CERT- RMM
El CERT-RMM (Resilience Management Model) es un marco para gestionar y mejorar la resiliencia operativa. En otras palabras, un súper conjunto de actividades que una organización podría llevar a cabo para ser más resiliente.
Este curso introductorio de 24 horas presenta:
- Los fundamentos del modelo.
- Los enfoques de institucionalización y mejora de procesos.
- Y, finalmente las 26 áreas de proceso en la que se encuentra estructurado y los detalles de 5 áreas de proceso para analizar la aplicabilidad del RMM-CERT.
Objetivos
Al finalizar el curso, el estudiante estará en capacidad de:
- Comprender los retos asociados a la gestión de la resiliencia cooperativa.
- Tener un conocimiento práctico sobre los conceptos clave de la resiliencia operativa: el riesgo operativo y la gestión de la resiliencia, y las relaciones entre estos.
- Comprender la estructura del modelo CERT-RMM y saber cómo utilizarlo.
- Aplicar los enfoques de mejora de procesos y de madurez de capacidades a la gestión de la resiliencia operativa.
- Tener conocimiento específico sobre las tres áreas de proceso que se estudian en detalle.
- Comprender cómo se puede utilizar el CERT-RMM para evaluar la capacidad de una organización para gestionar la resiliencia operativa.
- Iniciar esfuerzos de mejora de los procesos en su organización.
- Evaluar sus prácticas actuales de gestión de la seguridad, de gestión de la continuidad del negocio y de gestión de las operaciones de TI para tomar decisiones efectivas sobre qué prácticas están funcionando y cuáles necesitan ser reemplazadas.
Contenido
El curso está dividido en tres módulos.
Módulo 1: Fundamentos de Resiliencia operacional y del CERT-RMM (5 horas)
El primer módulo hace un recorrido por cinco elementos fundamentales del modelo:
- Una visión general de las ventajas de la convergencia de las disciplinas de la gestión de la seguridad, la gestión de la continuidad del negocio y los aspectos de la gestión de las operaciones de TI, así como de los enfoque de mejora de procesos y de madurez de capacidades que son las bases del modelo;
- los conceptos clave, describiendo las convenciones utilizadas por el modelo en las áreas de proceso y cómo estás se ensamblan en el modelo;
- los principios básicos de riesgo operacional y gestión de la resiliencia operacional sobre los que se construye el modelo;
- dos perspectivas para facilitar la adopción y usabilidad del modelo; y
- un ejemplo de prácticas típicas de la industria y cómo estas se pueden incorporar al modelo.
Módulo 2: Institucionalización y mejora de los procesos (4 horas)
El segundo módulo se centra en la dimensión de madurez de capacidades del modelo y su importancia para establecer una base sobre la que se puedan mejorar los procesos de gestión de la resiliencia operativa en entornos complejos y cambiantes. Para esto, se discuten en detalle:
- el impacto de madurar la capacidad de gestión coperativa de la resiliencia en los servicios misiones de las organizaciones;
- los Objetivos Genéricos y las Prácticas del modelo, heredadas de CMMI, y que han sido adaptadas para institucionalizar los procesos de gestión de la resiliencia operativa; y
- varios enfoques para utilizar el modelo, así como algunas consideraciones a la hora de usar el modelo “planificar-hacer-comprobar- actuar” para la mejora de los procesos.
- en la práctica la necesidad de definir niveles de madurez más granulares (conocidos como niveles de indicadores de madurez) es cada vez más frecuente para describir el progreso de las prácticas de resiliencia operativa. Este enfoque será ilustrado para el área de Enfoque Empresarial.
Módulo 3: Categorías y áreas de proceso (15 horas)
El tercer módulo es una vista general de las cuatro categorías y las 26 áreas de proceso en las que está estructurado el modelo y que apoyan las tres disciplinas mencionadas en los fundamentos. Para cada una de estas áreas de proceso, el modelo proporciona un proceso
definido y un punto de referencia para identificar el nivel actual de capacidad de la organización. En el módulo se abordan en detalle cinco áreas de proceso:
- Enfoque empresarial,
- Gestión de riesgo,
- Continuidad de servicio,
- Gestión de dependencias externas, y
- Medición y análisis
La selección de las tres primeras áreas de proceso para estudiar en detalle se fundamenta en:
- El enfoque empresarial es clave dado que el patrocinio, la planificación estratégica y la supervisión de la resiliencia operativa son actividades cruciales para desarrollar una gestión eficaz de la resiliencia operativa.
- La gestión de riesgos influye de manera significativa en la resiliencia operativa dado que el riesgo de interrupción de cualquier activo puede impedir que los servicios asociados cumplan su misión. Por lo tanto, la organización debe identificar este riesgo, analizarlo y determinar hasta qué punto podría afectar sus operaciones. A su vez, la mitigación del riesgo requiere equilibrio entre las estrategias de protección, los costos asociados a estas estrategias y el valor del activo y del servicio para la organización.
- La continuidad de servicio es una preocupación primordial en las actividades de resiliencia operativa de la organización dado que, aunque la organización invierta tiempo y recursos considerables para prevenir la materialización de los riesgos, ninguna organización los puede mitigar completamente. Por lo tanto, la organización debe estar preparada para afrontar las consecuencias de una interrupción de sus operaciones en cualquier momento.
Respecto a la selección de las dos últimas áreas de proceso para estudiar en detalle responde a unas necesidades específicas de la Superintendencia Financiera de Colombia, específicamente:
- La gestión de las dependencias externas responde a una necesidad de es establecer y gestionar un nivel adecuado de controles para garantizar la resiliencia de los servicios y activos que dependen de las acciones de entidades externas.
- El propósito de la medición y el análisis es desarrollar y mantener una capacidad de medición que se utilice para apoyar las necesidades de información de la dirección para gestionar el proceso de gestión de la resiliencia operativa.
Condiciones
Eventualmente la Universidad puede verse obligada, por causas de fuerza mayor a cambiar sus profesores o cancelar el programa. En este caso el participante podrá optar por la devolución de su dinero o reinvertirlo en otro curso de Educación Continua que se ofrezca en ese momento, asumiendo la diferencia si la hubiere.
La apertura y desarrollo del programa estará sujeto al número de inscritos. El Departamento/Facultad (Unidad académica que ofrece el curso) de la Universidad de los Andes se reserva el derecho de admisión dependiendo del perfil académico de los aspirantes.