Upload
buidien
View
227
Download
4
Embed Size (px)
Citation preview
Soportando y Auditando la Gestión de la
Continuidad del Negocio (BCM)
ISACA Capítulo Monterrey
A partir de los estándares:
ISO/IEC 27002:2005
ISO/IEC 27001:2005
Alejandro Cerezo H.
Agenda
� Definición de SGSI (Sistema de Gestión de la Seguridad de la
Información)
� Soportando BCM con base en ISO/IEC 27002:2005
o Que es ISO/IEC 27002
o Estructura del Estándar
o Dominio 14. Business Continuity Management
– Alineación de Objetivos de Control con entregables DRP/BCP Integridata
ISACA Capítulo Monterrey
– Alineación de Objetivos de Control con entregables DRP/BCP Integridata
� Auditando BCM de acuerdo al ISO/IEC 27001:2005
o Que es ISO/IEC 27001
o Estructura del Estándar
o Que requiere el estándar en relación al cumplimiento con BCM
o Que solicitará el auditor para la evaluación de los objetivos de control (A. 14)
• Nota: Es importante destacar, que la información aquí contenida es sólo un resumen general de los objetivos de control del
estándar, para un mayor detalle deberá acudir al mismo.
• Según UNE-ISO/IEC 27001
• “Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI)”
•SGSI
Sistema de
Gestión de la
Seguridad de
Es un sistema de gestión que comprende la política, laestructura organizativa, los procedimientos, los procesos ylos recursos necesarios para implantar la gestión de laseguridad de la información. El sistema es la herramienta deque dispone la Dirección de las organizaciones para llevar acabo las políticas y los objetivos de seguridad (integridad,
Definición de un SGSI
ISACA Capítulo Monterrey
Seguridad de
la Información: cabo las políticas y los objetivos de seguridad (integridad,confidencialidad y disponibilidad, asignación deresponsabilidad, autenticación, etc.). Proporcionarmecanismos para la salvaguarda de los activos deinformación y de los sistemas que los procesan, enconcordancia con las políticas de seguridad y planesestratégicos de la organización.
ISMS == Information Security Management System
0- Introducción
5- Políticas de Seguridad
6- Aspectos organizativos para la Seguridad
7- Clasificación y Control de Activos
10- Gestión de 12- Desarrollo y
1- Alcance
2- Términos y
definiciones
3-Análisis y Gestión
del Riesgo
ESTRUCTURA DE LA NORMA
UNE-ISO/IEC 27002:2005
ISACA Capítulo Monterrey
8- Seguridad ligada
al personal
9- Seguridad física
y ambiental
10- Gestión de
Comunicaciones
y operaciones
12- Desarrollo y
Mantenimiento de
Sistemas
11- Control de Accesos
14- Gestión de Continuidad del negocio
15- Conformidad
13- Gestión de Incidentes de Seguridad
ESTRUCTURA DE LA NORMA
1- Objeto y campo de aplicación
2- Normas para consulta
3- Términos y definiciones
4- SGSI
5- Responsabilidad de la Dirección
0- Introducción
UNE-ISO/IEC 27001:2005
ISACA Capítulo Monterrey
5- Responsabilidad de la Dirección
6- Auditorias Internas del SGSI
7- Revisión del SGSI por la Dirección
8- Mejora del SGSI
Anexo A (Normativo)
� Se “debe” Establecer, implementar, operar, supervisar,
revisar, mantener y mejorar un SGSI documentado :
– Aplicable a los activos a proteger
– Aplicando el enfoque de la organización para gestionar
Requisitos Generales
ISACA Capítulo Monterrey
el riesgo
– El proceso se basa en el modelo PDCA
• Modelo PDCA aplicado al SGSI
PLAN
Implementar
Establecer SGSI
Ciclo de Desarrollo, Mantener
Requisitos Generales
ISACA Capítulo Monterrey
Supervisar y
Revisar el
SGSI
Implementar
y Operar el
SGSI
Ciclo de Desarrollo,
Mantenimiento y
Mejora
DO ACT
CHECK
Mantener
Mejorar
SGSI
Planificar (creación del
SGSI)
Definir la política, objetivos, procesos y
procedimientos del SGSI relevantes para gestionar
el riesgo y mejorar la seguridad de la información,
con el fin de obtener resultados acordes con las
políticas y objetivos generales de la organización.
Hacer (implementación
y operación del SGSI)
Implementar y operar la política, controles,
procesos y procedimientos del SGSI.
Modelo PDCA aplicado a los procesos del SGSI
ISACA Capítulo Monterrey
Verificar (supervisión y
revisión del SGSI)
Evaluar y, en su caso, medir el rendimiento del
proceso contra la política, los objetivos y la
experiencia práctica del SGSI, e informar de los
resultados a la Dirección para su revisión.
Actuar (mantenimiento
y mejora del SGSI)
Adoptar medidas correctivas y preventivas, en
función de los resultados de la auditoría interna del
SGSI y de la revisión por parte de la dirección, o de
otras informaciones relevantes, para lograr la
mejora continua del SGSI.
� La dirección debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a través de las siguientes acciones:
o Formulando la política del SGSI
o Velando por el establecimiento de los objetivos y planes del SGSI
Compromiso de la Dirección
ISACA Capítulo Monterrey
o Estableciendo los roles y responsabilidades en materia de seguridad
de la información
o Comunicando a la organización la importancia de cumplir los objetivos
y la política de seguridad de la información, sus responsabilidades
legales y la necesidad de la mejora continua
� La dirección debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a través de las siguientes acciones:
o Proporcionando recursos suficientes para crear, implementar, operar,
supervisar, revisar, mantener, y mejorar el SGSI
o Participando en la decisión de los criterios de aceptación de riesgos y
Compromiso de la Dirección
ISACA Capítulo Monterrey
o Participando en la decisión de los criterios de aceptación de riesgos y
los niveles aceptables de riesgos
o Velando por que se realicen las auditorias internas del SGSI
o Dirigiendo las revisiones del SGSI
Soportando BCM con base en ISO/IEC 27002:2005
• Qué es ISO/IEC 27002:2005 ?
Estándar Internacional que establece las guías y principios
generales para comenzar, implementar , mantener y mejorar la
Gestión de la Seguridad en una organización.
ISACA Capítulo Monterrey
Los objetivos brindados por el estándar proveen una guía general sobre las
metas comúnmente aceptadas para la Gestión de la
Seguridad de la Información.
Soportando BCM con base en ISO/IEC 27002:2005
Estructura del Estándar (1 de 2)
De manera general, el estándar se encuentra distribuido de la siguiente
forma:
ISACA Capítulo Monterrey
Por lo que refiere al propósito del mismo, la parte de mayor interés será la
sección correspondiente al establecimiento de Objetivos de Control y
Controles.
Soportando BCM con base en ISO/IEC 27002:2005
Estructura del Estándar (2 de 2)
El estándar se encuentra compuesto por 11 Secciones de Control, comúnmente
llamadas Dominios, comprendiendo un total de 39 Objetivos de Control y 133
Controles.
o 5. Política de Seguridad
o 6. Organización de la Seguridad de la información
o 7. Gestión de Activos
ISACA Capítulo Monterrey
o 7. Gestión de Activos
o 8. Seguridad de Recursos Humanos
o 9. Seguridad Física y Ambiental
o 10. Gestión de Comunicaciones y Operaciones
o 11. Control de Accesos
o 12. Adquisición, desarrollo y mantenimiento de sistemas
o 13. Gestión de incidentes de seguridad de la información
o 14. Gestión de la Continuidad del Negocio
o 15. Cumplimiento.
Soportando BCM con base en ISO/IEC 27002:2005
Dominio 14. Gestión de la Continuidad del Negocio (1 de 11)
14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad
del Negocio
Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus
procesos críticos contra desastres y fallas mayores en los sistemas de información, así
como de sus efectos. Asegurando su restablecimiento oportuno.
ISACA Capítulo Monterrey
como de sus efectos. Asegurando su restablecimiento oportuno.
14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del
Negocio.
14.1.2 Continuidad del Negocio y Análisis de Riesgos.
14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad
de la información.
14.1.4 Marco Referencial para la Planeación de la Continuidad del Negocio
14.1.5 Prueba, mantenimiento y actualización de los planes de continuidad del negocio.
Soportando BCM con base en ISO/IEC 27002:2005
14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión
de Continuidad del Negocio.
Control:
Se debería instalar en toda la organización un proceso de gestión para el desarrollo y
mantenimiento de la Continuidad del NegocioD
Guía de implementación:
a) Comprender los riesgos de la organización, identificar y priorizar los procesos críticos.
b) Identificar todos los activos implicados en los procesos críticos.
ISACA Capítulo Monterrey
b) Identificar todos los activos implicados en los procesos críticos.
c) Comprender el Impacto que tendrían las interrupciones en el negocio.
d) Considerar la adquisición de seguros adecuados.
e) Identificar y considerar la implementación de controles adicionales de prevención.
f) Identificar los recursos financieros, organizacionales, técnicos y ambientales.
g) Asegurar la seguridad del personal e instalaciones
h) Formular y documentar planes
i) Probar y Actualizar planes
j) Asegurar la incorporación del BCM a los procesos de la organización. Asignar un
Responsable.
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.1 con entregables
Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los productos
desarrollados por una empresa de consultoría en términos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.1
ISACA Capítulo Monterrey
requerimientos solicitados por el Objetivo de Control 14.1.1
o Análisis de Riesgos (AR)
o Análisis de Impacto al Negocio (BIA)
o Plan de Acción del DRP
o Pruebas, Metodología de Pruebas
o Mantenimiento, Metodología de Mantenimiento
Soportando BCM con base en ISO/IEC 27002:2005
14.1.2 Continuidad del Negocio y Evaluación de Riesgos
Control:
Los eventos que pueden causar interrupciones en los procesos
de negocio deben ser identificados junto con su probabilidad de
impactoD
ISACA Capítulo Monterrey
Guía de implementación:
a) Identificación de los eventos
b) evaluar el riesgo determinando la probabilidad e impacto del evento
c) Desarrollar un plan estratégico a partir de los resultados de la evaluación del
riesgo
d) Crear una estrategia sólida y respaldada así como un plan para
implementarla
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.2 con entregables
Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los
productos desarrollados por una empresa de consultoría en
términos generales como parte de los proyectos DRP/BCP, estos
entregables satisfacen los requerimientos solicitados por el
ISACA Capítulo Monterrey
entregables satisfacen los requerimientos solicitados por el
Objetivo de Control 14.1.2
o Análisis de Riesgos (AR)
o Estrategia de Recuperación / Continuidad
o Plan de Acción del DRP
Soportando BCM con base en ISO/IEC 27002:2005
14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo
aspectos de seguridad de la información.
Control:
Se deberían desarrollar planes de mantenimiento y recuperación
de las operaciones del negocioD
Guía de implementación:
ISACA Capítulo Monterrey
Guía de implementación:
a) Identificación de los procedimientos de emergencia y los acuerdos de todas las
responsabilidades
b) La identificación de las pérdidas aceptables de información y servicios.
c) La implementación de los procedimientos que permitan la recuperación y restauración de
las operaciones de negocio, dependencias de negocios externas e internas.
d) Los procedimientos para completar la restauración y recuperación.
e) La documentación de los procedimientos.
f) La formación apropiada del personal en los procedimientos.
g) La prueba y actualización de los planes.
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.3 con entregables
Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los productos
desarrollados por una empresa de consultoría en términos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.3
ISACA Capítulo Monterrey
requerimientos solicitados por el Objetivo de Control 14.1.3
o Análisis de Impacto al Negocio (BIA)
o Procedimientos Técnicos de Recuperación
o Procedimientos de Operación y Continuidad del Negocio
o Capacitación y Concientización
o Pruebas, Metodología de Pruebas
o Mantenimiento, Metodología de Mantenimiento
Soportando BCM con base en ISO/IEC 27002:2005
14.1.4. Marco Referencial para la Planeación de la Continuidad del
Negocio.
Control:
Se deberá mantener un esquema único de planes de continuidad del
negocio para asegurar que dichos planes sean consistentesD
Guía de implementación:
a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activación.
ISACA Capítulo Monterrey
a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activación.
b) Los procedimientos de emergencia que describen las acciones a realizar tras una
contingencia.
c) Los procedimientos de respaldo
d) Procedimientos temporales de operación
e) Los procedimientos de reanudación.
f) El calendario de mantenimiento
g) Actividades de concientización y formación
h) Las responsabilidades de las personas
i) Los activos y recursos críticos necesarios
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.4 entregables Comunes
de una Consultoría
Los entregables listados a continuación, forman parte de los productos
desarrollados por una empresas de consultoría en términos generales como parte
de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.4
ISACA Capítulo Monterrey
o Estrategia de Recuperación
o Procedimientos Técnicos de Recuperación
o Procedimientos de Operación y Continuidad del Negocio
o Grupos de Recuperación
o Capacitación y Concientización
o Pruebas, Metodología de Pruebas
o Mantenimiento, Metodología de Mantenimiento
Soportando BCM con base en ISO/IEC 27002:2005
14.1.5 Prueba, mantenimiento y actualización de los planes de
Continuidad del Negocio.
Control:
Los Planes de Continuidad del Negocio se deberán probar regularmente para
asegurarse de su actualización y eficacia.
ISACA Capítulo Monterrey
Guía de implementación:
a) La prueba sobre papel de varios escenarios.
b) La simulación (para entrenar al personal)
c) Las pruebas de Recuperación Técnica
d) Las pruebas de Recuperación en un lugar alternativo
e) Las pruebas de los recursos y servicios del Proveedor
f) Los ensayos completos.
g) La actualización correspondiente
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.5 entregables Comunes
de una Consultoría
Los entregables listados a continuación, forman parte de los productos
desarrollados por una empresa de consultoría en términos generales como parte de
los proyectos DRP/BCP, estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.5
ISACA Capítulo Monterrey
solicitados por el Objetivo de Control 14.1.5
o Capacitación y Concientización
o Pruebas, Metodología de Pruebas
o Mantenimiento, Metodología de Mantenimiento
Auditando BCM de acuerdo al ISO/IEC 27001:2005
• Qué es ISO/IEC 27001:2005 ?
Es el estándar internacional generado para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI), define los requerimientos que deberán ser cumplidos en la
integración de un SGSI, siendo ésta auditable y certificable.
Una de sus principales áreas de control contempla la Gestión de la Continuidad del
ISACA Capítulo Monterrey
Una de sus principales áreas de control contempla la Gestión de la Continuidad del
Negocio, especificando los requerimientos de seguridad necesarios para
contrarrestar las interrupciones, fallas y efectos originados por desastres en los
sistemas de información. Contemplados en el Dominio 14. del anexo A de dicho
estándar.
Auditando BCM de acuerdo al ISO/IEC 27001:2005
Estructura del Estándar
De manera general, el estándar se encuentra distribuido de la siguiente forma:
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005
Que requiere el estándar en relación al cumplimiento con
BCM (1 de 2)
A. 14 Gestión de la Continuidad del Negocio
A.14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio
Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos
críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos.
ISACA Capítulo Monterrey
críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos.
Asegurando su restablecimiento oportuno.
14.1.1 Incluir la Seguridad de la
Información en el proceso
de Gestión de Continuidad
del Negocio.
Se debería instalar en toda la organización un proceso de
gestión para el desarrollo y mantenimiento de la
Continuidad del NegocioD
14.1.2 Continuidad del Negocio y
Análisis de Riesgos.
Los eventos que pueden causar interrupciones en los
procesos de negocio deben ser identificados junto con su
probabilidad de impactoD
Auditando BCM de acuerdo al ISO/IEC 27001:2005
Que requiere el estándar en relación al cumplimiento con BCM (2 de 2)
14.1.3
Desarrollar Planes de
Continuidad del Negocio
incluyendo aspectos de
seguridad de la
información.
Se deberían desarrollar planes de mantenimiento y
recuperación de las operaciones del negocioD
ISACA Capítulo Monterrey
14.1.4
Marco Referencial para la
Planeación de la
Continuidad del Negocio
Se deberá mantener un esquema único de planes de
continuidad del negocio para asegurar que dichos planes
sean consistentes...
14.1.5
Prueba, mantenimiento y
actualización de los
planes de continuidad del
negocio.
Prueba, mantenimiento y actualización de los planes de
continuidad del negocioD
Auditando BCM de acuerdo al ISO/IEC 27001:2005
• Que solicitará el auditor para la evaluación de los objetivos de
control (A. 14)
• El auditor revisará el cumplimiento de esos objetivos de control, basado en su
conocimiento, criterio y experiencia.
• El auditor deberá asegurar que los controles sean razonablemente efectivos enSin embargo !!!!
ISACA Capítulo Monterrey
su diseño, desarrollo, implementación y operación.
• Lo que si es seguro es que si enfocamos nuestros esfuerzos basados en
mejores prácticas y entandares de la industria en términos de continuidad y
recuperación indudablemente cumpliremos los requerimientos del Auditor.
Sin embargo !!!!
• La metodología y entregables desarrollados por cualquier
empresa de consultoría deben estar alineados y cumplir en
todos los sentidos con los estándares y mejores prácticas de la
industria tales como
BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005
Recordemos entonces :
Auditando BCM de acuerdo al ISO/IEC 27001:2005
ISACA Capítulo Monterrey
BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005
Dominio 14., etc.
Lo cual nos permitirá alcanzar la certificación deseada
D