITE . : : . Activación del Plan de Continuidad
Más información
MADRID – BARCELONA – CIUDAD REAL
BOGOTÁ – MÉXICO D.F.
902 056 203 www.audisec.es
www.globalsuite.es