Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM)

Transcripción

1 Sprtand y Auditand la Gestión de la Cntinuidad del Negci (BCM) A partir de ls estándares: ISO/IEC 27002:2005 ISO/IEC 27001:2005 Alejandr Cerez H. ISACA Capítul Mnterrey

2 Agenda Definición de SGSI (Sistema de Gestión de la Seguridad de la Infrmación) Sprtand BCM cn base en ISO/IEC 27002:2005 Que es ISO/IEC Estructura del Estándar Dmini 14. Business Cntinuity Management Alineación de Objetivs de Cntrl cn entregables DRP/BCP Integridata Auditand BCM de acuerd al ISO/IEC 27001:2005 Que es ISO/IEC Estructura del Estándar Que requiere el estándar en relación al cumplimient cn BCM Que slicitará el auditr para la evaluación de ls bjetivs de cntrl (A. 14) Nta: Es imprtante destacar, que la infrmación aquí cntenida es sól un resumen general de ls bjetivs de cntrl del estándar, para un mayr detalle deberá acudir al mism. ISACA Capítul Mnterrey

3 Según UNE-ISO/IEC Especificacines para ls Sistemas de Gestión de la Seguridad de la Infrmación (SGSI) SGSI Sistema de Gestión de la Seguridad de la Infrmación: Definición de un SGSI Es un sistema de gestión que cmprende la plítica, la estructura rganizativa, ls prcedimients, ls prcess y ls recurss necesaris para implantar la gestión de la seguridad de la infrmación. El sistema es la herramienta de que dispne la Dirección de las rganizacines para llevar a cab las plíticas y ls bjetivs de seguridad (integridad, cnfidencialidad y dispnibilidad, asignación de respnsabilidad, autenticación, etc.). Prprcinar mecanisms para la salvaguarda de ls activs de infrmación y de ls sistemas que ls prcesan, en cncrdancia cn las plíticas de seguridad y planes estratégics de la rganización. ISMS = Infrmatin Security Management System ISACA Capítul Mnterrey

4 UNE-ISO/IEC 27002: Intrducción 1- Alcance 2- Términs y definicines 5- Plíticas de Seguridad 6- Aspects rganizativs para la Seguridad ESTRUCTURA DE LA NORMA 8- Seguridad ligada al persnal 3-Análisis y Gestión del Riesg 9- Seguridad física y ambiental 11- Cntrl de Access 7- Clasificación y Cntrl de Activs 13- Gestión de Incidentes de Seguridad 10- Gestión de 12- Desarrll y Cmunicacines Mantenimient de y peracines Sistemas 14- Gestión de Cntinuidad del negci 15- Cnfrmidad ISACA Capítul Mnterrey

5 UNE-ISO/IEC 27001: Intrducción 1- Objet y camp de aplicación 2- Nrmas para cnsulta 3- Términs y definicines 4- SGSI 5- Respnsabilidad de la Dirección 6- Auditrias Internas del SGSI 7- Revisión del SGSI pr la Dirección 8- Mejra del SGSI Anex A (Nrmativ) ISACA Capítul Mnterrey

6 Requisits Generales Se debe Establecer, implementar, perar, supervisar, revisar, mantener y mejrar un SGSI dcumentad : Aplicable a ls activs a prteger Aplicand el enfque de la rganización para gestinar el riesg El prces se basa en el mdel PDCA ISACA Capítul Mnterrey

7 Mdel PDCA aplicad al SGSI Requisits Generales PLAN Establecer SGSI DO Implementar y Operar el SGSI Cicl de Desarrll, Mantenimient y Mejra Mantener Mejrar SGSI ACT Supervisar y Revisar el SGSI CHECK ISACA Capítul Mnterrey

8 Mdel PDCA aplicad a ls prcess del SGSI Planificar (creación del SGSI) Hacer (implementación y peración del SGSI) Verificar (supervisión y revisión del SGSI) Actuar (mantenimient y mejra del SGSI) Definir la plítica, bjetivs, prcess y prcedimients del SGSI relevantes para gestinar el riesg y mejrar la seguridad de la infrmación, cn el fin de btener resultads acrdes cn las plíticas y bjetivs generales de la rganización. Implementar y perar la plítica, cntrles, prcess y prcedimients del SGSI. Evaluar y, en su cas, medir el rendimient del prces cntra la plítica, ls bjetivs y la experiencia práctica del SGSI, e infrmar de ls resultads a la Dirección para su revisión. Adptar medidas crrectivas y preventivas, en función de ls resultads de la auditría interna del SGSI y de la revisión pr parte de la dirección, de tras infrmacines relevantes, para lgrar la mejra cntinua del SGSI. ISACA Capítul Mnterrey

9 Cmprmis de la Dirección La dirección debe suministrar evidencias de su cmprmis para crear, implementar, perar, supervisar, revisar, mantener, y mejrar el SGSI, a través de las siguientes accines: Frmuland la plítica del SGSI Veland pr el establecimient de ls bjetivs y planes del SGSI Estableciend ls rles y respnsabilidades en materia de seguridad de la infrmación Cmunicand a la rganización la imprtancia de cumplir ls bjetivs y la plítica de seguridad de la infrmación, sus respnsabilidades legales y la necesidad de la mejra cntinua ISACA Capítul Mnterrey

10 Cmprmis de la Dirección La dirección debe suministrar evidencias de su cmprmis para crear, implementar, perar, supervisar, revisar, mantener, y mejrar el SGSI, a través de las siguientes accines: Prprcinand recurss suficientes para crear, implementar, perar, supervisar, revisar, mantener, y mejrar el SGSI Participand en la decisión de ls criteris de aceptación de riesgs y ls niveles aceptables de riesgs Veland pr que se realicen las auditrias internas del SGSI Dirigiend las revisines del SGSI ISACA Capítul Mnterrey

11 Sprtand BCM cn base en ISO/IEC 27002:2005 Qué es ISO/IEC 27002:2005? Estándar Internacinal que establece las guías y principis generales para cmenzar, implementar, mantener y mejrar la Gestión de la Seguridad en una rganización. Ls bjetivs brindads pr el estándar prveen una guía general sbre las metas cmúnmente aceptadas para la Gestión de la Seguridad de la Infrmación. ISACA Capítul Mnterrey

12 Sprtand BCM cn base en ISO/IEC 27002:2005 Estructura del Estándar (1 de 2) De manera general, el estándar se encuentra distribuid de la siguiente frma: Pr l que refiere al prpósit del mism, la parte de mayr interés será la sección crrespndiente al establecimient de Objetivs de Cntrl y Cntrles. ISACA Capítul Mnterrey

13 Sprtand BCM cn base en ISO/IEC 27002:2005 Estructura del Estándar (2 de 2) El estándar se encuentra cmpuest pr 11 Seccines de Cntrl, cmúnmente llamadas Dminis, cmprendiend un ttal de 39 Objetivs de Cntrl y 133 Cntrles. 5. Plítica de Seguridad 6. Organización de la Seguridad de la infrmación 7. Gestión de Activs 8. Seguridad de Recurss Humans 9. Seguridad Física y Ambiental 10. Gestión de Cmunicacines y Operacines 11. Cntrl de Access 12. Adquisición, desarrll y mantenimient de sistemas 13. Gestión de incidentes de seguridad de la infrmación 14. Gestión de la Cntinuidad del Negci 15. Cumplimient. ISACA Capítul Mnterrey

14 Sprtand BCM cn base en ISO/IEC 27002:2005 Dmini 14. Gestión de la Cntinuidad del Negci (1 de 11) 14.1 Aspects de Seguridad de la Infrmación de la Gestión de la Cntinuidad del Negci Objetiv: Cntrarestar las interrupcines en las actividades de negci y prteger sus prcess crítics cntra desastres y fallas mayres en ls sistemas de infrmación, así cm de sus efects. Asegurand su restablecimient prtun Incluir la Seguridad de la Infrmación en el prces de Gestión de Cntinuidad del Negci Cntinuidad del Negci y Análisis de Riesgs Desarrllar Planes de Cntinuidad del Negci incluyend aspects de seguridad de la infrmación Marc Referencial para la Planeación de la Cntinuidad del Negci Prueba, mantenimient y actualización de ls planes de cntinuidad del negci. ISACA Capítul Mnterrey

15 Sprtand BCM cn base en ISO/IEC 27002: Incluir la Seguridad de la Infrmación en el prces de Gestión de Cntinuidad del Negci. Cntrl: ISACA Capítul Mnterrey Se debería instalar en tda la rganización un prces de gestión para el desarrll y mantenimient de la Cntinuidad del Negci Guía de implementación: a) Cmprender ls riesgs de la rganización, identificar y pririzar ls prcess crítics. b) Identificar tds ls activs implicads en ls prcess crítics. c) Cmprender el Impact que tendrían las interrupcines en el negci. d) Cnsiderar la adquisición de segurs adecuads. e) Identificar y cnsiderar la implementación de cntrles adicinales de prevención. f) Identificar ls recurss financiers, rganizacinales, técnics y ambientales. g) Asegurar la seguridad del persnal e instalacines h) Frmular y dcumentar planes i) Prbar y Actualizar planes j) Asegurar la incrpración del BCM a ls prcess de la rganización. Asignar un Respnsable.

16 Sprtand BCM cn base en ISO/IEC 27002:2005 Alineación del Objetiv de Cntrl cn entregables Cmunes de una Cnsultría Ls entregables listads a cntinuación, frman parte de ls prducts desarrllads pr una empresa de cnsultría en términs generales cm parte de ls pryects DRP/BCP, ests entregables satisfacen ls requerimients slicitads pr el Objetiv de Cntrl Análisis de Riesgs (AR) Análisis de Impact al Negci (BIA) Plan de Acción del DRP Pruebas, Metdlgía de Pruebas Mantenimient, Metdlgía de Mantenimient ISACA Capítul Mnterrey

17 Sprtand BCM cn base en ISO/IEC 27002: Cntinuidad del Negci y Evaluación de Riesgs Cntrl: Ls events que pueden causar interrupcines en ls prcess de negci deben ser identificads junt cn su prbabilidad de impact Guía de implementación: a) Identificación de ls events b) evaluar el riesg determinand la prbabilidad e impact del event c) Desarrllar un plan estratégic a partir de ls resultads de la evaluación del riesg d) Crear una estrategia sólida y respaldada así cm un plan para implementarla ISACA Capítul Mnterrey

18 Sprtand BCM cn base en ISO/IEC 27002:2005 Alineación del Objetiv de Cntrl cn entregables Cmunes de una Cnsultría Ls entregables listads a cntinuación, frman parte de ls prducts desarrllads pr una empresa de cnsultría en términs generales cm parte de ls pryects DRP/BCP, ests entregables satisfacen ls requerimients slicitads pr el Objetiv de Cntrl Análisis de Riesgs (AR) Estrategia de Recuperación / Cntinuidad Plan de Acción del DRP ISACA Capítul Mnterrey

19 Sprtand BCM cn base en ISO/IEC 27002: Desarrllar Planes de Cntinuidad del Negci incluyend aspects de seguridad de la infrmación. Cntrl: Se deberían desarrllar planes de mantenimient y recuperación de las peracines del negci Guía de implementación: a) Identificación de ls prcedimients de emergencia y ls acuerds de tdas las respnsabilidades b) La identificación de las pérdidas aceptables de infrmación y servicis. c) La implementación de ls prcedimients que permitan la recuperación y restauración de las peracines de negci, dependencias de negcis externas e internas. d) Ls prcedimients para cmpletar la restauración y recuperación. e) La dcumentación de ls prcedimients. f) La frmación aprpiada del persnal en ls prcedimients. g) La prueba y actualización de ls planes. ISACA Capítul Mnterrey

20 Sprtand BCM cn base en ISO/IEC 27002:2005 Alineación del Objetiv de Cntrl cn entregables Cmunes de una Cnsultría Ls entregables listads a cntinuación, frman parte de ls prducts desarrllads pr una empresa de cnsultría en términs generales cm parte de ls pryects DRP/BCP, ests entregables satisfacen ls requerimients slicitads pr el Objetiv de Cntrl Análisis de Impact al Negci (BIA) Prcedimients Técnics de Recuperación Prcedimients de Operación y Cntinuidad del Negci Capacitación y Cncientización Pruebas, Metdlgía de Pruebas Mantenimient, Metdlgía de Mantenimient ISACA Capítul Mnterrey

21 Sprtand BCM cn base en ISO/IEC 27002: Marc Referencial para la Planeación de la Cntinuidad del Negci. Cntrl: ISACA Capítul Mnterrey Se deberá mantener un esquema únic de planes de cntinuidad del negci para asegurar que dichs planes sean cnsistentes Guía de implementación: a) Las cndicines para activar ls planes y el prces a seguir antes de dicha activación. b) Ls prcedimients de emergencia que describen las accines a realizar tras una cntingencia. c) Ls prcedimients de respald d) Prcedimients temprales de peración e) Ls prcedimients de reanudación. f) El calendari de mantenimient g) Actividades de cncientización y frmación h) Las respnsabilidades de las persnas i) Ls activs y recurss crítics necesaris

22 Sprtand BCM cn base en ISO/IEC 27002:2005 Alineación del Objetiv de Cntrl entregables Cmunes de una Cnsultría Ls entregables listads a cntinuación, frman parte de ls prducts desarrllads pr una empresas de cnsultría en términs generales cm parte de ls pryects DRP/BCP, ests entregables satisfacen ls requerimients slicitads pr el Objetiv de Cntrl Estrategia de Recuperación Prcedimients Técnics de Recuperación Prcedimients de Operación y Cntinuidad del Negci Grups de Recuperación Capacitación y Cncientización Pruebas, Metdlgía de Pruebas Mantenimient, Metdlgía de Mantenimient ISACA Capítul Mnterrey

23 Sprtand BCM cn base en ISO/IEC 27002: Prueba, mantenimient y actualización de ls planes de Cntinuidad del Negci. Cntrl: Ls Planes de Cntinuidad del Negci se deberán prbar regularmente para asegurarse de su actualización y eficacia. ISACA Capítul Mnterrey Guía de implementación: a) La prueba sbre papel de varis escenaris. b) La simulación (para entrenar al persnal) c) Las pruebas de Recuperación Técnica d) Las pruebas de Recuperación en un lugar alternativ e) Las pruebas de ls recurss y servicis del Prveedr f) Ls ensays cmplets. g) La actualización crrespndiente

24 Sprtand BCM cn base en ISO/IEC 27002:2005 Alineación del Objetiv de Cntrl entregables Cmunes de una Cnsultría Ls entregables listads a cntinuación, frman parte de ls prducts desarrllads pr una empresa de cnsultría en términs generales cm parte de ls pryects DRP/BCP, ests entregables satisfacen ls requerimients slicitads pr el Objetiv de Cntrl Capacitación y Cncientización Pruebas, Metdlgía de Pruebas Mantenimient, Metdlgía de Mantenimient ISACA Capítul Mnterrey

25 Auditand BCM de acuerd al ISO/IEC 27001:2005 Qué es ISO/IEC 27001:2005? Es el estándar internacinal generad para establecer, implementar, perar, mnitrear, revisar, mantener y mejrar un Sistema de Gestión de Seguridad de la Infrmación (SGSI), define ls requerimients que deberán ser cumplids en la integración de un SGSI, siend ésta auditable y certificable. Una de sus principales áreas de cntrl cntempla la Gestión de la Cntinuidad del Negci, especificand ls requerimients de seguridad necesaris para cntrarrestar las interrupcines, fallas y efects riginads pr desastres en ls sistemas de infrmación. Cntemplads en el Dmini 14. del anex A de dich estándar. ISACA Capítul Mnterrey

26 Auditand BCM de acuerd al ISO/IEC 27001:2005 Estructura del Estándar De manera general, el estándar se encuentra distribuid de la siguiente frma: ISACA Capítul Mnterrey

27 Auditand BCM de acuerd al ISO/IEC 27001:2005 Que requiere el estándar en relación al cumplimient cn BCM (1 de 2) A. 14 Gestión de la Cntinuidad del Negci A.14.1 Aspects de Seguridad de la Infrmación de la Gestión de la Cntinuidad del Negci Objetiv: Cntrarestar las interrupcines en las actividades de negci y prteger sus prcess crítics cntra desastres y fallas mayres en ls sistemas de infrmación, así cm de sus efects. Asegurand su restablecimient prtun Incluir la Seguridad de la Infrmación en el prces de Gestión de Cntinuidad del Negci Cntinuidad del Negci y Análisis de Riesgs. Se debería instalar en tda la rganización un prces de gestión para el desarrll y mantenimient de la Cntinuidad del Negci Ls events que pueden causar interrupcines en ls prcess de negci deben ser identificads junt cn su prbabilidad de impact ISACA Capítul Mnterrey

28 Auditand BCM de acuerd al ISO/IEC 27001:2005 Que requiere el estándar en relación al cumplimient cn BCM (2 de 2) Desarrllar Planes de Cntinuidad del Negci incluyend aspects de seguridad de la infrmación. Marc Referencial para la Planeación de la Cntinuidad del Negci Se deberían desarrllar planes de mantenimient y recuperación de las peracines del negci Se deberá mantener un esquema únic de planes de cntinuidad del negci para asegurar que dichs planes sean cnsistentes Prueba, mantenimient y actualización de ls planes de cntinuidad del negci. Prueba, mantenimient y actualización de ls planes de cntinuidad del negci ISACA Capítul Mnterrey

29 Auditand BCM de acuerd al ISO/IEC 27001:2005 Que slicitará el auditr para la evaluación de ls bjetivs de cntrl (A. 14) El auditr revisará el cumplimient de ess bjetivs de cntrl, basad en su cncimient, criteri y experiencia. Sin embarg!!!! El auditr deberá asegurar que ls cntrles sean raznablemente efectivs en su diseñ, desarrll, implementación y peración. L que si es segur es que si enfcams nuestrs esfuerzs basads en mejres prácticas y entandares de la industria en términs de cntinuidad y recuperación indudablemente cumplirems ls requerimients del Auditr. ISACA Capítul Mnterrey

30 Auditand BCM de acuerd al ISO/IEC 27001:2005 Recrdems entnces : La metdlgía y entregables desarrllads pr cualquier empresa de cnsultría deben estar alineads y cumplir en tds ls sentids cn ls estándares y mejres prácticas de la industria tales cm BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005 Dmini 14., etc. L cual ns permitirá alcanzar la certificación deseada ISACA Capítul Mnterrey

31 Auditand Ejempl BCM de acuerd al ISO/IEC 27001:2005 EJEMPLO ISACA Capítul Mnterrey

32 Dudas cmentaris ISACA Capítul Mnterrey