ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

17. Aspectos de la SI en la Gestión de la Continuidad de Negocio

El objetivo es preservar la seguridad de la información durante las fases de activación, de desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.


Se debería integrar dentro de los procesos críticos de negocio, aquellos requisitos de gestión de la seguridad de la información con atención especial a la legislación, las operaciones, el personal, los materiales, el transporte, los servicios y las instalaciones adicionales, alternativos y/o que estén dispuestos de un modo distinto a la operativa habitual.


Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales, manteniendo las consideraciones en seguridad de la información utilizada en los planes de continuidad y función de los resultados del análisis de riesgos.


Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre.


Minimizar los efectos de las posibles interrupciones de las actividades normales de la organización asociadas a desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos, protegiendo los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.


Instruir al personal involucrado en los procedimientos de reanudación y recuperación en relación a los objetivos del plan, los mecanismos de coordinación y comunicación entre equipos (personal involucrado), los procedimientos de divulgación en uso, los requisitos de la seguridad, los procesos específicos para el personal involucrado y responsabilidades individuales.



Objetivo de control


Objetivo

El objetivo es mantener la seguridad de la información integrada en los sistemas de gestión de continuidad del negocio de la organización.


17.1 Continuidad de la seguridad de la información

Se deberían determinar los requisitos de seguridad de la información al planificar la continuidad de los procesos de negocio y la recuperación ante desastres.


La organización debería establecer, documentar, implementar y mantener procesos, procedimientos y cambios de implementación para mantener los controles de seguridad de la información existentes durante una situación adversa.


Si los controles de seguridad no pueden continuar resguardando la información ante situaciones adversas, se deberían establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad de la información.


Las organizaciones deberían verificar la validez y la efectividad de las medidas de continuidad de la seguridad de la información regularmente, especialmente cuando cambian los sistemas de información, los procesos, los procedimientos y los controles de seguridad de la información, o los procesos y soluciones establecidas para la gestión de la continuidad de negocio.


Actividades de control del riesgo

17.1.1 Planificación de la continuidad de la seguridad de la información: La organización debería determinar los requisitos para la seguridad de la información y su gestión durante situaciones adversas como situaciones de crisis o de desastre.


17.1.2 Implantación de la continuidad de la seguridad de la información: La organización debería establecer, documentar, implementar y mantener los procesos, procedimientos y controles para garantizar el mantenimiento del nivel necesario de seguridad de la información durante situaciones adversas.


17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información: La organización debería verificar regularmente los controles de continuidad de seguridad de la información establecidos e implementados para poder garantizar su validez y eficacia ante situaciones adversas.


Métricas asociadas

Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado).


Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los últimos 12 meses.


Enlaces a soluciones recomendadas

PNE-EN ISO 22301: Equivalente traducido al español de ISO 22301:2012, guía de requisitos para sistemas de gestión para la continuidad del negocio.


PNE-EN ISO 22313: Equivalente traducido al español de ISO 22313:2012, guía para la implantación de sistemas de gestión para la continuidad del negocio.


ASIS: Guía de continuidad de negocio de ASIS International (en inglés)..


BCI: Guía en inglés de buenas prácticas de continuidad de negocio del Business Continuity Institute.


BSI (Alemania): El estándar BSI 100-4 describe un método sistemático para desarrollar, establecer y mantener un sistema de gestión para la continuidad del negocio e integrado con estándares como ISO 22301, ISO 27001, ISO 20000, PAS 99, GPG del BCI entre otros marcos de refencia.


DRI: Buenas prácticas de gestión de continuidad de negocio del Disaster Recovery Institute International - DRII (en inglés y español).


FFIEC: Guía de planificación de continuidad de negocio, en inglés, del Federal Financial Institutions Examination Council. La acompaña una lista de verificación -checklist-, útil para auditar el proceso.


INCIBE: Guía práctica para pymes en español de cómo implantar un plan de continuidad de negocio.


ISO/IEC 27031: ISO/IEC 27031: Norma ISO en inglés, de la serie 27000, con directrices para la continuidad de TIC.


NIST: Estándar NIST SP 800-34 sobre planificación de contingencias para sistemas de información (en inglés).


The IIA: GTAG 10, Guía de gestión de continuidad de negocio del Institute of Internal Auditors (en inglés).


SANS: Consejos para la realización de un Business Impact Analysis (BIA), en inglés.


PD 25111: Documento del Business Continuity Institute, en inglés, describiendo las competencias y tareas de los responsables de continuidad de negocio.


Canadian Centre for Emergency Preparedness: Recursos en inglés para planes de continuidad de negocio y ejemplos correspondientes.


Continuity Central: Checklist de continuidad de negocio para pequeñas empresas, en inglés.


Continuity Central: Repositorio de artículos sobre gestión de crisis, en inglés.


Continuity Central: Recursos para la continuidad de negocio para pequeñas y medianas empresas, en inglés.


INEI: Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información del Gobierno de Perú.


IBM: IBM System Storage Business Continuity: Part 1 Planning Guide.


IBM: IBM System Storage Business Continuity: Part 2 Solutions Guide.


GARTNER: Documento con las 10 mejores prácticas para aplicar la continuidad de negocio y evitar los errores más frecuentes (inglés).


PD 25666: Guía en inglés publicada por BSI, que establece buenas prácticas para la realización de pruebas de planes de continuidad de negocio.


DRJ: Journal sobre continuidad de negocio con todo tipo de información y recursos.


ENISA: Recursos sobre continuidad de negocio para pequeñas y medianas empresas.



Objetivo de control


Objetivo

El objetivo es garantizar la disponibilidad de las instalaciones de procesamiento de información.


17.2 Redundancias

Se deberían considerar los componentes o arquitecturas redundantes cuando no se pueda garantizar el nivel de disponibilidad requerido por las actividades de la organización a través de arquitecturas sencillas típicas o los sistemas existentes se demuestren insuficientes.


Se deberían probar los sistemas de información redundantes para garantizar que la conmutación funcione adecuadamente.


Actividades de control del riesgo

17.2.1 Disponibilidad de instalaciones para el procesamiento de la información: Se debería implementar la suficiente redundancia en las instalaciones de procesamiento de la información y en correspondencia con los requisitos de disponibilidad.


Métricas asociadas

Médidas típicas que se pueden aplicar y medir en cada sistema relevante (hardware, software, información, ...) para el cálculo son "MTTF" (Mean Time To Failure), "MTBF" (Mean Time Between Failure, típicamente MTTF + MTTR), MTTR (Mean Time To Repair). De ese modo se puede calcular el grado de disponibilidad a largo plazo (MTTF/MTBF) y fiabilidad de un sistema.


Enlaces a soluciones recomendadas

Universidad de la república de Uruguay: Explicación de la tolerancia a fallos en sistemas de computación de alto rendimiento.


Uptime Institute: Redundancia en sistemas de enfriamiento para Data Center.


Uptime Institute: Definiciones de los niveles de redundancia en un Data Center en base a las consideraciones del Uptime Institute.


TIA 942: Esta norma especifica los requisitos mínimos y topologías de infraestructura de telecomunicaciones de los centros de datos y salas de ordenadores independientemente de su tamaño y uso (empresarial, housing, hosting).


BICSI: Diversa documentación de referencia aplicable para el diseño de centros de datos y sistemas en diversas industrias.