1.

Preceptos que rigen el modelo de

gestin de la madurez de la empresa
Perspectiva Operacional Resiliencia
Las organizaciones en todos los sectores de la industria, el
gobierno y el mundo acadmico, se enfrentan a entornos
operativos cada vez ms complejos y entornos de riesgo
dinmico. Estas demandas se confabulan para obligar a las
organizaciones a repensar la forma en que gestionan el riesgo
operacional y la capacidad de recuperacin de los procesos y
servicios crticos de negocio.

Las interrupciones provienen de riesgo realizado
Natural o artificial
accidental o intencional
Pequeo y Grande
Tecnologas de la informacin o No
Ciberntico o cintico
Eventos Disruptivos
Naturales o
artificiales


Accidental
o
intencional


Pequeo o
Grande


Tecnologas
de la
informacin
o No
Fuego
Inundaciones
Fallos de TI
terremotos
Los ataques cibernticos
El tiempo severo
Errores en la red
Fallos tecnolgicos
Cambios organizacionales
Prdida de proveedor de servicios
Las huelgas u otras acciones laborales
Prdida del cliente o socio comercial
qumicos, riesgos biolgicos, nucleares
Falta de disponibilidad de mano de obra
Los procesos internos fallidos
interrupcin de la cadena de suministro
secuestros de empleados
Violencia en el trabajo
La corrupcin de datos
La falla del producto
Los cortes de energa
Los disturbios civiles
Terrorismo
Fraude
Etc.
Resulta
en
La
interrupcin
de los
procesos de
negocio
... A travs del cual los riesgos se
realizan
Desafos para la Resiliencia Operacional
La capacidad de recuperacin operativa de las organizaciones
est bajo estrs en un minuto a minuto.

El estrs proviene de:
El uso generalizado de la tecnologa
Globalizacin
Complejidad de los procesos de negocio
complejidad operacional
El movimiento hacia activos intangibles
Las presiones econmicas globales
La apertura de fronteras
presiones geopolticas
lmites regulatorios y legales
Problemas heredados
Etc., etc, etc
Ambiente del
Riesgo en
Expansin
Proteccin de la Empresa
La proteccin de la empresa es un
desafo complejo y multifactico


Eventos disruptivos, a travs del
cual se realizan los riesgos,
seguirn sorprendindonos.


Las herramientas tradicionales, las
tcnicas y los mtodos pueden no
funcionar en este entorno.
Panormica de CERT Resiliencia Modelo de Gestin (CERT-RMM)
Qu es CERT-RMM?
Marco para la gestin y mejora de la capacidad de recuperacin
operacional. Implementacin de guas, gestin y el mantenimiento de
las actividades de gestin de riesgos operativos.

Mejora la confianza en cmo una organizacin administra y responde
al estrs operacional.

Se centra en el qu, cmo, cundo, donde, porque y para qu aplicable
a una variedad de organizaciones:
pequeo o grande
simple o compleja
pblica o privada

"... Un amplio sper-conjunto de las cosas que una organizacin puede
hacer para ser ms fuertes."
CERT-RMM de un vistazo
Gestin de
Ingeniera
Gestin de
Operaciones
Gestin de
Procesos
Gestin de
Empresas
Gestin de Requisitos
Requisitos RRD-Resiliencia
Desarrollo
RRM-Resiliencia Gestin de
Requisitos
Gestin de Activos
Definicin y Gestin de
Activos ADM-
El establecimiento de Resiliencia
SC- Continuidad de servicio
CTRL-Gestin de Control
RTSE- Solucin de resiliencia
de ingeniera tcnica
Gestin de Activos Resiliencia
EC-control ambiental
KIM-Conocimiento y Gestin de la
Informacin
PM-Gestin de Personas
TM-Gestin de la Tecnologa
electrnicos
EXD-Gestin de Dependencias
Manejo de amenaza, incidentes, y
acceso
AM-Manejo de Accesos
ID-Gestin de Identidad
IMC-Gestin y Control de
Incidentes
VAR-Anlisis de Vulnerabilidad y
resolucin
Recoleccin y registro de
datos
MON - Monitoreo
Gestin de Procesos
MA - Medicin y Anlisis
OPD - Definicin del proceso
organizacional
OPF - Enfoque Procesos de la
Organizacin
Gobierno, Riesgo, y Cumplimiento
COMP - Cumplimiento
EF - Enfoque Empresarial
RIESGO - Gestin de Riesgos
Resiliencia Apoyo
COM - Comunicaciones
FRM - Gestin de Recursos
Financieros
HRM - Gestin de Recursos
Humanos
OTA - Formacin
Organizacional y la conciencia
1. Preceptos Clave en CERT-RMM
Varios trminos claves y preceptos son significativos, ya que ellos
forman la foundational del CERT-RMM.

1.1. Preceptos Fundamentales
1.1.1. Interrupcin y Tensin
1.1.2 Convergencia
1.1.3 Direccin de Resistencia Operacional
1.2 Elementos de direccin de Resistencia Operacional
1.2.1 Servicios
1.2.2 Procesos de negocio
1.2.3 Activos
1.2.4 Requisitos de resistencia
1.2.5 Estrategias de proteccin y sostencin de activos
1.2.6 Cobertura de ciclo vital
1.3 Adaptacin Terminologa de CERT-RMM y Conceptos
1.1. Preceptos Fundamentales
1.1.1. Interrupcin y Tensin

Las organizaciones son constantemente bombardeadas con acontecimientos y
condiciones que pueden causar la tensin y pueden interrumpir su operacin
eficaz, CERT-RMM ayudan a controlar el comportamiento de la organizacin y su
respuesta durante tiempos de interrupcin y tensin, dando la capacidad de
adaptarse a riesgos operacionales, incluso riesgos realizados

La tecnologa hace procesos ms productivos, pero tambin los hace ms
complejos.
Las nuevas tecnologas puede introducir nuevos riesgos que no son
identificados hasta que ellos sean realizados.
La intangibilidad puede aumentar la probabilidad y el impacto de riesgos
potenciales.
Se requiere armonizacin y la convergencia ante las
situaciones de riesgo.
El comercio en una economa mundial proporciona
menos aislamiento de riesgos globales y,
proporcionalmente, menos control.
1.1. Preceptos Fundamentales
1.1.2. Convergencia

La convergencia es un concepto fundamental para manejar la resistencia
operacional. Es definido como la armonizacin de actividades de gestin del
riesgo operacionales que tienen objetivos similares y resultados. Estas
actividades incluyen la planificacin de seguridad y la continuidad del negocio
de direccin, direccin de recuperacin ante desastres , direccin de
prestacin de servicios y operaciones.

Otras actividades de apoyo son tpicamente incluidas, como gestin
financiera, comunicaciones, direccin de recurso humano, y formacin
organizativa y conciencia.
1.1. Preceptos Fundamentales
1.1.2. Convergencia

El caso de negocios para la convergencia se trata de la economa. Cuando las
funciones organizativas y las actividades comparten los mismos objetivos,
cuestiones, soluciones, y capacidades principales, es necesario implementar una
colaboracin.

Importancia de la Convergencia:
Elimina actividades redundantes (y costos asociados).

Obliga a la colaboracin entre actividades que tienen objetivos similares.

Enfoque hacia la misin.

Facilita en los procesos que son propiedad de toda la organizacin.
1.1. Preceptos Fundamentales
1.1.3. Direccin de Resistencia Operacional


El riesgo operacional es el impacto potencial a activos y a sus servicios
relacionados que podran resultar del inadecuado o fallas de procesos internos,
fracasos de sistemas o tecnologa, acciones deliberadas o involuntarias de
personas, o acontecimientos externos. Manejar ms con eficacia y mitigar el
riesgo operacional requieren que una organizacin enfoque su atencin a la
resistencia operacional.

La resistencia operacional se dirige a la capacidad de la organizacin de adaptarse
para arriesgar lo que afecta sus capacidades operacionales principales.

1.1. Preceptos Fundamentales
1.1.3. Direccin de Resistencia Operacional


La direccin de resistencia operacional define los procesos y prcticas
relacionadas que una organizacin usa para el diseo, desarrollo, prctica, y
control de estrategias para proteger el valor de los servicios, procesos de
negocio relacionados, y activos asociados, como la gente, informacin,
tecnologa, y activos.

La direccin de resistencia operacional incluye cuatro objetivos:
Prevenga la realizacin del riesgo operacional para un servicio de valor
alto.

Sostenga un servicio de valor alto si el riesgo es realizado.

Con eficacia dirjase a consecuencias de la organizacin si el riesgo es
realizado, y devuelva la organizacin a un estado de operaciones normal.

Optimizar el logro de estos objetivos maximizar la eficacia al coste ms
bajo.
1.2 Elementos de direccin de Resistencia Operacional



CERT-RMM define varios conceptos foundational que proporcionan niveles
tiles de la abstraccin aplicada en todas partes del modelo. Estos conceptos
incluyen estrategias de requisitos de resistencia de activos de procesos de
negocio de servicios de proteger y sostener la cobertura de ciclo vital de
servicios y activos

Estos conceptos son claves al entendimiento
del enfoque basado en el proceso del
CERT-RMM a la direccin de la resistencia
operacional.
1.2 Elementos de direccin de Resistencia Operacional
1.2.1. Servicios


Nmero limitado de actividades que la organizacin ejecuta para
entregar un servicio o para producir un producto.

La misin del servicio debe habilitar la misin de la organizacin

CERT-RMM identifica las siguientes actividades como la contribucin a la
resistencia de servicio:
Identificacin y la mitigacin de riesgos para el servicio y sus activos de
apoyo .
La realizacin de la direccin de proyectos y procesos de continuidad de
servicio.
Despliegue de la gente.
Identificacin de operaciones.
Despliegue de mandos eficaces para la informacin.
Direccin de activos de tecnologa del ambiente operacional donde los
servicios son realizados.
1.2 Elementos de direccin de Resistencia Operacional
1.2.1. Servicios

Uno de los conceptos foundational en CERT-RMM es que el mejoramiento de
procesos de direccin de resistencia operacionales tenga un efecto positivo,
significativo en la resistencia de servicio.
Relacin entre los servicios y los procesos de gestin operacionales Resiliencia
1.2 Elementos de direccin de Resistencia Operacional
1.2.1. Servicios

Un aspecto clave de servicios es el concepto de servicios de valor alto,
aquellos que son crticos al xito de la misin de la organizacin. Los servicios
de valor alto de la organizacin son el foco de las actividades de direccin de
resistencia operacionales de la organizacin. Estos servicios directamente
apoyan el logro de objetivos estratgicos y por lo tanto deben ser protegidos
y sostenidos al grado necesario para minimizar la interrupcin.
1.2 Elementos de direccin de Resistencia Operacional
1.2.2. Procesos de negocio

Un proceso de negocio es una serie de actividades distintas o tareas que
contribuyen a la realizacin de una misin de servicio. Piense en un proceso
de negocio como el siguiente nivel de la descomposicin para un servicio, y
un servicio como la agregacin de todos los procesos de negocio necesarios
para el xito de servicio.

Las actividades que la organizacin (y sus proveedores) ejecutan para
asegurar que los servicios cumplen la misin
Transversal a la organizacin
Un Servicio se compone de uno o ms procesos del negocio
La misin de un proceso debe habilitar la misin del servicio

En el CERT-RMM, puede entenderse que cualquier
discusin de servicios se refiere a todos sus
procesos de negocio componentes tambin.
1.2 Elementos de direccin de Resistencia Operacional
1.2.3. Activos

Un activo es algo de valor a la organizacin. Los servicios y los procesos de
negocio son abastecidos de combustible por activos las materias primas que
los servicios tienen que hacer funcionar.

Un servicio no puede llevar a cabo su misin a menos que haya:
Gente para hacer funcionar y supervisar

Informacin de servicios y datos para alimentar el proceso y
ser producida

Tecnologa para automatizar y apoyar el servicio

Instalaciones en el que se realizar el servicio
1.2 Elementos de direccin de Resistencia Operacional
1.2.3. Activos

Impacto de la Interrupcin de un Activo en la misin del Servicio

La falla de uno o ms activos tiene un impacto en cascada en la misin =>
Procesos del Negocio => Servicios => Organizacin
Impacto de Activo Interrumpido en Misin de Servicio
1.2 Elementos de direccin de Resistencia Operacional
1.2.3. Activos


Puesta de Activos en Contexto
Las relaciones entre activos tienen implicaciones para la resistencia. La
informacin es el tipo ms introducido del activo; su resistencia es unida a las
tecnologas en las cuales es desarrollado, tratado, almacenado, y transmitido
as como las instalaciones dentro de las cuales la tecnologa fsicamente reside.
Los activos de valor alto tienen dueos y guardianes. Los dueos de activo son
las personas o unidades organizativas, internas o externas a la organizacin, que
tienen la responsabilidad primordial sobre la viabilidad, productividad, y
resistencia del activo.
1.2 Elementos de direccin de Resistencia Operacional
1.2.4. Requisitos de resistencia


Los requisitos de resistencia operacionales son una derivacin de los objetivos
de seguridad tradicionalmente descritos de confidencialidad, integridad, y
disponibilidad. Conocido como propiedades descriptivas de activos de
informacin, estos objetivos tambin son extensibles a otros tipos de personas
de activos, tecnologa, e instalaciones por las cuales la direccin de resistencia
operacional est preocupada.

Los requisitos de resistencia se hacen una parte del ADN de un activo (justo
como su definicin, dueo, y valor) que supera lmites departamentales y
organizativos porque ellos se quedan con el activo sin tener en cuenta donde es
desplegado o hecho funcionar.

Los requisitos de resistencia forman la base para proteger y sostener
estrategias. Estas estrategias determinan el tipo y el nivel de mandos que
aseguran la resistencia operacional; a la inversa, los mandos deben satisfacer
los requisitos de los cuales ellos se derivan.
1.2 Elementos de direccin de Resistencia Operacional
1.2.4. Requisitos de resistencia


El proceso de desarrollo de requisitos de resistencia requiere que la
organizacin establezca requisitos de resistencia en la empresa, servicio, y
niveles de activo basados en conductores organizativos, asunciones de riesgo y
tolerancias, y objetivos de resistencia y objetivos.
1.2 Elementos de direccin de Resistencia Operacional
1.2.5. Estrategias de proteccin y sostenimiento de activos
La Resiliencia Operacional inicia en el nivel de los Activos

Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con
los activos estos tienen que ser:
Protegidos de la amenazas y riesgos que los pudieran afectar
Hacerlos sostenibles bajo condiciones adversas
1.2 Elementos de direccin de Resistencia Operacional
1.2.5. Estrategias de proteccin y sostenimiento de activos
Estrategias de Proteccin
Se traducen en actividades destinadas a mantener los activos desde la
exposicin a las amenazas a las interrupciones.
Instanciadas a travs de procesos, procedimientos, polticas y controles.
1.2 Elementos de direccin de Resistencia Operacional
1.2.5. Estrategias de proteccin y sostenimiento de activos
Estrategias de Sostenimiento
Se traducen en actividades destinadas a mantener los activos en
forma productiva durante la adversidad.
Instanciadas a travs de procesos, procedimientos, polticas y
controles
1.2 Elementos de direccin de Resistencia Operacional
1.2.6. Cobertura del ciclo vital


Cada uno de los activos cubiertos en CERT-RMM tiene un ciclo vital. Desde un
punto de vista genrico, la mayora de procesos de direccin de resistencia
operacionales en CERT-RMM se concentra en las fases de ciclo vital de
operacin y despliegue, como se muestra a continuacin:
1.2 Elementos de direccin de Resistencia Operacional
1.2.6. Cobertura del ciclo vital
Ciclo de vida de la Gente:
La gente es contratada, entrenada, y desplegada en servicios.

Ciclo de vida de la informacin:
La informacin es creada o desarrollada, usada por la gente y servicios, y luego
eliminada al final de su perodo de servicio.

Ciclo de vida de la tecnologa:
La tecnologa es el ms estrechamente definida por descripciones de ciclo vital
tradicionales. El software, los sistemas, y el hardware son planeados, diseados,
desarrollados o adquiridos, puestos en prctica, y hechos funcionar.

Ciclo de vida de las instalaciones:
Las instalaciones son planeadas, diseadas, desarrolladas o adquiridas, construidas, y
hechas funcionar, y luego retiradas al final de su perodo de servicio.

Ciclo de vida de los servicios:
Para servicios, los procesos de direccin de resistencia operacionales principalmente se
concentran en las fases de operacin y despliegue de la vida de un ciclo de servicio.
Las organizaciones que adoptan el CERT-RMM pueden decidir
sustituir un poco de la terminologa usada en estos conceptos
claves con lo que es cmodo, familiar, y til para ellos. Sin
embargo, los usuarios de CERT-RMM son fuertemente animados a
interpretar y aplicar los conceptos fundamentales (interrupcin y
tensin, convergencia, resistencia operacional) y los elementos de
la resistencia operacional (servicios, procesos de negocio, activos,
y requisitos de resistencia, estrategias de proteger y sostener, y
cobertura de ciclo vital) para ganar las ventajas de direccin y
mejoramiento de la resistencia operacional usando el modelo.
1.3 Adaptacin Terminologa de CERT-RMM y Conceptos