Resiliencia Operacional Basado en el Modelo CERT-RMM
Ing. Yezid E. Donoso Meisel, Ph.D.Profesor Asociado Dpto. Ingeniería de Sistemas y Computación
Coordinador Especialización en Seguridad de la Información
Senior Member IEEEDVP (Distinguished Visitor Professor) IEEE
Information Security Certified – SEI – Carnegie Mellon University – USACERT-RMM – SEI - Carnegie Mellon University – USA
Certified Functional Continuity Professional (CFCP)– DRIIBusiness Continuity Auditor/Auditor Leader Certified – BSI
EC-Council Certified Security Analyst
e-mail : [email protected]
http://sistemas.uniandes.edu.co/~ydonoso
ContenidoIntroducción al riesgo operacional, resiliencia y gestión de la resiliencia
Retos Organizacionales y Operacionales
Fundamentos de Riesgos y Resiliencia
. Gestión de la Resiliencia
Análisis de alto nivel CERT-RMM Resilience Management Model
Análisis de alto nivel CERT-RMM Resilience Management Model
Institucionalización del Proceso
Sistema de Gestión de la Resiliencia
Análisis GAP
CERT-RMM-IMC Incident Management and Control
CERT-RMM-SC Service Continuity
CERT RMM-TM Technology Management
¿Cómo iniciar el Proceso para el CERT-RMM?
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Presión Geo-Política
Retos Organizacionales y Operacionales
Cada minuto la resiliencia operacional de la organización se
encuentra en condiciones de estrés.
El estrés puede venir de:
Uso intenso de tecnología
Complejidad operacional
Movimiento hacia activos intangibles
Presión de la economía global
Fronteras abiertas
Presión Geo-Política
Limitaciones regulatorias y legales
Retos Organizacionales y Operacionales
a collaborative
odyssey
Retos Organizacionales y Operacionales
IT Governance
ResourceManagement
Retos Organizacionales y Operacionales
Retos Organizacionales y Operacionales
Fundamentos de RiesgosCertezas Organizacionales
El ambiente de riesgos no es contratado – número de riesgos y complejidad
incrementará
La organización debe mejorar para sobrevivir en condiciones de incertidumbre
El conocimiento y conciencia de las características e impactos de los riesgos
tiene que ser intensiva en toda la organización
Herramientas, técnicas y metodologías tradicionales pueden no trabajar en
forma adecuada en estos ambientes
La estructura organizacional existente puede no ser suficientemente ágil para
adaptarse.
Riesgo???
Es la posibilidad de sufrir daños o pérdidas.
Peligro; una fuente de peligro; una posibilidad de incurrir en pérdida o
desgracia. [wordnet.princeton.edu].
Consiste de:
Un evento o condición
Una consecuencia o impacto
Incertidumbre
Fundamentos de Riesgos
[SEI – CMU]
Riesgo Operacional: Una forma de amenaza de riesgo que afecta las operaciones
del día a día del Negocio.
La falla potencial para lograr cumplir los objetivos de la misión.
Fundamentos de Riesgos
[SEI – CMU]
Enterprise Risk Management (ERM)
Es una actividad que mira a través de todas las actividades de
riesgos en la organización y considera todos los tipos de riesgos.
Fundamentos de Riesgos
ERM vs ORM (Operational Risk Management)
ORM es un subconjunto significativo de ERM.
ORM direcciona los riesgos generados por los procesos críticos en su
día a día y que pueden afectar el cumplimiento de los objetivos de la
misión de la organización.
Fundamentos de Riesgos
Resiliencia
The physical property of a material when it can return to its original shape or
position after deformation that does not exceed its elastic limit
[wordnet.princeton.edu].
The emergent property of an organization that can continue to carry out
its mission after disruption that does not exceed its operational limit
[CERT-RMM].
¿ De dónde vienen las interrupciones? Riesgos llevados a cabo
Fundamentos de Riesgos
¿Qué hace que un Servicio sea operacionalmente resistente?
Identificación y Mitigación de los riesgos del servicio y de sus activos relacionados.
Procesos y planeación de continuidad del servicio.
Gestión de las prácticas para las operaciones en TI.
Gestión de las personas.
Prácticas de protección (control) y seguridad de la información y activos tecnológicos
importantes para la organización.
Gestión de las partes externas (que provee parte de los servicios)
Gestión ambiental (en donde los servicios residen)
Fundamentos de Riesgos
Gestión de la Resiliencia
Convergencia
Es un concepto fundamental en el manejo de la resiliencia operacional
Se refiere a la armonía de las actividades para la gestión del riesgo operacional que
tienen objetivos y resultados similares
Actividades de Gestión del Riesgo Operacional incluyen:
Planeación y Gestión de la Seguridad
Continuidad del Negocio (BCMS) y Recuperación ante desastres (DRP)
Gestión de la operación y entrega de servicios en TI
Otras actividades de soporte pueden ser involucradas: comunicaciones, gestión
financiera, entre otras.
Resiliencia Operacional y Convergencia
Gestión de la Resiliencia
[SEI – CMU]
Importancia de la Convergencia
Elimina actividades redundantes (y costos asociados)
Obliga a la colaboración entre actividades que tienen objetivos similares
Enfoque hacia la misión
Facilita en los procesos que son propiedad de toda la organización
Gestión de la Resiliencia
Enemigos de la Convergencia
?
Gestión de la Resiliencia
Elementos de la Resiliencia
Servicios
Número limitado de actividades que la organización ejecuta para entregar un
servicio o para producir un producto.
La misión del servicio debe habilitar la misión de la organización
Gestión de la Resiliencia
Elementos de la Resiliencia
Procesos del negocio
Las actividades que la organización (y sus proveedores) ejecutan para asegurar
que los servicios cumplen la misión
Transversal a la organización
Un Servicio se compone de uno o más procesos del negocio
La misión de un proceso debe habilitar la misión del servicio
Gestión de la Resiliencia
Elementos de la Resiliencia
Activos
Algo de valor para la organización
Confidencialidad Integridad Disponibilidad
Gestión de la Resiliencia
[SEI – CMU]
Colocando los Activos en el Contexto
Gestión de la Resiliencia
[SEI – CMU]
Relaciones entre los Elementos
Gestión de la Resiliencia
[SEI – CMU]
Abstracción hacia un enfoque de la misión
Gestión de la Resiliencia
[SEI – CMU]
Impacto de la Interrupción de un Activo en la misión del Servicio
La falla de uno o más activos tiene un impacto en cascada en la misión => Procesos
del Negocio => Servicios => Organización
Gestión de la Resiliencia
[SEI – CMU]
La Resiliencia Operacional inicia en el nivel de los Activos
Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los
activos estos tienen que ser:
Protegidos de la amenazas y riesgos que los pudieran afectar
Hacerlos sostenibles bajo condiciones adversas
Gestión de la Resiliencia
[SEI – CMU]
Gestión de Riesgos vs Gestión de Continuidad de Negocios
Alto
Impacto
Bajo
Impacto
Alta
Probabilidad
Probabilidad
Conocida
Baja
Probabilidad
Probabilidad
Desconocida
Dominio Gestión
De Continuidad
de NegociosDominio Gestión
de Riesgos
Gestión de la Resiliencia
CERT-RMM – Resilience Management Model
Gestión de la Resiliencia
[SEI – CMU]
Estrategias de Protección
Se traducen en actividades destinadas a mantener los activos desde la exposición a
las amenazas a las interrupciones.
Instanciadas a través de procesos, procedimientos, políticas y controles.
Gestión de la Resiliencia
[SEI – CMU]
Estrategias de Sostenimiento
Se traducen en actividades destinadas a mantener los activos en forma productiva
durante la adversidad.
Instanciadas a través de procesos, procedimientos, políticas y controles.
Gestión de la Resiliencia
[SEI – CMU]
Protección, Sostenimiento y Riesgo
CERT – RMM – Carnegie Mellon University
Gestión de la Resiliencia
[CERT-RMM SEI – CMU]
Gestión de la Resiliencia en el Ciclo de Vida de un Activo
CERT – RMM – Carnegie Mellon University
Gestión de la Resiliencia
[CERT-RMM SEI – CMU]
Áreas
CERT – RMM – Carnegie Mellon University
Gestión de la Resiliencia
[CERT-RMM SEI – CMU]
Análisis de alto nivel CERT-RMM
Resilience Management Model
[CERT-RMM SEI – CMU]
Análisis de alto nivel CERT-RMM
Resilience Management Model
Análisis de alto nivel CERT-RMM
Resilience Management Model
Institucionalización del Proceso
Representación por estados = Maturity Level (NO CERT-RMM)
Representación Continua = Nivel de Capacidad por área de procesos (únicamente
en CERT-RMM)
Institucionalización del Proceso
Aplica para cada área de proceso para mejorar
el proceso asociado de cada área.
Cada nivel excepto el Nivel 0 consiste de un
Objetivo genérico y las Prácticas Genéricas
relacionadas
Institucionalización del Proceso
Nivel 0
Indica que uno o más de las metas específicas
del área de proceso no es satisfecha
Institucionalización del Proceso
Nivel 1
Satisface las metas específicas del área de
proceso.
Institucionalización del Proceso
Nivel 2
La disciplina del proceso asegura que las
prácticas actuales se mantienen en tiempos de
estrés.
Institucionalización del Proceso
Nivel 3
La gestión de procesos es proactivo, no
reactivo
Institucionalización del Proceso
Sistema de Gestión de la Resiliencia
Modelo IDEAL
Análisis GAP
[CERT-RMM SEI – CMU]
CERT-RMM IMC
CERT-RMM IMC
[CERT-RMM SEI – CMU]
CERT-RMM IMC
[CERT-RMM SEI – CMU]
CERT-RMM IMC
Productos Típicos:• Plan de gestión de incidentes
• Solicitudes documentadas de los compromisos del plan
• Compromisos documentados del plan
CERT-RMM IMC
Productos Típicos:• Descripción del trabajo para los roles y responsabilidades en el plan
• Listado del personal disponible y calificado
• Listado de las brechas de habilidades y brecha en la disponibilidad del personal
• Planes de mitigación para direccionar las habilidades y la brecha en el personal
• Actualización del plan de gestión de incidentes (con la asignación de personal)
CERT-RMM IMC
Productos Típicos:• Fuentes de detección y reporte de eventos
• Descripción de los roles y responsabilidades de la detección y reporte de eventos
• Procedimientos para la detección y reporte de eventos
• Reportes de eventos
CERT-RMM IMC
Productos Típicos:• Registrar los reportes de eventos
• Base de datos de conocimiento de la gestión de incidentes
• Estado de los reportes de los eventos e incidentes
CERT-RMM IMC
Productos Típicos:• Normas, leyes, regulaciones y políticas relevantes con respecto a manejo forense de incidentes
• Documentación y guías/directrices de manejo de las evidencias de los eventos/incidentes
CERT-RMM IMC
Productos Típicos:• Reporte de eventos actualizados (categorizados y priorizados)
• Base de datos de conocimiento de incidentes actualizada
• Reporte del estado de los eventos abiertos
CERT-RMM IMC
Productos Típicos:• Criterio de declaración de un incidente
CERT-RMM IMC
Productos Típicos:• Reporte con el análisis de incidentes
• Reporte a través de técnicas y herramientas de análisis
• Bases de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:• Procedimiento de escalamiento de incidentes
• Criterio de escalamiento
CERT-RMM IMC
Productos Típicos:• Estrategias y plan de respuesta ante incidentes
• Plan de continuidad del servicio
• Plan de restauración
• Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:• Lista de stakeholders, protocolos de comunicación y canales ante incidentes
• Plan de comunicación ante incidentes
• Reporte del estado del incidente (desde la base de datos de conocimientos de incidentes)
CERT-RMM IMC
Productos Típicos:• Criterio para cerrar el incidente
• Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:• Criterio para cerrar el incidente
• Reporte con el análisis Post-Incidente
• Recomendaciones para mejorar los controles
• Recomendaciones para mejorar el proceso de gestión de incidentes
• Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
Productos Típicos:• Reporte de problemas
CERT-RMM IMC
Productos Típicos:• Estrategia de controles
• Planes de continuidad del servicio
• Políticas de Resiliencia
• Requerimientos y necesidades de entrenamiento
• Lista de mejoras para el proceso de gestión de incidentes
• Requerimientos de resiliencia de los servicios y los activos
• Base de datos de conocimiento de incidentes actualizada
CERT-RMM IMC
CERT-RMM IMC
CERT-RMM IMC
CERT-RMM IMC
CERT-RMM SC
Propósito
El propósito de Service Continuity es asegurar la
continuidad de las operaciones esenciales del servicio
y de los activos relacionados en caso de que una
interrupción ocurra como resultado de un incidente,
desastre u otro evento.
Objetivo
Continuidad del Servicio describe los procesos
organizacionales responsables por los planes de
desarrollo, implantación, ejercicio, puesta en marcha y
gestión para responder y recuperarse de los eventos
y restaurar las operaciones del negocio como es
usual.
CERT-RMM SC
[CERT-RMM SEI – CMU]
Objetivos - SC
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
[CERT-RMM SEI – CMU]
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
Comparación RMM vs BS-25999
CERT-RMM TM
Propósito
El propósito de Technology Management es establecer
y mantener un nivel apropiado de controles
relacionados con la integridad y la disponibilidad del
activo de tecnología para soportar la resiliencia en las
operaciones de los servicios de la organización.
CERT-RMM TM
[CERT-RMM SEI – CMU]
CERT-RMM TM
CERT-RMM TM
Comparación RMM-TM vs ISO-27001
¿Cómo iniciar el Proceso para el
CERT-RMM?
Determinar si la organización presenta síntomas de presentar barreras
organizacionales.
Iniciar la discusión acerca del mejoramiento de procesos en la organización.
Buscar la experiencia de aplicación exitosa de otras técnicas de mejoramiento
de procesos
Buscar oportunidades para la interacción y planeación con otros recursos de
Seguridad y BC/DR
Realizar pasos simples:
• Inventario de Activos (en las 4 categorías)
• Identificar los Servicios críticos para la organización (Posiblemente BIA)
• Identificar los Riesgos (RA)
• Determinar como la organización planea los esfuerzos para la seguridad
y la continuidad del negocio.
• Identificar área para el mejoramiento
Resiliencia Operacional Basado en el Modelo CERT-RMM
Ing. Yezid E. Donoso Meisel, Ph.D.Profesor Asociado Dpto. Ingeniería de Sistemas y Computación
Coordinador Especialización en Seguridad de la Información
Senior Member IEEEDVP (Distinguished Visitor Professor) IEEE
Information Security Certified – SEI – Carnegie Mellon University – USACERT-RMM – SEI - Carnegie Mellon University – USA
Certified Functional Continuity Professional (CFCP)– DRIIBusiness Continuity Auditor/Auditor Leader Certified – BSI
EC-Council Certified Security Analyst
e-mail : [email protected]
http://sistemas.uniandes.edu.co/~ydonoso