CERT Resilience Management Model
CERT Resilience Management Model E-commerce
Mota Lucas Jos ManuelTern Fonseca Mario Alberto
Equipo 4
Modelo de relaciones
Los esfuerzos de mejora de procesos exitosos estn alineados con
el negocio y las estrategias para lograr los objetivos. De lo
contrario, no hay ninguna razn para que la organizacin invierta en
la mejora de procesos.
Los objetivos de negocio y estratgicos pueden reflejar bien los
factores crticos de xito de la organizacin, las regulaciones de
cumplimiento, o incluso para hacer frente a un problema o desafo
permanente para la organizacin.
Estos objetivos deben conducir a la mejora de procesos basado en
modelos mtodos, tcnicas y herramientas, incluyendo CERT-RMM.
Modelo de relaciones
Hay dos tipos de relaciones que son tiles para entender el
modelo. La vista del modelo ayuda a comprender el modelo desde el
punto de vista arquitectnico. La manera en que las reas de proceso
se agrupan, proporciona una perspectiva sobre la zona de la
resiliencia operativa y la gestin que esas reas de proceso estn
destinadas a apoyar.
La visin objetiva ayuda a ver el modelo a travs de las
relaciones que apoyan un objetivo particular y lo que quiere
lograr.
Por ejemplo, si su objetivo es mejorar la gestin de
vulnerabilidades de alto valor los activos de informacin, la visin
objetiva une las reas de proceso que satisfaran este objetivo.
La vista de modelo La vista de modelo simplemente se encarga de
las reas de proceso por categora proceso. Las reas de proceso en
cada categora comparten caractersticas comunes que forman la
arquitectura fundacional de la modelo.
Gestin empresarial
A nivel empresarial, la organizacin establece y lleva a cabo
muchas actividades que marcan la pauta de funcionamiento, la
capacidad de recuperacin, tales como la gobernanza, la gestin del
riesgo y la responsabilidad financiera.
Las reas de proceso en la categora de gestin empresarial
representan funciones y actividades que son esenciales para apoyar
ampliamente el proceso de gestin de la capacidad de recuperacin
operacional.
Incidencias
Personas
Informacin
Tecnologa
Instalaciones
reas de proceso - Prcticas genricasPrcticas Genricas reas de
proceso relacionadas Cmo las reas de proceso Ayuda para aplicar la
prctica genrica?GG2.GP1 - Establecer un gobierno de procesosEnfoque
en la empresaEnfoque en la empresa se ocupa de los aspectos de la
gobernanza de la gestin de la capacidad de recuperacin
operacional.
El dominio de las reas de proceso de enfoque de la empresa puede
ayudar a archivar GG2.GP1 en otras reas de proceso.GG2.GP3 -
Proporcionar recursosGestin de Recursos HumanosGestin de Recursos
FinancierosGestin de recursos humanos asegura que los recursos
tengan las habilidades adecuadas y su rendimiento es constante en
el tiempo.
Gestin de recursos financieros se refiere a la prestacin de
otros recursos para el proceso, como el capital financiero.GG2.GP4
- Formar personasFormacin y concienciaOrganizacionalFormacin y
conciencia organizacional asegura que los recursos estn debidamente
capacitadosGG2.GP8 - Supervisar y controlar el
procesoMonitoreoMedicin y anlisisEl monitoreo proporciona la
estructura y el proceso de identificacin y recopilacin de
informacin relevante para el control de procesos.
Medir, analizar, y registrar la informacin que se puede utilizar
en el establecimiento de medidas para vigilar el desempeo real del
proceso.
reas de proceso - Prcticas genricasPrcticas Genricas reas de
proceso relacionadas Cmo las reas de proceso Ayuda para aplicar la
prctica genrica?GG2.GP10 - Estado de la revisin con los gerentes de
nivel superiorEnfoque empresarialComo parte del proceso de
gobernanza, el enfoque de la empresa requiere de supervisin del
proceso de resiliencia incluyendo la identificacin de las acciones
correctivas.GG3.GP1 - Establecer un proceso definidoDefinicin de
procesos de organizacinDefinicin de procesos de organizacin
establece los activos de los procesos de organizacin necesarios
para aplicar la prctica genrica [CMMI 2007].GG3.GP2 - Recopilar
informacin de mejoraDefinicin de procesos de organizacinEnfoque de
los procesos de organizacin Definicin de procesos de organizacin
establece los activos de los procesos de organizacin.Enfoque de los
procesos de organizacin ,aborda la incorporacin de experiencias en
los activos de los procesos de organizacin.
Evaluacin de riesgos (RISK)
Nos centraremos en la evaluacin de riesgos que se debe
establecer a la hora de pensar en la implantacin de un proyecto de
resiliencia operacional, y especficamente de resiliencia del
software, esto debido a que la resiliencia de software sera una
implementacin organizacional que tiene la intencin de reducir el
impacto de una amenaza que produce una interrupcin del
servicio.
El software, as como otro tipo de activos, debe considerarse
como una inversin.
Debido a los riesgos que trae consigo la inversin en proyectos
de software, es necesario establecer un marco de riesgos sobre el
proceso, y no sobre el producto como se suele hacer, debido a que
esta visin (construccin, adquisicin o contrato de software), nos
permitir considerar el alcance que se ajusta a los intereses del
negocio.
Evaluacin de riesgos (RISK)
Es necesario que la organizacin identifique, analice y mitigue
los riesgos, todo esto con el fin que se mantenga a salvo sus
activos frente a amenazas y logre la consecucin de los objetivos de
la organizacin.
A nivel de riesgo operacional, entendiendo el riesgo asociado a
servicios y activos vinculados a la operacin habitual de la
organizacin, puede ser el resultado de un potencial impacto debido
a un fallo de los procesos internos, una accin inadvertida o
deliberada de una persona, problemas con sistemas o tecnologa y
eventos externos.
El propsito de esta rea es identificar, analizar y mitigar los
riesgos a los activos de la organizacin que pueden afectar de
manera negativa la operacin y entrega de servicios.
Evaluacin de riesgos (RISK)
Evaluacin de riesgos (RISK)La necesidad de la Resiliencia en el
Software se origina por la Resiliencia de los Servicios que ofrece
la organizacin, tanto a nivel de negocio como a nivel de
operacin.
Realizaremos una visin a las reas de proceso que proponen, con
especial nfasis para la resiliencia software en las
organizaciones.
reas de proceso consideradas en el CERT-RMMDefinicin y Gestin de
Activos (ADM)Desarrollo de Requisitos de Resiliencia (RRD)Gestin de
Requisitos de Resiliencia (RRM)Gestin de controles
(CTRL)Continuidad del servicio (SC)Gestin de la tecnologa (TM)
Definicin y Gestin de Activos (ADM)
Algo principal en la organizacin es considerar al software un
activo ms, un elemento que soporta un proceso de negocio, por lo
tanto apoya un servicio y en consecuencia el logro de la misin de
la organizacin. Pero es necesario tenerlo identificado, saber cul
es realmente crtico, establecer responsabilidades sobre la
resiliencia del software en la organizacin, y tener un punto de
partida.
El propsito de esta rea de proceso de definicin y gestin de
activos es identificar, documentar y gestionar activos de la
organizacin durante su ciclo de vida para garantizar la
productividad sostenida de los servicios de apoyo de la
organizacin.
Definicin y Gestin de Activos (ADM)
Desarrollo de Requisitos de Resiliencia (RRD)
Las organizaciones tienen prioridades sobre ciertos servicios,
no todas funcionan igual, unas tienen mayor complejidad a nivel
externo otras a nivel interno, a algunas les preocupar la
disponibilidad de ciertos servicios, a otras les interesa la
continuidad, es decir, los requisitos de resiliencia varan de
acuerdo a la misin de los servicios, por lo tanto a la misin de la
organizacin.
El propsito es identificar, documentar y analizar los requisitos
de resiliencia operacional para servicios de alto valor y sus
activos relacionados.
Desarrollo de Requisitos de Resiliencia (RRD)
Gestin de Requisitos de Resiliencia (RRM)
As como definir los requisitos de resiliencia tiene importancia
para la organizacin, lo es de la misma forma la gestin de los
requisitos durante su ciclo de vida.
Los requisitos pueden cambiar en el tiempo si cambian los
intereses de la organizacin, si se incorporan nuevos servicios, si
hay nuevos riesgos e inclusive si se realiza algn cambio de
tecnologa. La organizacin tiene que monitorizar el rendimiento de
sus requisitos y conforme lo necesite debe ajustarlos.
El propsito de esta rea de proceso es gestionar los requisitos
de resiliencia de los servicios de alto valor y activos asociados,
e identificar inconsistencias entre esos requisitos y las
actividades que la organizacin realiza para satisfacer los
requisitos.
Gestin de Requisitos de Resiliencia (RRM)
Gestin de controles (CTRL)
El xito de la organizacin depender del alcance de los objetivos
que se plantearon a nivel organizacional, y que facilitan el
alcance de la misin, y la manera de asegurar que esto se consigue
es mediante la implantacin eficaz y eficiente de los procesos de
control interno incorporados al sistema de control interno de una
organizacin.
El sistema de control interno es la suma de las actividades que
una organizacin emprende para garantizar el xito en el alcance de
su misin, objetivos y estrategias mediante los procesos de negocio
definidos tal efecto.
El propsito de esta rea de proceso es establecer, monitorizar,
analizar y gestionar un sistema de control interno que asegure la
eficacia y eficiencia de operaciones a travs de asegurar el xito de
la misin de los servicios de alto valor y de los activos que los
soportan.
Gestin de controles (CTRL)
Continuidad del servicio (SC)
Las organizaciones deben estar preparadas para afrontar las
consecuencias de interrupciones a nivel operativo que se le
presentan, teniendo en cuenta que estas pueden suceder en cualquier
momento, y que una interrupcin significativa puede costarle
demasiado.
En el caso del activo software, las organizaciones deben
entender que se tiene que contar con planes que puedan continuar la
prestacin de los servicios de TI cuando la interrupcin del software
es inminente.
La continuidad del servicio describe el proceso organizacional
responsable del desarrollo, despliegue, ejercicio, implementacin y
gestin de planes de respuesta y recuperacin de eventos y
restauracin de operaciones del negocio de modo habitual.
Continuidad del servicio (SC)
Gestin de la tecnologa (TM)
En el caso del software, es un activo de tecnologa de
importancia porque ser fundamental para soportar un servicio o
servicios especficos, por lo que se debe establecer una gestin en
cuanto a requisitos de resiliencia y relacin con servicios
refiere.
El propsito de esta rea de proceso es establecer y gestionar un
nivel apropiado de controles relacionados a la integridad y
disponibilidad de los activos de tecnologa para soportar las
operaciones resilientes de servicios organizacionales
Gestin de la tecnologa (TM)
![Defining a Progress Metric for CERT-RMM Improvement · the CERT-Resilience Management Model (CERT-RMM) [Caralli 2011]. The metric measures progress in implementing a subset of CERT-RMM](https://img.dokumen.tips/doc/110x75/5eda973c9abf637872772dd2/defining-a-progress-metric-for-cert-rmm-improvement-the-cert-resilience-management.jpg)
