Seguridad de la Información en la Gestión de la Continuidad del Negocio

Anexo 17 - ISO 27001

Webminarios DRI

Información actual y en abierto sobre ciberseguridad, GDPR, tendencias en amenazas y temas de actualidad en riesgos y continuidad del negocio


Explicación orientativa

El objetivo es preservar la seguridad de la información durante las fases de activación, de desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.

Se debería integrar dentro de los procesos críticos de negocio, aquellos requisitos de gestión de la seguridad de la información con atención especial a la legislación, las operaciones, el personal, los materiales, el transporte, los servicios y las instalaciones adicionales, alternativos y/o que estén dispuestos de un modo distinto a la operativa habitual.
 

Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales, manteniendo las consideraciones en seguridad de la información utilizada en los planes de continuidad y función de los resultados del análisis de riesgos.
 
Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre.

Minimizar los efectos de las posibles interrupciones de las actividades normales de la organización asociadas a desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos, protegiendo los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.

Instruir al personal involucrado en los procedimientos de reanudación y recuperación en relación a los objetivos del plan, los mecanismos de coordinación y comunicación entre equipos (personal involucrado), los procedimientos de divulgación en uso, los requisitos de la seguridad, los procesos específicos para el personal involucrado y responsabilidades individuales.

17.1 Continuidad de la seguridad de la información

El objetivo es que la seguridad de la información sea integrada en los sistemas de gestión de la continuidad del negocio de la organización.

Se deberían determinar los requisitos de seguridad de la información al planificar la continuidad de los procesos de negocio y la recuperación ante desastres.

La organización debería establecer, documentar, implementar y mantener procesos, procedimientos y cambios de implementación para mantener los controles de seguridad de la información existentes durante una situación adversa.

Si los controles de seguridad no pueden continuar resguardando la información ante situaciones adversas, se deberían establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad de la información.

Las organizaciones deberían verificar la validez y la efectividad de las medidas de continuidad de la seguridad de la información regularmente, especialmente cuando cambian los sistemas de información, los procesos, los procedimientos y los controles de seguridad de la información, o los procesos y soluciones establecidas para la gestión de la continuidad de negocio.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

17.1.1 Planificación de la continuidad de la seguridad de la información: La organización debería determinar los requisitos para la seguridad de la información y su gestión durante situaciones adversas como situaciones de crisis o de desastre.

17.1.2 Implantación de la continuidad de la seguridad de la información: La organización debería establecer, documentar, implementar y mantener los procesos, procedimientos y controles para garantizar el mantenimiento del nivel necesario de seguridad de la información durante situaciones adversas.

17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información: La organización debería verificar regularmente los controles de continuidad de seguridad de la información establecidos e implementados para poder garantizar su validez y eficacia ante situaciones adversas.

Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado).

Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los últimos 12 meses.

PNE-EN ISO 22301: Equivalente traducido al español de ISO 22301:2012, guía de requisitos para sistemas de gestión para la continuidad del negocio.


PNE-EN ISO 22313: Equivalente traducido al español de ISO 22313:2012, guía para la implantación de sistemas de gestión para la continuidad del negocio.


ASIS: Guía de continuidad de negocio de ASIS International (en inglés)..


BCI: Guía en inglés de buenas prácticas de continuidad de negocio del Business Continuity Institute.


BSI (Alemania): El estándar BSI 100-4 describe un método sistemático para desarrollar, establecer y mantener un sistema de gestión para la continuidad del negocio e integrado con estándares como ISO 22301, ISO 27001, ISO 20000, PAS 99, GPG del BCI entre otros marcos de refencia.


DRI: Buenas prácticas de gestión de continuidad de negocio del Disaster Recovery Institute International - DRII (en inglés y español).


FFIEC: Guía de planificación de continuidad de negocio, en inglés, del Federal Financial Institutions Examination Council. La acompaña una lista de verificación -checklist-, útil para auditar el proceso.


INCIBE: Guía práctica para pymes en español de cómo implantar un plan de continuidad de negocio.


ISO/IEC 27031: ISO/IEC 27031: Norma ISO en inglés, de la serie 27000, con directrices para la continuidad de TIC.


NIST: Estándar NIST SP 800-34 sobre planificación de contingencias para sistemas de información (en inglés).


The IIA: GTAG 10, Guía de gestión de continuidad de negocio del Institute of Internal Auditors (en inglés).


SANS: Consejos para la realización de un Business Impact Analysis (BIA), en inglés.


PD 25111: Documento del Business Continuity Institute, en inglés, describiendo las competencias y tareas de los responsables de continuidad de negocio.


Canadian Centre for Emergency Preparedness: Recursos en inglés para planes de continuidad de negocio y ejemplos correspondientes.


Continuity Central: Checklist de continuidad de negocio para pequeñas empresas, en inglés.


Continuity Central: Repositorio de artículos sobre gestión de crisis, en inglés.


Continuity Central: Recursos para la continuidad de negocio para pequeñas y medianas empresas, en inglés.


IBM: IBM System Storage Business Continuity: Part 1 Planning Guide.


IBM: IBM System Storage Business Continuity: Part 2 Solutions Guide.


GARTNER: Documento con las 10 mejores prácticas para aplicar la continuidad de negocio y evitar los errores más frecuentes (inglés).


PD 25666: Guía en inglés publicada por BSI, que establece buenas prácticas para la realización de pruebas de planes de continuidad de negocio.


DRJ: Journal sobre continuidad de negocio con todo tipo de información y recursos.


ENISA: Recursos sobre continuidad de negocio para pequeñas y medianas empresas.


BS 11200:  La capacidad de gestionar crisis es un aspecto fundamental en el nivel de resiliencia de una organización. La resiliencia requiere una gestión eficaz de las crisis, que debe entenderse, desarrollarse, aplicarse y validarse en el contexto de una gama de disciplinas relacionadas con el riesgo. Estos incluyen la gestión del riesgo, la continuidad del negocio y la gestión de la seguridad.



17.2 Redundancias

El objetivo es asegurar la disponibilidad de los recursos de tratamiento de la información.

Se deberían considerar los componentes o arquitecturas redundantes cuando no se pueda garantizar el nivel de disponibilidad requerido por las actividades de la organización a través de arquitecturas sencillas típicas o los sistemas existentes se demuestren insuficientes.

Se deberían probar los sistemas de información redundantes para garantizar que la conmutación funcione adecuadamente.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Eventos naturales (climáticos, sísmicos, volcánicos, meteorológicos, inundaciones, ...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (corrupción de datos, ...)

- Compromiso de las funciones (denegación de acciones, exposición de la disponibilidad del personal, ...) 

17.2.1 Disponibilidad de instalaciones para el procesamiento de la información: Se debería implementar la suficiente redundancia en las instalaciones de procesamiento de la información y en correspondencia con los requisitos de disponibilidad.

Médidas típicas que se pueden aplicar y medir en cada sistema relevante (hardware, software, información, ...) para el cálculo son "MTTF" (Mean Time To Failure), "MTBF" (Mean Time Between Failure, típicamente MTTF + MTTR), MTTR (Mean Time To Repair). De ese modo se puede calcular el grado de disponibilidad a largo plazo (MTTF/MTBF) y fiabilidad de un sistema.

Universidad de la república de Uruguay: Explicación de la tolerancia a fallos en sistemas de computación de alto rendimiento.


Uptime Institute: Definiciones de los niveles de redundancia en un Data Center en base a las consideraciones del Uptime Institute.


TIA 942: Esta norma especifica los requisitos mínimos y topologías de infraestructura de telecomunicaciones de los centros de datos y salas de ordenadores independientemente de su tamaño y uso (empresarial, housing, hosting).


BICSI: Diversa documentación de referencia aplicable para el diseño de centros de datos y sistemas en diversas industrias.


© 2005 Aviso Legal - Términos de uso información iso27000.es