Añadir a la recogida (s) Añadir a salvo
  1. Negocios
  2. Economía
  3. Macroeconomía

Modelos de madurez

Anuncio 
Resiliencia Operacional Basado en el Modelo
CERT-RMM
Ing. Yezid E. Donoso Meisel, Ph.D.
Profesor Asociado Dpto. Ingeniería de Sistemas y Computación
Coordinador Especialización en Seguridad de la Información
Senior Member IEEE
DVP (Distinguished Visitor Professor) IEEE
Information Security Certified – SEI – Carnegie Mellon University – USA
CERT-RMM – SEI - Carnegie Mellon University – USA
Certified Functional Continuity Professional (CFCP)– DRII
Business Continuity Auditor/Auditor Leader Certified – BSI
EC-Council Certified Security Analyst
e-mail : [email protected]
http://sistemas.uniandes.edu.co/~ydonoso
Contenido
Introducción al riesgo operacional, resiliencia y gestión de la resiliencia
Retos Organizacionales y Operacionales
Fundamentos de Riesgos y Resiliencia
. Gestión de la Resiliencia
Análisis de alto nivel CERT-RMM Resilience Management Model
Análisis de alto nivel CERT-RMM Resilience Management Model
Institucionalización del Proceso
Sistema de Gestión de la Resiliencia
Análisis GAP
CERT-RMM-IMC Incident Management and Control
CERT-RMM-SC Service Continuity
CERT RMM-TM Technology Management
¿Cómo iniciar el Proceso para el CERT-RMM?
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Presión Geo-Política
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Presión Geo-Política
Limitaciones regulatorias y legales
Retos Organizacionales y Operacionales
a collaborative
odyssey
Retos Organizacionales y Operacionales
IT
Governance
Resource
Management
Retos Organizacionales y Operacionales
Retos Organizacionales y Operacionales
Fundamentos de Riesgos
Certezas Organizacionales
El ambiente de riesgos no es contratado – número de riesgos y complejidad
incrementará
La organización debe mejorar para sobrevivir en condiciones de incertidumbre
El conocimiento y conciencia de las características e impactos de los riesgos
tiene que ser intensiva en toda la organización
Herramientas, técnicas y metodologías tradicionales pueden no trabajar en
forma adecuada en estos ambientes
La estructura organizacional existente puede no ser suficientemente ágil para
adaptarse.
Fundamentos de Riesgos
Riesgo???
Es la posibilidad de sufrir daños o pérdidas.
Peligro; una fuente de peligro; una posibilidad de incurrir en pérdida o
desgracia. [wordnet.princeton.edu].
Consiste de:
Un evento o condición
Una consecuencia o impacto
Incertidumbre
[SEI – CMU]
Fundamentos de Riesgos
[SEI – CMU]
Riesgo Operacional: Una forma de amenaza de riesgo que afecta las operaciones
del día a día del Negocio.
La falla potencial para lograr cumplir los objetivos de la misión.
Fundamentos de Riesgos
Enterprise Risk Management (ERM)
Es una actividad que mira a través de todas las actividades de
riesgos en la organización y considera todos los tipos de riesgos.
Fundamentos de Riesgos
ERM vs ORM (Operational Risk Management)
ORM es un subconjunto significativo de ERM.
ORM direcciona los riesgos generados por los procesos críticos en su
día a día y que pueden afectar el cumplimiento de los objetivos de la
misión de la organización.
Fundamentos de Riesgos
Resiliencia
The physical property of a material when it can return to its original shape or
position after deformation that does not exceed its elastic limit
[wordnet.princeton.edu].
The emergent property of an organization that can continue to carry out
its mission after disruption that does not exceed its operational limit
[CERT-RMM].
¿ De dónde vienen las interrupciones? Riesgos llevados a cabo
Fundamentos de Riesgos
¿Qué hace que un Servicio sea operacionalmente resistente?
Identificación y Mitigación de los riesgos del servicio y de sus activos relacionados.
Procesos y planeación de continuidad del servicio.
Gestión de las prácticas para las operaciones en TI.
Gestión de las personas.
Prácticas de protección (control) y seguridad de la información y activos tecnológicos
importantes para la organización.
Gestión de las partes externas (que provee parte de los servicios)
Gestión ambiental (en donde los servicios residen)
Gestión de la Resiliencia
Convergencia
Es un concepto fundamental en el manejo de la resiliencia operacional
Se refiere a la armonía de las actividades para la gestión del riesgo operacional que
tienen objetivos y resultados similares
Actividades de Gestión del Riesgo Operacional incluyen:
 Planeación y Gestión de la Seguridad
 Continuidad del Negocio (BCMS) y Recuperación ante desastres (DRP)
 Gestión de la operación y entrega de servicios en TI
 Otras actividades de soporte pueden ser involucradas: comunicaciones, gestión
financiera, entre otras.
Gestión de la Resiliencia
Resiliencia Operacional y Convergencia
[SEI – CMU]
Gestión de la Resiliencia
Importancia de la Convergencia
Elimina actividades redundantes (y costos asociados)
Obliga a la colaboración entre actividades que tienen objetivos similares
Enfoque hacia la misión
Facilita en los procesos que son propiedad de toda la organización
Gestión de la Resiliencia
Enemigos de la Convergencia
?
Gestión de la Resiliencia
Elementos de la Resiliencia
Servicios
 Número limitado de actividades que la organización ejecuta para entregar un
servicio o para producir un producto.
 La misión del servicio debe habilitar la misión de la organización
Gestión de la Resiliencia
Elementos de la Resiliencia
Procesos del negocio
 Las actividades que la organización (y sus proveedores) ejecutan para asegurar
que los servicios cumplen la misión
 Transversal a la organización
 Un Servicio se compone de uno o más procesos del negocio
 La misión de un proceso debe habilitar la misión del servicio
Gestión de la Resiliencia
Elementos de la Resiliencia
Activos
 Algo de valor para la organización
[SEI – CMU]
Confidencialidad
Integridad
Disponibilidad
Gestión de la Resiliencia
Colocando los Activos en el Contexto
[SEI – CMU]
Gestión de la Resiliencia
Relaciones entre los Elementos
[SEI – CMU]
Gestión de la Resiliencia
Abstracción hacia un enfoque de la misión
[SEI – CMU]
Gestión de la Resiliencia
Impacto de la Interrupción de un Activo en la misión del Servicio
La falla de uno o más activos tiene un impacto en cascada en la misión => Procesos
del Negocio => Servicios => Organización
[SEI – CMU]
Gestión de la Resiliencia
La Resiliencia Operacional inicia en el nivel de los Activos
Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los
activos estos tienen que ser:
 Protegidos de la amenazas y riesgos que los pudieran afectar
 Hacerlos sostenibles bajo condiciones adversas
[SEI – CMU]
Gestión de la Resiliencia
Gestión de Riesgos vs Gestión de Continuidad de Negocios
Alto
Impacto
Baja
Probabilidad
Dominio Gestión
De Continuidad
de Negocios
Dominio Gestión
de Riesgos
Probabilidad
Desconocida
Alta
Probabilidad
Probabilidad
Conocida
Bajo
Impacto
Gestión de la Resiliencia
CERT-RMM – Resilience Management Model
[SEI – CMU]
Gestión de la Resiliencia
Estrategias de Protección
Se traducen en actividades destinadas a mantener los activos desde la exposición a
las amenazas a las interrupciones.
Instanciadas a través de procesos, procedimientos, políticas y controles.
[SEI – CMU]
Gestión de la Resiliencia
Estrategias de Sostenimiento
Se traducen en actividades destinadas a mantener los activos en forma productiva
durante la adversidad.
Instanciadas a través de procesos, procedimientos, políticas y controles.
[SEI – CMU]
Gestión de la Resiliencia
Protección, Sostenimiento y Riesgo
[CERT-RMM SEI – CMU]
CERT – RMM – Carnegie Mellon University
Gestión de la Resiliencia
Gestión de la Resiliencia en el Ciclo de Vida de un Activo
[CERT-RMM SEI – CMU]
CERT – RMM – Carnegie Mellon University
Gestión de la Resiliencia
Áreas
[CERT-RMM SEI – CMU]
CERT – RMM – Carnegie Mellon University
Análisis de alto nivel CERT-RMM
Resilience Management Model
[CERT-RMM SEI – CMU]
Análisis de alto nivel CERT-RMM
Resilience Management Model
Análisis de alto nivel CERT-RMM
Resilience Management Model
Institucionalización del Proceso
Representación por estados = Maturity Level (NO CERT-RMM)
Representación Continua = Nivel de Capacidad por área de procesos (únicamente
en CERT-RMM)
Institucionalización del Proceso
Institucionalización del Proceso
Aplica para cada área de proceso para mejorar
el proceso asociado de cada área.
Cada nivel excepto el Nivel 0 consiste de un
Objetivo genérico y las Prácticas Genéricas
relacionadas
Institucionalización del Proceso
Nivel 0
Indica que uno o más de las metas específicas
del área de proceso no es satisfecha
Institucionalización del Proceso
Nivel 1
Satisface las metas específicas del área de
proceso.
Institucionalización del Proceso
Nivel 2
La disciplina del proceso asegura que las
prácticas actuales se mantienen en tiempos de
estrés.
Institucionalización del Proceso
Nivel 3
La gestión de procesos es proactivo, no
reactivo
Sistema de Gestión de la Resiliencia
Modelo IDEAL
Análisis GAP
[CERT-RMM SEI – CMU]
CERT-RMM IMC
CERT-RMM IMC
[CERT-RMM SEI – CMU]
CERT-RMM IMC
[CERT-RMM SEI – CMU]
CERT-RMM IMC
CERT-RMM IMC
Productos Típicos:
•
•
•
Plan de gestión de incidentes
Solicitudes documentadas de los compromisos del plan
Compromisos documentados del plan
CERT-RMM IMC
Productos Típicos:
•
•
•
•
•
Descripción del trabajo para los roles y responsabilidades en el plan
Listado del personal disponible y calificado
Listado de las brechas de habilidades y brecha en la disponibilidad del personal
Planes de mitigación para direccionar las habilidades y la brecha en el personal
Actualización del plan de gestión de incidentes (con la asignación de personal)
CERT-RMM IMC
Productos Típicos:
•
•
•
•
Fuentes de detección y reporte de eventos
Descripción de los roles y responsabilidades de la detección y reporte de eventos
Procedimientos para la detección y reporte de eventos
Reportes de eventos
CERT-RMM IMC
Productos Típicos:
•
•
•
Registrar los reportes de eventos
Base de datos de conocimiento de la gestión de incidentes
Estado de los reportes de los eventos e incidentes
CERT-RMM IMC
Productos Típicos:
•
•
Normas, leyes, regulaciones y políticas relevantes con respecto a manejo forense de incidentes
Documentación y guías/directrices de manejo de las evidencias de los eventos/incidentes
CERT-RMM IMC
Productos Típicos:
•
•
•
Reporte de eventos actualizados (categorizados y priorizados)
Base de datos de conocimiento de incidentes actualizada
Reporte del estado de los eventos abiertos
CERT-RMM IMC
Productos Típicos:
•
Criterio de declaración de un incidente
CERT-RMM IMC
Productos Típicos:
•
•
•
Reporte con el análisis de incidentes
Reporte a través de técnicas y herramientas de análisis
Bases de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:
•
•
Procedimiento de escalamiento de incidentes
Criterio de escalamiento
CERT-RMM IMC
Productos Típicos:
•
•
•
•
Estrategias y plan de respuesta ante incidentes
Plan de continuidad del servicio
Plan de restauración
Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:
•
•
•
Lista de stakeholders, protocolos de comunicación y canales ante incidentes
Plan de comunicación ante incidentes
Reporte del estado del incidente (desde la base de datos de conocimientos de incidentes)
CERT-RMM IMC
Productos Típicos:
•
•
Criterio para cerrar el incidente
Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:
•
•
•
•
•
Criterio para cerrar el incidente
Reporte con el análisis Post-Incidente
Recomendaciones para mejorar los controles
Recomendaciones para mejorar el proceso de gestión de incidentes
Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:
•
Reporte de problemas
CERT-RMM IMC
Productos Típicos:
•
•
•
•
•
•
•
Estrategia de controles
Planes de continuidad del servicio
Políticas de Resiliencia
Requerimientos y necesidades de entrenamiento
Lista de mejoras para el proceso de gestión de incidentes
Requerimientos de resiliencia de los servicios y los activos
Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
CERT-RMM IMC
CERT-RMM IMC
CERT-RMM SC
Propósito
El propósito de Service Continuity es asegurar la
continuidad de las operaciones esenciales del servicio
y de los activos relacionados en caso de que una
interrupción ocurra como resultado de un incidente,
desastre u otro evento.
Objetivo
Continuidad del Servicio describe los procesos
organizacionales responsables por los planes de
desarrollo, implantación, ejercicio, puesta en marcha y
gestión para responder y recuperarse de los eventos
y restaurar las operaciones del negocio como es
usual.
CERT-RMM SC
[CERT-RMM SEI – CMU]
Objetivos - SC
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
CERT-RMM TM
Propósito
El propósito de Technology Management es establecer
y mantener un nivel apropiado de controles
relacionados con la integridad y la disponibilidad del
activo de tecnología para soportar la resiliencia en las
operaciones de los servicios de la organización.
CERT-RMM TM
[CERT-RMM SEI – CMU]
CERT-RMM TM
CERT-RMM TM
Comparación RMM-TM vs ISO-27001
¿Cómo iniciar el Proceso para el
CERT-RMM?
Determinar si la organización presenta síntomas de presentar barreras
organizacionales.
Iniciar la discusión acerca del mejoramiento de procesos en la organización.
Buscar la experiencia de aplicación exitosa de otras técnicas de mejoramiento
de procesos
Buscar oportunidades para la interacción y planeación con otros recursos de
Seguridad y BC/DR
Realizar pasos simples:
•
Inventario de Activos (en las 4 categorías)
•
Identificar los Servicios críticos para la organización (Posiblemente BIA)
•
Identificar los Riesgos (RA)
•
Determinar como la organización planea los esfuerzos para la seguridad
y la continuidad del negocio.
•
Identificar área para el mejoramiento
Resiliencia Operacional Basado en el Modelo
CERT-RMM
Ing. Yezid E. Donoso Meisel, Ph.D.
Profesor Asociado Dpto. Ingeniería de Sistemas y Computación
Coordinador Especialización en Seguridad de la Información
Senior Member IEEE
DVP (Distinguished Visitor Professor) IEEE
Information Security Certified – SEI – Carnegie Mellon University – USA
CERT-RMM – SEI - Carnegie Mellon University – USA
Certified Functional Continuity Professional (CFCP)– DRII
Business Continuity Auditor/Auditor Leader Certified – BSI
EC-Council Certified Security Analyst
e-mail : [email protected]
http://sistemas.uniandes.edu.co/~ydonoso
Documentos relacionados
Volver a estar en pie: la mentalidad correcta para los contratiempos
Volver a estar en pie: la mentalidad correcta para los contratiempos
Presentación de PowerPoint
Presentación de PowerPoint
Fomentando la resiliencia - Expansionyempleo.com
Fomentando la resiliencia - Expansionyempleo.com
Presentacion_de_la_materia.pdf
Presentacion_de_la_materia.pdf
¿Qué es la resilencia?
¿Qué es la resilencia?
Descargar
Anuncio
Anuncio