1. Preceptos Del Modelo de Gestión de La Madurez de La Empresa

1. Preceptos que rigen el modelo de

gestión de la madurez de la empresa

Perspectiva Operacional Resiliencia

Las organizaciones en todos los sectores de la industria, el gobierno y el mundo académico, se enfrentan a entornos operativos cada vez más complejos y entornos de riesgo dinámico. Estas demandas se confabulan para obligar a las organizaciones a repensar la forma en que gestionan el riesgo operacional y la capacidad de recuperación de los procesos y servicios críticos de negocio. Las interrupciones provienen de riesgo realizado • Natural o artificial • accidental o intencional • Pequeño y Grande • Tecnologías de la información o No • Cibernético o cinético

Eventos Disruptivos…

Naturales o artificiales

Accidental o

intencional

Pequeño o Grande

Tecnologías de la

información o No

• Fuego • Inundaciones • Fallos de TI • terremotos • Los ataques cibernéticos • El tiempo severo • Errores en la red • Fallos tecnológicos • Cambios organizacionales • Pérdida de proveedor de servicios • Las huelgas u otras acciones laborales • Pérdida del cliente o socio comercial • químicos, riesgos biológicos, nucleares • Falta de disponibilidad de mano de obra • Los procesos internos fallidos • interrupción de la cadena de suministro • secuestros de empleados • Violencia en el trabajo • La corrupción de datos • La falla del producto • Los cortes de energía • Los disturbios civiles • Terrorismo • Fraude • Etc.

Resulta en

La interrupción

de los procesos de

negocio

... A través del cual los riesgos se realizan

Desafíos para la Resiliencia Operacional

La capacidad de recuperación operativa de las organizaciones está bajo estrés en un minuto a minuto. El estrés proviene de: • El uso generalizado de la tecnología • Globalización • Complejidad de los procesos de negocio • complejidad operacional • El movimiento hacia activos intangibles • Las presiones económicas globales • La apertura de fronteras • presiones geopolíticas • límites regulatorios y legales • Problemas heredados • Etc., etc, etc

Ambiente del Riesgo en Expansión

Protección de la Empresa

La protección de la empresa es un desafío complejo y multifacético Eventos disruptivos, a través del cual se realizan los riesgos, seguirán sorprendiéndonos. Las herramientas tradicionales, las técnicas y los métodos pueden no funcionar en este entorno.

Panorámica de CERT Resiliencia Modelo de Gestión (CERT-RMM)

¿Qué es CERT-RMM?

Marco para la gestión y mejora de la capacidad de recuperación operacional. Implementación de guías, gestión y el mantenimiento de las actividades de gestión de riesgos operativos. Mejora la confianza en cómo una organización administra y responde al estrés operacional. Se centra en el qué, cómo, cuándo, donde, porque y para qué aplicable a una variedad de organizaciones: • pequeño o grande • simple o compleja • pública o privada "... Un amplio súper-conjunto de las cosas que una organización puede hacer para ser más fuertes."

CERT-RMM de un vistazo

Gestión de Ingeniería

Gestión de Operaciones

Gestión de Procesos

Gestión de Empresas

Gestión de Requisitos

Requisitos RRD-Resiliencia Desarrollo RRM-Resiliencia Gestión de Requisitos Gestión de Activos

Definición y Gestión de Activos ADM- El establecimiento de Resiliencia

SC- Continuidad de servicio CTRL-Gestión de Control RTSE- Solución de resiliencia de ingeniería técnica

Gestión de Activos Resiliencia EC-control ambiental KIM-Conocimiento y Gestión de la Información PM-Gestión de Personas TM-Gestión de la Tecnología electrónicos EXD-Gestión de Dependencias Manejo de amenaza, incidentes, y acceso AM-Manejo de Accesos ID-Gestión de Identidad IMC-Gestión y Control de Incidentes VAR-Análisis de Vulnerabilidad y resolución

Recolección y registro de datos MON - Monitoreo Gestión de Procesos MA - Medición y Análisis OPD - Definición del proceso organizacional OPF - Enfoque Procesos de la Organización

Gobierno, Riesgo, y Cumplimiento

COMP - Cumplimiento EF - Enfoque Empresarial RIESGO - Gestión de Riesgos Resiliencia Apoyo

COM - Comunicaciones FRM - Gestión de Recursos Financieros HRM - Gestión de Recursos Humanos OTA - Formación Organizacional y la conciencia

1. Preceptos Clave en CERT-RMM

Varios términos claves y preceptos son significativos, ya que ellos forman la foundational del CERT-RMM. 1.1. Preceptos Fundamentales 1.1.1. Interrupción y Tensión 1.1.2 Convergencia 1.1.3 Dirección de Resistencia Operacional 1.2 Elementos de dirección de Resistencia Operacional 1.2.1 Servicios 1.2.2 Procesos de negocio 1.2.3 Activos 1.2.4 Requisitos de resistencia 1.2.5 Estrategias de protección y sostención de activos 1.2.6 Cobertura de ciclo vital 1.3 Adaptación Terminología de CERT-RMM y Conceptos

1.1. Preceptos Fundamentales 1.1.1. Interrupción y Tensión

Las organizaciones son constantemente bombardeadas con acontecimientos y condiciones que pueden causar la tensión y pueden interrumpir su operación eficaz, CERT-RMM ayudan a controlar el comportamiento de la organización y su respuesta durante tiempos de interrupción y tensión, dando la capacidad de adaptarse a riesgos operacionales, incluso riesgos realizados • La tecnología hace procesos más productivos, pero también los hace más

complejos. • Las nuevas tecnologías puede introducir nuevos riesgos que no son

identificados hasta que ellos sean realizados. • La intangibilidad puede aumentar la probabilidad y el impacto de riesgos

potenciales. • Se requiere armonización y la convergencia ante las situaciones de riesgo. • El comercio en una economía mundial proporciona menos aislamiento de riesgos globales y, proporcionalmente, menos control.

1.1. Preceptos Fundamentales 1.1.2. Convergencia

La convergencia es un concepto fundamental para manejar la resistencia operacional. Es definido como la armonización de actividades de gestión del riesgo operacionales que tienen objetivos similares y resultados. Estas actividades incluyen la planificación de seguridad y la continuidad del negocio de dirección, dirección de recuperación ante desastres , dirección de prestación de servicios y operaciones. Otras actividades de apoyo son típicamente incluidas, como gestión financiera, comunicaciones, dirección de recurso humano, y formación organizativa y conciencia.

1.1. Preceptos Fundamentales 1.1.2. Convergencia

El caso de negocios para la convergencia se trata de la economía. Cuando las funciones organizativas y las actividades comparten los mismos objetivos, cuestiones, soluciones, y capacidades principales, es necesario implementar una colaboración. Importancia de la Convergencia: • Elimina actividades redundantes (y costos asociados).

• Obliga a la colaboración entre actividades que tienen objetivos similares.

• Enfoque hacia la misión.

• Facilita en los procesos que son propiedad de toda la organización.

1.1. Preceptos Fundamentales 1.1.3. Dirección de Resistencia Operacional

El riesgo operacional es el impacto potencial a activos y a sus servicios relacionados que podrían resultar del inadecuado o fallas de procesos internos, fracasos de sistemas o tecnología, acciones deliberadas o involuntarias de personas, o acontecimientos externos. Manejar más con eficacia y mitigar el riesgo operacional requieren que una organización enfoque su atención a la resistencia operacional. La resistencia operacional se dirige a la capacidad de la organización de adaptarse para arriesgar lo que afecta sus capacidades operacionales principales.

1.1. Preceptos Fundamentales 1.1.3. Dirección de Resistencia Operacional

La dirección de resistencia operacional define los procesos y prácticas relacionadas que una organización usa para el diseño, desarrollo, práctica, y control de estrategias para proteger el valor de los servicios, procesos de negocio relacionados, y activos asociados, como la gente, información, tecnología, y activos. La dirección de resistencia operacional incluye cuatro objetivos: • Prevenga la realización del riesgo operacional para un servicio de valor

alto. • Sostenga un servicio de valor alto si el riesgo es realizado. • Con eficacia diríjase a consecuencias de la organización si el riesgo es

realizado, y devuelva la organización a un estado de operaciones normal. • Optimizar el logro de estos objetivos maximizar la eficacia al coste más

bajo.

1.2 Elementos de dirección de Resistencia Operacional

CERT-RMM define varios conceptos foundational que proporcionan niveles útiles de la abstracción aplicada en todas partes del modelo. Estos conceptos incluyen estrategias de requisitos de resistencia de activos de procesos de negocio de servicios de proteger y sostener la cobertura de ciclo vital de servicios y activos Estos conceptos son claves al entendimiento del enfoque basado en el proceso del CERT-RMM a la dirección de la resistencia operacional.

1.2 Elementos de dirección de Resistencia Operacional 1.2.1. Servicios

• Número limitado de actividades que la organización ejecuta para entregar un servicio o para producir un producto.

• La misión del servicio debe habilitar la misión de la organización CERT-RMM identifica las siguientes actividades como la contribución a la resistencia de servicio: • Identificación y la mitigación de riesgos para el servicio y sus activos de

apoyo . • La realización de la dirección de proyectos y procesos de continuidad de

servicio. • Despliegue de la gente. • Identificación de operaciones. • Despliegue de mandos eficaces para la información. • Dirección de activos de tecnología del ambiente operacional donde los

servicios son realizados.


Uno de los conceptos foundational en CERT-RMM es que el mejoramiento de procesos de dirección de resistencia operacionales tenga un efecto positivo, significativo en la resistencia de servicio.

Relación entre los servicios y los procesos de gestión operacionales Resiliencia


Un aspecto clave de servicios es el concepto de servicios de valor alto, aquellos que son críticos al éxito de la misión de la organización. Los servicios de valor alto de la organización son el foco de las actividades de dirección de resistencia operacionales de la organización. Estos servicios directamente apoyan el logro de objetivos estratégicos y por lo tanto deben ser protegidos y sostenidos al grado necesario para minimizar la interrupción.

1.2 Elementos de dirección de Resistencia Operacional 1.2.2. Procesos de negocio

Un proceso de negocio es una serie de actividades distintas o tareas que contribuyen a la realización de una misión de servicio. Piense en un proceso de negocio como el siguiente nivel de la descomposición para un servicio, y un servicio como la agregación de todos los procesos de negocio necesarios para el éxito de servicio. • Las actividades que la organización (y sus proveedores) ejecutan para

asegurar que los servicios cumplen la misión • Transversal a la organización • Un Servicio se compone de uno o más procesos del negocio • La misión de un proceso debe habilitar la misión del servicio En el CERT-RMM, puede entenderse que cualquier discusión de servicios se refiere a todos sus procesos de negocio componentes también.

1.2 Elementos de dirección de Resistencia Operacional 1.2.3. Activos

Un activo es algo de valor a la organización. Los servicios y los procesos de negocio son abastecidos de combustible por activos las materias primas que los servicios tienen que hacer funcionar. Un servicio no puede llevar a cabo su misión a menos que haya: • Gente para hacer funcionar y supervisar

• Información de servicios y datos para alimentar el proceso y ser producida

• Tecnología para automatizar y apoyar el servicio

• Instalaciones en el que se realizará el servicio


Impacto de la Interrupción de un Activo en la misión del Servicio • La falla de uno o más activos tiene un impacto en cascada en la misión =>

Procesos del Negocio => Servicios => Organización

Impacto de Activo Interrumpido en Misión de Servicio


Puesta de Activos en Contexto

Las relaciones entre activos tienen implicaciones para la resistencia. La información es el tipo más introducido del activo; su resistencia es unida a las tecnologías en las cuales es desarrollado, tratado, almacenado, y transmitido así como las instalaciones dentro de las cuales la tecnología físicamente reside. Los activos de valor alto tienen dueños y guardianes. Los dueños de activo son las personas o unidades organizativas, internas o externas a la organización, que tienen la responsabilidad primordial sobre la viabilidad, productividad, y resistencia del activo.

1.2 Elementos de dirección de Resistencia Operacional 1.2.4. Requisitos de resistencia

Los requisitos de resistencia operacionales son una derivación de los objetivos

de seguridad tradicionalmente descritos de confidencialidad, integridad, y disponibilidad. Conocido como propiedades descriptivas de activos de información, estos objetivos también son extensibles a otros tipos de personas de activos, tecnología, e instalaciones por las cuales la dirección de resistencia operacional está preocupada. Los requisitos de resistencia se hacen una parte del ADN de un activo (justo como su definición, dueño, y valor) que supera límites departamentales y organizativos porque ellos se quedan con el activo sin tener en cuenta donde es desplegado o hecho funcionar. Los requisitos de resistencia forman la base para proteger y sostener estrategias. Estas estrategias determinan el tipo y el nivel de mandos que aseguran la resistencia operacional; a la inversa, los mandos deben satisfacer los requisitos de los cuales ellos se derivan.

1.2 Elementos de dirección de Resistencia Operacional 1.2.4. Requisitos de resistencia

El proceso de desarrollo de requisitos de resistencia requiere que la

organización establezca requisitos de resistencia en la empresa, servicio, y niveles de activo basados en conductores organizativos, asunciones de riesgo y tolerancias, y objetivos de resistencia y objetivos.

1.2 Elementos de dirección de Resistencia Operacional 1.2.5. Estrategias de protección y sostenimiento de activos

La Resiliencia Operacional inicia en el nivel de los Activos Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los activos estos tienen que ser: • Protegidos de la amenazas y riesgos que los pudieran afectar • Hacerlos sostenibles bajo condiciones adversas


Estrategias de Protección • Se traducen en actividades destinadas a mantener los activos desde la

exposición a las amenazas a las interrupciones. • Instanciadas a través de procesos, procedimientos, políticas y controles.


Estrategias de Sostenimiento • Se traducen en actividades destinadas a mantener los activos en

forma productiva durante la adversidad. • Instanciadas a través de procesos, procedimientos, políticas y

controles

1.2 Elementos de dirección de Resistencia Operacional 1.2.6. Cobertura del ciclo vital

Cada uno de los activos cubiertos en CERT-RMM tiene un ciclo vital. Desde un

punto de vista genérico, la mayoría de procesos de dirección de resistencia operacionales en CERT-RMM se concentra en las fases de ciclo vital de operación y despliegue, como se muestra a continuación:

1.2 Elementos de dirección de Resistencia Operacional 1.2.6. Cobertura del ciclo vital

Ciclo de vida de la Gente: La gente es contratada, entrenada, y desplegada en servicios. Ciclo de vida de la información: La información es creada o desarrollada, usada por la gente y servicios, y luego eliminada al final de su período de servicio. Ciclo de vida de la tecnología: La tecnología es el más estrechamente definida por descripciones de ciclo vital tradicionales. El software, los sistemas, y el hardware son planeados, diseñados, desarrollados o adquiridos, puestos en práctica, y hechos funcionar. Ciclo de vida de las instalaciones: Las instalaciones son planeadas, diseñadas, desarrolladas o adquiridas, construidas, y hechas funcionar, y luego retiradas al final de su período de servicio. Ciclo de vida de los servicios: Para servicios, los procesos de dirección de resistencia operacionales principalmente se concentran en las fases de operación y despliegue de la vida de un ciclo de servicio.

Las organizaciones que adoptan el CERT-RMM pueden decidir sustituir un poco de la terminología usada en estos conceptos claves con lo que es cómodo, familiar, y útil para ellos. Sin embargo, los usuarios de CERT-RMM son fuertemente animados a interpretar y aplicar los conceptos fundamentales (interrupción y tensión, convergencia, resistencia operacional) y los elementos de la resistencia operacional (servicios, procesos de negocio, activos, y requisitos de resistencia, estrategias de proteger y sostener, y cobertura de ciclo vital) para ganar las ventajas de dirección y mejoramiento de la resistencia operacional usando el modelo.

1.3 Adaptación Terminología de CERT-RMM y Conceptos

1. Preceptos Del Modelo de Gestión de La Madurez de La Empresa

Documents

Transcript of 1. Preceptos Del Modelo de Gestión de La Madurez de La Empresa