gestin de la madurez de la empresa Perspectiva Operacional Resiliencia Las organizaciones en todos los sectores de la industria, el gobierno y el mundo acadmico, se enfrentan a entornos operativos cada vez ms complejos y entornos de riesgo dinmico. Estas demandas se confabulan para obligar a las organizaciones a repensar la forma en que gestionan el riesgo operacional y la capacidad de recuperacin de los procesos y servicios crticos de negocio.
Las interrupciones provienen de riesgo realizado Natural o artificial accidental o intencional Pequeo y Grande Tecnologas de la informacin o No Ciberntico o cintico Eventos Disruptivos Naturales o artificiales
Accidental o intencional
Pequeo o Grande
Tecnologas de la informacin o No Fuego Inundaciones Fallos de TI terremotos Los ataques cibernticos El tiempo severo Errores en la red Fallos tecnolgicos Cambios organizacionales Prdida de proveedor de servicios Las huelgas u otras acciones laborales Prdida del cliente o socio comercial qumicos, riesgos biolgicos, nucleares Falta de disponibilidad de mano de obra Los procesos internos fallidos interrupcin de la cadena de suministro secuestros de empleados Violencia en el trabajo La corrupcin de datos La falla del producto Los cortes de energa Los disturbios civiles Terrorismo Fraude Etc. Resulta en La interrupcin de los procesos de negocio ... A travs del cual los riesgos se realizan Desafos para la Resiliencia Operacional La capacidad de recuperacin operativa de las organizaciones est bajo estrs en un minuto a minuto.
El estrs proviene de: El uso generalizado de la tecnologa Globalizacin Complejidad de los procesos de negocio complejidad operacional El movimiento hacia activos intangibles Las presiones econmicas globales La apertura de fronteras presiones geopolticas lmites regulatorios y legales Problemas heredados Etc., etc, etc Ambiente del Riesgo en Expansin Proteccin de la Empresa La proteccin de la empresa es un desafo complejo y multifactico
Eventos disruptivos, a travs del cual se realizan los riesgos, seguirn sorprendindonos.
Las herramientas tradicionales, las tcnicas y los mtodos pueden no funcionar en este entorno. Panormica de CERT Resiliencia Modelo de Gestin (CERT-RMM) Qu es CERT-RMM? Marco para la gestin y mejora de la capacidad de recuperacin operacional. Implementacin de guas, gestin y el mantenimiento de las actividades de gestin de riesgos operativos.
Mejora la confianza en cmo una organizacin administra y responde al estrs operacional.
Se centra en el qu, cmo, cundo, donde, porque y para qu aplicable a una variedad de organizaciones: pequeo o grande simple o compleja pblica o privada
"... Un amplio sper-conjunto de las cosas que una organizacin puede hacer para ser ms fuertes." CERT-RMM de un vistazo Gestin de Ingeniera Gestin de Operaciones Gestin de Procesos Gestin de Empresas Gestin de Requisitos Requisitos RRD-Resiliencia Desarrollo RRM-Resiliencia Gestin de Requisitos Gestin de Activos Definicin y Gestin de Activos ADM- El establecimiento de Resiliencia SC- Continuidad de servicio CTRL-Gestin de Control RTSE- Solucin de resiliencia de ingeniera tcnica Gestin de Activos Resiliencia EC-control ambiental KIM-Conocimiento y Gestin de la Informacin PM-Gestin de Personas TM-Gestin de la Tecnologa electrnicos EXD-Gestin de Dependencias Manejo de amenaza, incidentes, y acceso AM-Manejo de Accesos ID-Gestin de Identidad IMC-Gestin y Control de Incidentes VAR-Anlisis de Vulnerabilidad y resolucin Recoleccin y registro de datos MON - Monitoreo Gestin de Procesos MA - Medicin y Anlisis OPD - Definicin del proceso organizacional OPF - Enfoque Procesos de la Organizacin Gobierno, Riesgo, y Cumplimiento COMP - Cumplimiento EF - Enfoque Empresarial RIESGO - Gestin de Riesgos Resiliencia Apoyo COM - Comunicaciones FRM - Gestin de Recursos Financieros HRM - Gestin de Recursos Humanos OTA - Formacin Organizacional y la conciencia 1. Preceptos Clave en CERT-RMM Varios trminos claves y preceptos son significativos, ya que ellos forman la foundational del CERT-RMM.
1.1. Preceptos Fundamentales 1.1.1. Interrupcin y Tensin 1.1.2 Convergencia 1.1.3 Direccin de Resistencia Operacional 1.2 Elementos de direccin de Resistencia Operacional 1.2.1 Servicios 1.2.2 Procesos de negocio 1.2.3 Activos 1.2.4 Requisitos de resistencia 1.2.5 Estrategias de proteccin y sostencin de activos 1.2.6 Cobertura de ciclo vital 1.3 Adaptacin Terminologa de CERT-RMM y Conceptos 1.1. Preceptos Fundamentales 1.1.1. Interrupcin y Tensin
Las organizaciones son constantemente bombardeadas con acontecimientos y condiciones que pueden causar la tensin y pueden interrumpir su operacin eficaz, CERT-RMM ayudan a controlar el comportamiento de la organizacin y su respuesta durante tiempos de interrupcin y tensin, dando la capacidad de adaptarse a riesgos operacionales, incluso riesgos realizados
La tecnologa hace procesos ms productivos, pero tambin los hace ms complejos. Las nuevas tecnologas puede introducir nuevos riesgos que no son identificados hasta que ellos sean realizados. La intangibilidad puede aumentar la probabilidad y el impacto de riesgos potenciales. Se requiere armonizacin y la convergencia ante las situaciones de riesgo. El comercio en una economa mundial proporciona menos aislamiento de riesgos globales y, proporcionalmente, menos control. 1.1. Preceptos Fundamentales 1.1.2. Convergencia
La convergencia es un concepto fundamental para manejar la resistencia operacional. Es definido como la armonizacin de actividades de gestin del riesgo operacionales que tienen objetivos similares y resultados. Estas actividades incluyen la planificacin de seguridad y la continuidad del negocio de direccin, direccin de recuperacin ante desastres , direccin de prestacin de servicios y operaciones.
Otras actividades de apoyo son tpicamente incluidas, como gestin financiera, comunicaciones, direccin de recurso humano, y formacin organizativa y conciencia. 1.1. Preceptos Fundamentales 1.1.2. Convergencia
El caso de negocios para la convergencia se trata de la economa. Cuando las funciones organizativas y las actividades comparten los mismos objetivos, cuestiones, soluciones, y capacidades principales, es necesario implementar una colaboracin.
Importancia de la Convergencia: Elimina actividades redundantes (y costos asociados).
Obliga a la colaboracin entre actividades que tienen objetivos similares.
Enfoque hacia la misin.
Facilita en los procesos que son propiedad de toda la organizacin. 1.1. Preceptos Fundamentales 1.1.3. Direccin de Resistencia Operacional
El riesgo operacional es el impacto potencial a activos y a sus servicios relacionados que podran resultar del inadecuado o fallas de procesos internos, fracasos de sistemas o tecnologa, acciones deliberadas o involuntarias de personas, o acontecimientos externos. Manejar ms con eficacia y mitigar el riesgo operacional requieren que una organizacin enfoque su atencin a la resistencia operacional.
La resistencia operacional se dirige a la capacidad de la organizacin de adaptarse para arriesgar lo que afecta sus capacidades operacionales principales.
1.1. Preceptos Fundamentales 1.1.3. Direccin de Resistencia Operacional
La direccin de resistencia operacional define los procesos y prcticas relacionadas que una organizacin usa para el diseo, desarrollo, prctica, y control de estrategias para proteger el valor de los servicios, procesos de negocio relacionados, y activos asociados, como la gente, informacin, tecnologa, y activos.
La direccin de resistencia operacional incluye cuatro objetivos: Prevenga la realizacin del riesgo operacional para un servicio de valor alto.
Sostenga un servicio de valor alto si el riesgo es realizado.
Con eficacia dirjase a consecuencias de la organizacin si el riesgo es realizado, y devuelva la organizacin a un estado de operaciones normal.
Optimizar el logro de estos objetivos maximizar la eficacia al coste ms bajo. 1.2 Elementos de direccin de Resistencia Operacional
CERT-RMM define varios conceptos foundational que proporcionan niveles tiles de la abstraccin aplicada en todas partes del modelo. Estos conceptos incluyen estrategias de requisitos de resistencia de activos de procesos de negocio de servicios de proteger y sostener la cobertura de ciclo vital de servicios y activos
Estos conceptos son claves al entendimiento del enfoque basado en el proceso del CERT-RMM a la direccin de la resistencia operacional. 1.2 Elementos de direccin de Resistencia Operacional 1.2.1. Servicios
Nmero limitado de actividades que la organizacin ejecuta para entregar un servicio o para producir un producto.
La misin del servicio debe habilitar la misin de la organizacin
CERT-RMM identifica las siguientes actividades como la contribucin a la resistencia de servicio: Identificacin y la mitigacin de riesgos para el servicio y sus activos de apoyo . La realizacin de la direccin de proyectos y procesos de continuidad de servicio. Despliegue de la gente. Identificacin de operaciones. Despliegue de mandos eficaces para la informacin. Direccin de activos de tecnologa del ambiente operacional donde los servicios son realizados. 1.2 Elementos de direccin de Resistencia Operacional 1.2.1. Servicios
Uno de los conceptos foundational en CERT-RMM es que el mejoramiento de procesos de direccin de resistencia operacionales tenga un efecto positivo, significativo en la resistencia de servicio. Relacin entre los servicios y los procesos de gestin operacionales Resiliencia 1.2 Elementos de direccin de Resistencia Operacional 1.2.1. Servicios
Un aspecto clave de servicios es el concepto de servicios de valor alto, aquellos que son crticos al xito de la misin de la organizacin. Los servicios de valor alto de la organizacin son el foco de las actividades de direccin de resistencia operacionales de la organizacin. Estos servicios directamente apoyan el logro de objetivos estratgicos y por lo tanto deben ser protegidos y sostenidos al grado necesario para minimizar la interrupcin. 1.2 Elementos de direccin de Resistencia Operacional 1.2.2. Procesos de negocio
Un proceso de negocio es una serie de actividades distintas o tareas que contribuyen a la realizacin de una misin de servicio. Piense en un proceso de negocio como el siguiente nivel de la descomposicin para un servicio, y un servicio como la agregacin de todos los procesos de negocio necesarios para el xito de servicio.
Las actividades que la organizacin (y sus proveedores) ejecutan para asegurar que los servicios cumplen la misin Transversal a la organizacin Un Servicio se compone de uno o ms procesos del negocio La misin de un proceso debe habilitar la misin del servicio
En el CERT-RMM, puede entenderse que cualquier discusin de servicios se refiere a todos sus procesos de negocio componentes tambin. 1.2 Elementos de direccin de Resistencia Operacional 1.2.3. Activos
Un activo es algo de valor a la organizacin. Los servicios y los procesos de negocio son abastecidos de combustible por activos las materias primas que los servicios tienen que hacer funcionar.
Un servicio no puede llevar a cabo su misin a menos que haya: Gente para hacer funcionar y supervisar
Informacin de servicios y datos para alimentar el proceso y ser producida
Tecnologa para automatizar y apoyar el servicio
Instalaciones en el que se realizar el servicio 1.2 Elementos de direccin de Resistencia Operacional 1.2.3. Activos
Impacto de la Interrupcin de un Activo en la misin del Servicio
La falla de uno o ms activos tiene un impacto en cascada en la misin => Procesos del Negocio => Servicios => Organizacin Impacto de Activo Interrumpido en Misin de Servicio 1.2 Elementos de direccin de Resistencia Operacional 1.2.3. Activos
Puesta de Activos en Contexto Las relaciones entre activos tienen implicaciones para la resistencia. La informacin es el tipo ms introducido del activo; su resistencia es unida a las tecnologas en las cuales es desarrollado, tratado, almacenado, y transmitido as como las instalaciones dentro de las cuales la tecnologa fsicamente reside. Los activos de valor alto tienen dueos y guardianes. Los dueos de activo son las personas o unidades organizativas, internas o externas a la organizacin, que tienen la responsabilidad primordial sobre la viabilidad, productividad, y resistencia del activo. 1.2 Elementos de direccin de Resistencia Operacional 1.2.4. Requisitos de resistencia
Los requisitos de resistencia operacionales son una derivacin de los objetivos de seguridad tradicionalmente descritos de confidencialidad, integridad, y disponibilidad. Conocido como propiedades descriptivas de activos de informacin, estos objetivos tambin son extensibles a otros tipos de personas de activos, tecnologa, e instalaciones por las cuales la direccin de resistencia operacional est preocupada.
Los requisitos de resistencia se hacen una parte del ADN de un activo (justo como su definicin, dueo, y valor) que supera lmites departamentales y organizativos porque ellos se quedan con el activo sin tener en cuenta donde es desplegado o hecho funcionar.
Los requisitos de resistencia forman la base para proteger y sostener estrategias. Estas estrategias determinan el tipo y el nivel de mandos que aseguran la resistencia operacional; a la inversa, los mandos deben satisfacer los requisitos de los cuales ellos se derivan. 1.2 Elementos de direccin de Resistencia Operacional 1.2.4. Requisitos de resistencia
El proceso de desarrollo de requisitos de resistencia requiere que la organizacin establezca requisitos de resistencia en la empresa, servicio, y niveles de activo basados en conductores organizativos, asunciones de riesgo y tolerancias, y objetivos de resistencia y objetivos. 1.2 Elementos de direccin de Resistencia Operacional 1.2.5. Estrategias de proteccin y sostenimiento de activos La Resiliencia Operacional inicia en el nivel de los Activos
Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los activos estos tienen que ser: Protegidos de la amenazas y riesgos que los pudieran afectar Hacerlos sostenibles bajo condiciones adversas 1.2 Elementos de direccin de Resistencia Operacional 1.2.5. Estrategias de proteccin y sostenimiento de activos Estrategias de Proteccin Se traducen en actividades destinadas a mantener los activos desde la exposicin a las amenazas a las interrupciones. Instanciadas a travs de procesos, procedimientos, polticas y controles. 1.2 Elementos de direccin de Resistencia Operacional 1.2.5. Estrategias de proteccin y sostenimiento de activos Estrategias de Sostenimiento Se traducen en actividades destinadas a mantener los activos en forma productiva durante la adversidad. Instanciadas a travs de procesos, procedimientos, polticas y controles 1.2 Elementos de direccin de Resistencia Operacional 1.2.6. Cobertura del ciclo vital
Cada uno de los activos cubiertos en CERT-RMM tiene un ciclo vital. Desde un punto de vista genrico, la mayora de procesos de direccin de resistencia operacionales en CERT-RMM se concentra en las fases de ciclo vital de operacin y despliegue, como se muestra a continuacin: 1.2 Elementos de direccin de Resistencia Operacional 1.2.6. Cobertura del ciclo vital Ciclo de vida de la Gente: La gente es contratada, entrenada, y desplegada en servicios.
Ciclo de vida de la informacin: La informacin es creada o desarrollada, usada por la gente y servicios, y luego eliminada al final de su perodo de servicio.
Ciclo de vida de la tecnologa: La tecnologa es el ms estrechamente definida por descripciones de ciclo vital tradicionales. El software, los sistemas, y el hardware son planeados, diseados, desarrollados o adquiridos, puestos en prctica, y hechos funcionar.
Ciclo de vida de las instalaciones: Las instalaciones son planeadas, diseadas, desarrolladas o adquiridas, construidas, y hechas funcionar, y luego retiradas al final de su perodo de servicio.
Ciclo de vida de los servicios: Para servicios, los procesos de direccin de resistencia operacionales principalmente se concentran en las fases de operacin y despliegue de la vida de un ciclo de servicio. Las organizaciones que adoptan el CERT-RMM pueden decidir sustituir un poco de la terminologa usada en estos conceptos claves con lo que es cmodo, familiar, y til para ellos. Sin embargo, los usuarios de CERT-RMM son fuertemente animados a interpretar y aplicar los conceptos fundamentales (interrupcin y tensin, convergencia, resistencia operacional) y los elementos de la resistencia operacional (servicios, procesos de negocio, activos, y requisitos de resistencia, estrategias de proteger y sostener, y cobertura de ciclo vital) para ganar las ventajas de direccin y mejoramiento de la resistencia operacional usando el modelo. 1.3 Adaptacin Terminologa de CERT-RMM y Conceptos
El Entorno Global Es Un Conjunto de Fuerzas y Condiciones Del Mundo Que Están Más Allá de Los Límites de Una Organización y Afectan La Forma en Que Opera y Moldean Su Conducta