1
Tecnología de la información – Técnicas de seguridad – Directrices para la
adecuación de las tecnologías de la información y las comunicaciones para la
continuidad del negocio
0 INTRODUCCIÓN
Con los años, las tecnologías de la información y las comunicaciones (TIC) se han
convertido en parte integral de muchas de las actividades que integran los elementos de las
infraestructuras críticas en todos los sectores organizacionales, ya sean públicos, privados o
voluntarios. La proliferación de Internet y otros servicios de redes electrónicas, y las
capacidades actuales de los sistemas y aplicaciones, también ha implicado que las
organizaciones se vuelvan cada vez más dependientes de infraestructuras TIC confiables y
seguras.
Mientras tanto, la necesidad de una gestión de la continuidad del negocio (GCN), incluida la
preparación para incidentes, la planificación de la recuperación de desastres y la gestión y
respuesta ante emergencias, ha sido reconocida y apoyada con dominios específicos de
conocimiento, experiencia y normas elaboradas y promulgadas en los últimos años,
incluyendo la norma internacional sobre GCN desarrollada por el ISO/TC 223.
NOTA El ISO/TC 223 está en el proceso de desarrollo de una importante norma internacional sobre la gestión de la continuidad del negocio (ISO 22301).
Las fallas de los servicios TIC, incluyendo la aparición de problemas de seguridad como
intrusión de sistemas y las infecciones de malware, impactará en la continuidad de las
operaciones de negocio. Por lo tanto la gestión de las TIC y la continuidad relacionada, así
como otros aspectos de seguridad forman una parte fundamental de las necesidades de
continuidad del negocio. Por otra parte, en la mayoría de los casos, las funciones críticas de
negocio que requieren la continuidad del negocio suelen ser dependientes de las TIC. Esta
dependencia significa que las interrupciones a las TIC pueden constituir riesgos estratégicos
para la reputación de la organización y su capacidad de operar.
La adecuación de las TIC es un componente esencial para muchas organizaciones en la
aplicación de la gestión de la continuidad del negocio y la gestión de la seguridad de la
información. Como parte de la implementación y operación de un sistema de gestión de la
seguridad de la información (SGSI) especificado según ISO/IEC 27001 y el sistema de
gestión de la continuidad del negocio (SGCN), respectivamente, es crítico desarrollar e
implementar un plan de adecuación para los servicios TIC para ayudar a garantizar la
continuidad del negocio.
Como resultado, una eficaz GCN depende frecuentemente de la adecuación eficaz de las
TIC para garantizar que los objetivos de la organización se siguen alcanzando durante las
interrupciones. Esto es particularmente importante ya que las consecuencias de las
interrupciones en las TIC a menudo tienen la complicación añadida de ser invisibles o difícil
de detectar.
Para que una organización logre la Adecuación de las TIC para la Continuidad del Negocio
(ATCN), es necesario poner en marcha un proceso sistemático para prevenir, predecir y
gestionar la interrupción de las TIC y los incidentes que tienen el potencial de interrumpir los
servicios TIC. Esto puede lograrse de forma óptima mediante la aplicación del ciclo
Planificar-Hacer-Verificar-Actuar (PHVA) como parte de un sistema de gestión de la ATCN.
IBNORCA ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27031
APNB/ISO/IEC 27031
2
De esta manera la ATCN apoya la GCN, garantizando que los servicios TIC son tan
resistentes como apropiados y pueden ser recuperados a los niveles predeterminados
dentro de los plazos requeridos y acordados por la organización.
Planificar Establecimiento de la política de ATCN, objetivos, metas, procesos y
procedimientos relacionados con el manejo de riesgos y la mejora de la
preparación de las TIC para conseguir resultados de acuerdo con las
políticas y objetivos globales de continuidad del negocio de la
organización
Hacer Implem,entar u operar la política, controles, procesos y procedimientos de
ATCN
Verificar Evaluar y, cuando sea aplicable, medir el rendimiento del proceso de
aplicación contra la política ATCN, los objetivos y la experiencia práctica, e
informar los resultados de la gestión para su revisión
Actuar Tomar acciones correctivas y preventivas, con base en los resultados de
la revisión por la dirección, para lograr la mejora continua del ATCN
Tabla 1 – Ciclo Planificar-Hacer-Verificar-Actuar para la ATCN
Si una organización está utilizando la norma ISO/IEC 27001 para establecer un SGSI, o está
utilizando las normas pertinentes para establecer un SGCN, el establecimiento de ATCN
debe preferiblemente tener en cuenta los procesos existentes o planificados vinculados con
estas normas. Este vínculo puede apoyar el establecimiento de ATCN y también evitar
cualquier proceso dual de la organización. La Figura 1 resume la interacción de ATCN y la
SGCN.
En la planificación y ejecución de ATCN, una organización puede hacer referencia a la
Norma ISO/IEC 24762:2008 en su planificación y entrega de servicios de recuperación de
desastres de las TIC, independientemente de si los servicios son prestados por un
proveedor externo o interno a la organización.
APNB/ISO/IEC 27031
3
Figura 1 – Integración de la ATCN y el BCMS
1 OBJETO
Esta Norma Internacional describe los conceptos y principios de la preparación de las
tecnologías de la información y las comunicaciones (TIC) para la continuidad del negocio, y
proporciona un marco de métodos y procesos para identificar y especificar todos los
aspectos (tales como los criterios de desempeño, diseño e implantación) para la mejora de
la preparación de las TIC de una organización para garantizar la continuidad del negocio. Se
aplica a cualquier organización (privados, gubernamentales y no gubernamentales,
independientemente de su tamaño) desarrollando su programa de adecuación de las TIC
para la continuidad del negocio (ATCN, por sus siglas en inglés), y exigiendo que sus
servicios e infraestructura TIC estén listos para apoyar las operaciones de negocios en el
caso de nuevos eventos e incidentes, y las interrupciones relacionadas, que puedan afectar
la continuidad (incluida la seguridad) de las funciones críticas del negocio. También permite
a una organización medir los parámetros de desempeño correlacionados con su ATCN de
una manera consistente y reconocida.
El objeto de esta norma abarca todos los eventos e incidentes (incluidos los relacionados
con la seguridad) que podrían tener un impacto en la infraestructura y en los sistemas TIC.
Incluye y extiende las prácticas de manejo y gestión de incidentes de seguridad de la
información y la planificación de la preparación de las TIC y sus servicios.
2 REFERENCIAS NORMATIVAS
Los siguientes documentos referenciados son indispensables para la aplicación de esta
norma. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias
APNB/ISO/IEC 27031
4
no fechadas, se aplica la última edición del documento referenciado (incluida cualquier
corrección).
ISO/IEC TR 18044:2004 (1) Tecnología de la información - Técnicas de seguridad – Gestión
de incidentes de seguridad de la información
ISO/IEC 27000, Tecnología de la información - Técnicas de seguridad – Sistema de gestión
de la seguridad de la información – Visión general y vocabulario
ISO/IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistema de gestión
de la seguridad de la información – Requisitos
ISO/IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de buenas
prácticas para la gestión de la seguridad de la información
ISO/IEC 27005, Tecnología de la información - Técnicas de seguridad - Gestión del riesgo
de seguridad de la información
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican los términos y definiciones que figuran en
las normas ISO/IEC TR 18044, ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27005 y los siguientes.
3.1 Sitio alternativo
ubicación operativa alternativa seleccionada para ser utilizada por una organización cuando
las operaciones normales del negocio no pueden llevarse a cabo utilizando la ubicación
normal, después de que se ha producido una interrupción
3.2 Gestión de la continuidad del negocio BCM
Proceso de gestión integral que identifica las amenazas potenciales de una organización y
los impactos sobre las operaciones del negocio que podrían ocasionar, de materializarse,
dichas amenazas, y que proporciona un marco para la construcción de la resistencia
organizacional con la capacidad para una respuesta eficaz que salvaguarde los intereses de
sus partes claves interesadas, reputación, marca y actividades generadoras de valor
3.3 Plan de continuidad de negocio BCP
Procedimientos documentados que guían a las organizaciones para responder, recuperar,
retomar, y restaurar a un nivel de operación predefinido tras una interrupción
NOTA Normalmente éste abarca recursos, servicios y actividades necesarias para garantizar la continuidad de las funciones críticas del negocio.
3.4 Análisis de impacto en el negocio BIA
Proceso de analizar las funciones operativas y el efecto que una interrupción podría tener
sobre ellas
APNB/ISO/IEC 27031
5
3.5 Crítico
Descripción cualitativa que se utiliza para enfatizar la importancia de un recurso, proceso o
función que debe estar disponible y operativo permanentemente, o disponible y operativo lo
antes posible, después de que se ha producido un incidente, emergencia o desastre
3.6 Interrupción
Incidente, ya sea previsto (por ejemplo, huracanes) o imprevisto (por ejemplo, falta/falla de
energía eléctrica, terremoto o ataque a sistemas/infraestructura TIC) que interrumpe el curso
normal de las operaciones en una ubicación de la organización
3.7 Recuperación de desastres TIC
Capacidad de los elementos de las TIC de una organización para soportar sus funciones
críticas de negocio a un nivel aceptable, dentro de un período predeterminado de tiempo,
después de una interrupción
3.8 Plan de recuperación de desastres de las TIC
ICT DRP (sigla en inglés)
Plan claramente definido y documentado que recupera las capacidades de las TIC cuando
ocurre una interrupción
NOTA En algunas organizaciones es denominado plan de continuidad de TIC.
3.9 Modo de fallos
Forma mediante la cual un fallo es observado
NOTA Generalmente describe la forma en la que el fallo ocurre y su impacto en la operación del sistema.
3.10 Adecuación de las TIC para la continuidad del negocio ATCN
Capacidad de una organización para soportar sus operaciones de negocio mediante la
prevención, detección y respuesta a una interrupción y recuperar los servicios TIC.
3.11 Objetivo mínimo de continuidad del negocio MBCO (sigla en inglés)
Nivel mínimo aceptable de servicios y productos para que la organización alcance sus
objetivos de negocio durante una interrupción.
3.12 Objetivo de punto de recuperación RPO
Punto en el tiempo en el que la información debe ser recuperada luego de la ocurrencia de
una interrupción.
APNB/ISO/IEC 27031
6
3.13 Objetivo de tiempo de recuperación RTO
Período de tiempo luego de la ocurrencia de una interrupción durante el cual deben
recuperarse los niveles mínimos de servicios y productos y los sistemas de soporte,
aplicaciones o funciones.
3.14 Resistencia
Habilidad de una organización para resistir mientras se está viendo afectada por una
interrupción.
3.15 Disparador
Evento que causa que el sistema inicie una respuesta.
NOTA También conocido como evento disparador.
3.16 Registro fundamental
Registro electrónico o en papel que es esencial para preservar, mantener la continuidad y
reconstruir las operaciones de una organización, y proteger los derechos de dicha
organización, de sus empleados, de sus clientes y de las partes interesadas.
4 ABREVIACIONES
ATCN Adecuación de las TIC para la continuidad del negocio.
SGSI Sistema de Gestión de la Seguridad de la Información.
5 VISIÓN GENERAL
5.1 El rol de la ATCN en la gestión de la continuidad del negocio
La gestión de la continuidad del negocio (GCN) es un proceso de gestión integral que
identifica los potenciales impactos que amenazan la continuidad de las actividades del
negocio de una organización y proporciona un marco para fortalecer la resistencia y la
capacidad para dar una respuesta eficaz que proteja los intereses de la organización frente
a las interrupciones.
Como parte del proceso BCM, ATCN refiere a un sistema de gestión que complementa y
soporta el programa BCM e SGSI de una organización, de modo de mejorar la adecuación
de la organización para:
a) Responder al cambio constante de los riesgos del entorno;
b) Asegurar la continuación de las operaciones críticas del negocio, apoyadas por los
servicios TIC relacionados;
c) Estar preparado para responder antes de que ocurra una interrupción del servicio TIC,
luego de la detección de un evento o serie de eventos relacionados que se conviertan
en incidentes; y
APNB/ISO/IEC 27031
7
d) Responder y recuperarse de incidentes/desastres y fallas.
La figura 2 ilustra el resultado esperado del TIC para el apoyo a las actividades de gestión
de la continuidad del negocio.
Figura 2 – Marco de Continuidad del Negocio, sus salidas con relacionadas con TIC y
sus resultados esperados
La Norma Internacional para BCM, desarrollada por ISO/TC 223, resume el enfoque del
BCM para la prevención, reacción y recuperación de incidentes. Las actividades
involucradas en BCM incluyen preparación para incidentes, gestión de la continuidad
operacional, planificación de recuperación de desastres (PRD) y mitigación de riesgos que
se centra en aumentar la resistencia de la organización y en prepararla para reaccionar de
forma eficaz a incidentes y recuperarse dentro de un plazo predeterminado.
Por lo tanto, una organización establece las prioridades del BCM y son éstas las que
conducen las actividades de la ATCN. A su vez, BCM depende de la ATCN para asegurar
que la organización pueda alcanzar sus objetivos generales de continuidad en todo
momento y particularmente durante periodos de interrupción.
De acuerdo a lo mostrado en la Figura 3, dichas actividades de adecuación tienen por
objetivo:
a) Mejorar las capacidades de detección de incidentes;
b) Prevenir una falla drástica o repentina;
c) Permitir una degradación aceptable del estado de las operaciones si el fallo es
imparable;
d) Reducir al máximo los tiempos de recuperación; y
APNB/ISO/IEC 27031
8
e) Minimizar el impacto por la ocurrencia eventual del incidente.
Figura 3 – Concepto de Adecuación de las TIC para la continuidad del negocio
5.2 Los principios de ATCN
ATCN se basa en los siguientes principios fundamentales:
a) Prevención de incidente – la protección de los servicios TIC contra amenazas tales
como fallas del entorno y de hardware, errores operacionales, ataques maliciosos, y
desastres naturales, es crítica para mantener los niveles esperados de disponibilidad de
los sistemas para una organización;
b) Detección de incidentes – detectar incidentes, en forma temprana, minimizará el
impacto en los servicios, reducirá el esfuerzo de recuperación y preservará la calidad
del servicio;
c) Respuesta – responder a un incidente en la forma más apropiada derivará en una
recuperación más eficiente y minimizará el tiempo de inactividad. Una reacción
insuficiente puede dar lugar a que un incidente menor evolucione a algo más serio;
d) Recuperación – identificar e implementar la estrategia de recuperación apropiada puede
asegurar la reanudación oportuna de los servicios y mantener la integridad de los datos.
Entender las prioridades de recuperación permite que los servicios más críticos sean
restaurados primero. Los servicios de carácter menos crítico pueden ser restaurados en
otro momento o en algunas circunstancias, no serlo; y
e) Mejora – Las lecciones aprendidas de incidentes grandes y pequeños deben ser
documentadas, analizadas y revisadas. Entender estas lecciones permitirá a la
organización preparase mejor para controlar y evitar incidentes e interrupciones.
APNB/ISO/IEC 27031
9
La figura 4 ilustra cómo los elementos respectivos de la ATCN apoyan la secuencia típica de
eventos de recuperación de un desastre TIC y a su vez, apoya las actividades de
continuidad del negocio. La implementación de ATCN permite a la organización responder
de forma eficaz a amenazas nuevas y emergentes, así como ser capaz de reaccionar y
recuperarse frente a interrupciones.
Figura 4 - Los principios de la ATCN en el tiempo de recuperación típico de un
desastre TIC
NOTA La etapa de recuperación incluye actividades en el tiempo de recuperación/reanudación de los servicios, operaciones de DR (Recuperación de Desastre) TIC sostenibles, y el restablecimiento y retorno a la operación normal. Para detalles remitirse a la Figura A.1 en el Anexo A.
5.3 Los elementos de ATCN
Los elementos claves de ATCN pueden resumirse como sigue:
a) Personal: especialistas con habilidades y conocimiento apropiados, y personal de
respaldo competente.
b) Instalaciones: ambiente físico en el que los recursos TIC están ubicados;
c) Tecnologías:
1) hardware (incluyendo gabinetes, servidores, sistemas de almacenamiento, dispositivos
de cinta y accesorios);
2) red (incluyendo conectividad de datos y servicios de voz), switches (interruptor) y
routers (direccionador); y
3) software, incluyendo sistemas operativos y aplicaciones de software, enlaces o
interfaces entre aplicaciones y rutinas de procesamiento por lotes;
APNB/ISO/IEC 27031
10
d) Datos: datos de aplicación, datos de voz y otros tipos de datos;
e) Procesos: incluyendo documentación de soporte para describir la configuración de los
recursos TIC y permitir la operación, recuperación y mantenimiento eficaz de los
servicios TIC; y
f) Proveedores: otros componentes de los servicios de punta a punta donde la provisión
del servicio TIC depende de un proveedor de servicios externo o de otra organización
dentro de la cadena de suministro, por ejemplo, un proveedor de datos del mercado
financiero, un operador de telecomunicaciones o un proveedor de servicios de Internet.
5.4 Resultados y beneficios de la ATCN
Los beneficios de una ATCN eficaz para una organización son:
a) Entender los riesgos en la continuidad de los servicios TIC y sus vulnerabilidades;
b) Identificar los impactos potenciales de interrupción de los servicios TIC;
c) Promover la mejora en la colaboración entre los directores del negocio y sus
proveedores de servicios TIC (internos y externos);
d) Desarrollar y mejorar la competencia del personal de las TIC, demostrando respuestas
creíbles a través del ejercicio de los planes de continuidad de las TIC y probando los
acuerdos de la ATCN;
e) Brindar garantías a la alta dirección que, en el caso de una interrupción, pueda contar
con niveles predeterminados de servicios TIC y recibir apoyo y comunicaciones
adecuadas;
f) Brindar garantías a la alta dirección de que la seguridad de la información
(confidencialidad, integridad y disponibilidad) es preservada de forma apropiada,
asegurando la adherencia a las políticas de seguridad de la información;
g) Proporcionar confianza adicional en la estrategia de continuidad del negocio vinculando
la inversión en soluciones de TI con las necesidades del negocio y asegurando que los
servicios TIC están protegidos en un nivel adecuado según su importancia para la
organización;
h) Disponer de servicios TIC que posean un relación adecuada costo-beneficio y no sobre-
invertir o sub-invertir, a través de la comprensión del nivel de su dependencia con esos
servicios TIC, y de la naturaleza, ubicación, interdependencia y uso de los componentes
que conforman los servicios TIC;
i) Poder mejorar su reputación de prudencia y eficiencia;
j) Aumentar potencialmente las ventajas competitivas a través de la habilidad demostrada
para apoyar la continuidad del negocio y mantener el suministro de productos y
servicios en tiempos de interrupción; y
k) Entender y documentar las expectativas de las partes interesadas y sus relaciones con,
y el uso de, los servicios TIC.
APNB/ISO/IEC 27031
11
De esta forma, ATCN ofrece una forma significativa de determinar el estado de los servicios
TIC de una organización en el apoyo a los objetivos de la continuidad del negocio,
abordando la pregunta "nuestras TIC son capaces de responder" en lugar de "nuestras TIC
son seguras".
5.5 Establecimiento de ATCN
Es probable que la ATCN sea más eficiente y rentable al diseñarlo y construirlo en los
servicios de TIC, desde su concepción como parte de una estrategia de ATCN que apoya
los objetivos de continuidad del negocio de la organización. Esto asegura que los servicios
de TIC están mejor construidos, mejor entendidos y más resistentes. La adaptación de la
ATCN puede ser compleja, destructiva y costosa.
La organización debe desarrollar, implementar, mantener y mejorar continuamente un
conjunto de procesos documentados que apoyen al ATCN.
Estos procesos deben asegurar que: los objetivos de la ATCN sean claramente formulados,
comprendidos y comunicados, y que el compromiso de la alta dirección para con la ATCN
sea demostrado.
La Figura 5 presenta gráficamente las actividades en las diferentes etapas de la ATCN.
Figura 5 – Fases en una ATCN
APNB/ISO/IEC 27031
12
5.6 Utilizando Planificar, Hacer, Controlar, Actuar para establecer la ATCN
La ATCN implica que la organización establezca procesos para desarrollar y mejorar sus
elementos clave de la ATCN (ver 5.2), para mejorar su capacidad de respuesta a cualquier
tipo de interrupción, incluyendo el cambio de las situaciones de riesgo mediante el uso del
enfoque de la metodología Planificar-Hacer-Controlar-Actuar (PHCA). La Figura 5 presenta
gráficamente las actividades en las diferentes etapas de ATCN.
5.7 Responsabilidad de la Dirección
5.7.1 Liderazgo y compromiso de la Dirección
Para que un programa de ATCN sea eficaz, debe ser un proceso totalmente integrado con
las actividades de gestión de la organización, impulsado desde los altos mandos de la
organización, avalado y promovido por la alta dirección. Un número de profesionales de la
ATCN y de otras disciplinas de gestión y departamentos pueden ser necesarios para apoyar
y gestionar el programa ATCN. La cantidad de recursos necesarios para apoyar este tipo de
programas dependerá del tamaño y la complejidad de la organización.
5.7.2 Política de la ATCN
La organización debe tener una política ATCN documentada. Inicialmente, puede ser a un
alto nivel perfeccionándose y mejorándose posteriormente a medida que todo el proceso de
ATCN madura. La política debe ser revisada y actualizada periódicamente de acuerdo con
las necesidades de la organización y debe ser coherente con los objetivos generales de
gestión de la continuidad del negocio de la organización.
La política ATCN debe proporcionar a la organización principios documentados a los que se
aspire y contra los cuales poder medir la eficacia de la ATCN. Debe:
a) Establecer y demostrar el compromiso de la alta dirección al programa de ATCN;
b) Incluir o hacer referencia a los objetivos de la ATCN de la organización;
c) Definir el alcance de la ATCN, incluyendo las limitaciones y exclusiones;
d) Ser aprobado y firmado por la alta dirección;
e) ser comunicado a las partes interesadas, internas y externas, apropiadas;
f) Identificar y proveer a las autoridades pertinentes de la disponibilidad de recursos tales
como el presupuesto, personal necesario para llevar a cabo las actividades de acuerdo
con la política ATCN; y
g) Ser revisada a intervalos planificados y cuando se producen cambios importantes, tales
como cambios en el entorno, cambio del negocio de la organización y cambios de la
estructura de la misma.
APNB/ISO/IEC 27031
13
6 PLANIFICACIÓN DE LA ATCN
6.1 General
El principal objetivo de la fase de planificación es establecer los requisitos de preparación de
las TIC de la organización, incluyendo:
a) Estrategia y plan de ATCN que se requieren para apoyar el negocio, los requisitos
legales, estatutarios y reglamentarios relacionados con el alcance definido y el logro de
los objetivos y metas de la continuidad del negocio de la organización; y
b) Criterios de rendimiento que necesita la organización para hacer el seguimiento del
grado de preparación de TIC que se requiere para alcanzar esos objetivos y metas.
6.2 Recursos
6.2.1 Generalidades
Como parte del mandato de la política, la organización debe definir la necesidad de un
Programa de ATCN como parte de los objetivos generales de su BCM y, además,
determinar y proporcionar los recursos necesarios para establecer, implementar, operar y
mantener tal programa ATCN.
Los roles, las responsabilidades, las competencias y las autoridades de la ATCN deben
estar definidas y documentadas.
La alta dirección debe:
a) Nombrar o designar a una persona con la experiencia y la autoridad apropiada para ser
responsable de la política y la implementación de la ATCN; y
b) Designar a una o más personas competentes, que, con independencia de otras
responsabilidades, deben implementar y mantener el sistema de gestión de ATCN
como se describe en esta Norma Internacional.
6.2.2 Competencia del personal de la ATCN
La organización se debe asegurar que todo el personal al que se le asigne
responsabilidades de la ATCN sea competente para realizar las tareas requeridas. (Ver
7.2.1 para más detalles).
6.3 Definición de requisitos
6.3.1 General
Como parte de su programa de BCM, la organización tendrá clasificadas sus actividades de
acuerdo a su prioridad para la continuidad (por ejemplo, determinado por un Análisis del
Impacto de Negocio) y definido el nivel mínimo al que cada actividad crítica se debe realizar
tras la reanudación. La alta dirección debe estar de acuerdo con los requisitos de
continuidad del negocio de la organización y estos resultarán en el Objetivo de Tiempo de
Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO) para el Objetivo Mínimo
de la Continuidad del Negocio (MBCO) por producto, servicio o actividad. Estos RTO
APNB/ISO/IEC 27031
14
comienzan en el momento en el que se produce la interrupción y continúan hasta que se
restablece el producto servicio o actividad.
6.3.2 Descripción de los servicios críticos de las TIC
Puede haber una serie de servicios TIC que se consideren críticos y necesarios para que la
recuperación tenga lugar. Cada uno de estos servicios críticos de las TIC debe tener
documentado su propio Objetivo de Tiempo de Recuperación (RTO) y Objetivo de Punto de
Recuperación (RPO) para el Objetivo Mínimo de la Continuidad del Negocio (MBCO) de los
servicios de TIC. (Esto puede incluir aspectos de prestación de servicios de TIC, tales como
mesa de ayuda). El RTO de los servicios críticos de las TIC siempre será menor que el RTO
de la continuidad del negocio. (Ver Anexo A para la elaboración detallada de RTO y RPO).
La organización debe identificar y documentar sus servicios críticos de TIC para incluir
breves descripciones y nombres que sean significativos para la organización a nivel de
servicio al usuario. Esto asegurará un entendimiento común entre el negocio y el personal
de las TIC, ya que puede ocurrir el uso de nombres diferentes para el mismo servicio de
TIC. Cada servicio TIC crítico listado debe identificar el producto o servicio de la
organización que soporta y la alta dirección debe estar de acuerdo con los servicios de TIC
y sus requisitos de ATCN asociados.
Por cada servicio TIC crítico identificado y acordado, todos los componentes TIC del servicio
punta a punta deben ser descritos y documentados, mostrando cómo están configurados o
vinculados para brindar cada servicio. Tanto la configuración del entorno de provisión del
servicio TIC normal como la configuración del entorno de provisión de servicios TIC en
continuidad deben ser documentadas.
Por cada servicio TIC crítico, la capacidad corriente de continuidad (por ejemplo, la
existencia de un único punto de fallo) debe ser revisada desde una perspectiva de
prevención para evaluar los riesgos de interrupción del servicio o de degradación (que
pueden ser tomados como parte del ejercicio de evaluación general del riesgo BCM).
También se deben buscar oportunidades para mejorar la resistencia de las TIC y,
consecuentemente, menor será la probabilidad y el impacto de la interrupción del servicio.
Asimismo, se pueden destacar oportunidades que permitan la detección y reacción precoz a
la interrupción del servicio de TIC. La organización puede decidir si hay una oportunidad de
negocio para invertir en la identificación de oportunidades para la mejora de la capacidad de
recuperación del servicio. Esta evaluación de riesgos del servicio (que puede formar parte
del marco general de la gestión del riesgo de la organización) también puede detectar una
oportunidad empresarial para mejorar la capacidad de recuperación de los servicios de TIC.
6.3.3 Identificación de brechas entre las capacidades de preparación de TIC y los
requisitos de continuidad de negocio
Por cada servicio crítico de TIC del actual régimen de preparación de TIC - como la
prevención, vigilancia, detección, respuesta y recuperación - se deben comparar con los
requisitos de continuidad del negocio y las deficiencias deben ser documentadas.
La alta dirección debe ser informada de cualquier brecha entre la capacidad crítica de la
ATCN y los requisitos de continuidad del negocio. Estas brechas pueden indicar riesgos y la
necesidad de resistencia adicional y de recursos de recuperación, tales como:
a) Personal, incluyendo número, habilidades y conocimientos;
APNB/ISO/IEC 27031
15
b) Facilidades para albergar las instalaciones de TIC, por ejemplo, sala de informática;
c) Apoyo tecnológico, instalaciones, equipos y redes (tecnología);
d) Solicitudes de información y bases de datos;
e) Finanzas o asignación presupuestaria, y
f) Servicios externos y proveedores (suministros).
La alta dirección debe aprobar las definiciones de servicios de TIC, la lista documentada de
los servicios críticos de TIC y los riesgos asociados a las deficiencias detectadas entre la
capacidad crítica de la ATCN y los requisitos de la continuidad del negocio. Esto debe
incluir, en su caso, el sign-off de los riesgos identificados. Las opciones para abordar las
deficiencias y los riesgos identificado, deben ser exploradas determinando estrategias de la
ATCN.
6.4 Determinar las opciones de estrategia de la ATCN
6.4.1 Generalidades
Las estrategias de la ATCN deben definir los métodos para implementar la resistencia
necesaria para que los principios de prevención, detección, respuesta, recuperación y
restauración de incidentes sean puestos en marcha.
Una amplia gama de opciones de estrategias de la ATCN deben ser evaluadas. Las
estrategias elegidas deben ser capaces de apoyar los requerimientos de continuidad del
negocio de la organización.
La organización debe tomar en cuenta la implementación y los requisitos de recursos que se
van a ir dando en la implementación y desarrollo de la estrategia. Proveedores externos
pueden ser contratados para proporcionar servicios especializados y destrezas que juegan
un rol importante en el apoyo a la estrategia.
La estrategia de la ATCN debe ser lo suficientemente flexible como para atender a las
diversas estrategias de negocios en los diferentes mercados. Además, la estrategia debe
tener en cuenta las limitaciones y factores internos, tales como:
a) Presupuesto;
b) Disponibilidad de recursos;
c) Potenciales costos y beneficios;
d) Limitaciones tecnológicas;
e) Apetito de riesgo de la organización;
f) Estrategia actual de la ATCN de la organización; y
g) Obligaciones reglamentarias.
APNB/ISO/IEC 27031
16
6.4.2 Opciones de estrategia de la ATCN
La organización debe considerar un rango de opciones para poder atender los incidentes en
los servicios críticos de TIC. Las opciones deben considerar aumentar la protección y
resistencia, así como permitir la recuperación y restauración de una interrupción no
planificada, y puede incluir acuerdos internos; servicios prestados a la organización y los
servicios prestados externamente por uno o más terceros.
Las opciones deberán tener en cuenta los diversos componentes necesarios para asegurar
la continuidad y la recuperación de los servicios críticos de las TIC. La ATCN se puede
alcanzar de muchas formas, y se deben tener en cuenta los elementos de ATCN descriptos
en 5.3.
6.4.2.1 Habilidades y conocimientos
La organización debe identificar estrategias apropiadas para el mantenimiento de las
principales habilidades y conocimiento de las TIC. Esto puede extenderse más allá de los
empleados, contratistas y otras partes interesadas, que poseen amplios conocimientos y
habilidades especiales en TIC. Las estrategias para proteger o proveer de esas habilidades
pueden incluir:
a) Documentación de la forma en que los servicios críticos de las TIC son realizadas;
b) Formación del personal y contratistas de las TIC para aumentar el conocimiento
redundante;
c) Separación de las tareas principales para reducir la concentración del riesgo (esto
podría implicar la separación física del personal que posee los principales
conocimientos o asegurar que más de una persona los tenga), y
d) Retención y gestión del conocimiento.
6.4.2.2 Instalaciones
De acuerdo a los riesgos identificados, la organización debe diseñar estrategias para reducir
el impacto por la falta de disponibilidad de las instalaciones TIC normales. Esto puede incluir
una o más de las siguientes:
a) Instalaciones alternativas (lugares) dentro de la organización, incluyendo el
desplazamiento de otras actividades;
b) Instalaciones alternativas proporcionadas por otras organizaciones;
c) Instalaciones alternativas proporcionadas por terceros especializados;
d) Trabajo desde el hogar o en otros sitios remotos;
e) Otras instalaciones alternativas acordadas para el trabajo;
f) Uso de fuerza de trabajo alternativa en un recinto establecido; y
APNB/ISO/IEC 27031
17
g) Instalaciones alternativas que pueden ser transportados al sitio de la interrupción y
utilizadas para proporcionar un reemplazo directo de algunos de los activos físicos
involucrados.
Las estrategias para las instalaciones TIC pueden variar significativamente y puede haber
diversas opciones. Los diferentes tipos de incidentes o amenazas pueden requerir la
implementación de múltiples estrategias (un enfoque de selección y mezcla), que será
determinado en parte por el tamaño de la organización, amplitud de las actividades, lugares,
tecnologías y presupuesto, etc.
Al considerar el uso de los locales alternativos, se debe tener en cuenta lo siguiente:
a) Seguridad del sitio;
b) Acceso del personal;
c) Proximidad a las instalaciones existentes; y
d) Disponibilidad.
6.4.2.3 Tecnología
Los servicios de TIC de los que dependen las actividades críticas del negocio deben estar
disponibles antes de la reanudación de sus actividades dependientes críticas del negocio.
Por lo tanto, se requieren soluciones que garanticen la disponibilidad de las aplicaciones
dentro de plazos específicos, por ejemplo, los RTO se determina como parte del BIA. Las
plataformas tecnológicas y software de aplicación deben ser puestas en marcha dentro de
los plazos exigidos por la organización como un todo.
Las tecnologías que soportan los servicios TIC críticos con frecuencia necesitan arreglos
complejos para garantizar la continuidad, por lo que lo siguiente debe considerarse al elegir
las estrategias ATCN:
a) Los RTO y RPO para los servicios TIC críticos que apoyan las actividades críticas
identificadas por el programa BCM;
b) La ubicación y la distancia entre los sitios de tecnología;
c) El número de sitios de tecnología;
d) El acceso remoto a los sistemas;
e) Los requisitos de refrigeración;
f) Los requisitos de energía;
g) El uso de los sitios sin personal (oscuros) en comparación con los sitios de personal;
h) La conectividad de las telecomunicaciones y los enrutamientos redundantes;
i) La naturaleza de la "recuperación tras error" (si es necesaria la intervención manual
para activar la provisión alternativa de las TIC o si esto tiene que ocurrir de forma
automática);
APNB/ISO/IEC 27031
18
j) El nivel de automatización requerido;
k) Obsolescencia de la tecnología; y
l) La conectividad del proveedor de servicios tercerizados y otros enlaces externos.
6.4.2.4 Datos
Además, las actividades críticas del negocio pueden depender de la provisión, hasta al día o
cerca, de los datos. Las soluciones de continuidad de los datos deben ser diseñadas para
cumplir con los Objetivos de Punto de Recuperación (RPO) de cada actividad crítica para el
negocio de la organización en lo que respecta a las actividades críticas del negocio.
Las opciones de ATCN seleccionadas deben asegurar la confidencialidad, integridad y
disponibilidad de datos críticos que apoyan las actividades críticas en curso (véase la norma
ISO/IEC 27001 e ISO/IEC 27002).
El almacenamiento de datos y estrategias de ATCN deben cumplir con los requisitos de
continuidad del negocio de la organización, y debe tener en cuenta:
a) Requisitos de RPO;
b) Cómo almacenar datos en forma segura, por ejemplo, disco, cinta o medios ópticos; las
copias de seguridad y mecanismos de restauración deben estar en su lugar para que
los datos estén seguros y en un ambiente seguro;
c) Dónde es almacenada, transportada o transmitida la información, distancia, ubicación,
enlaces de red, etc. (dentro, fuera por terceros) y los plazos esperados para la
recuperación de los medios de respaldo; y
d) Plazos de restauración, relacionados con el volumen de datos, cómo se almacenan los
mismos y la complejidad de la técnica del proceso de restauración, junto con los
requisitos del usuario del servicio y los requisitos de continuidad de la organización.
Es fundamental la comprensión del uso punta-a-punta de los datos en toda la organización.
Esto puede incluir la alimentación de información para y de terceros.
Hay que recordar que la naturaleza, actualidad y valor de los datos varían enormemente
dentro de una organización.
6.4.2.5 Procesos
En la selección de su estrategia de ATCN, la organización debe considerar los procesos
necesarios para asegurar la viabilidad de esta estrategia, incluyendo las necesarias para la
prevención de incidentes, detección de incidentes, respuesta a incidentes y recuperación de
desastres. La organización debe identificar los factores necesarios para la aplicación eficaz
de los procesos individuales, por ejemplo, la habilidad clave, los datos críticos, las
tecnologías clave o equipos/instalaciones críticos.
6.4.2.6 Proveedores
La organización debe identificar y documentar las dependencias externas que apoyan la
prestación de servicios de TIC y tomar las medidas adecuadas para garantizar que los
APNB/ISO/IEC 27031
19
equipos y servicios críticos puedan ser proporcionados por los proveedores dentro de los
plazos predeterminados y acordados. Dichas dependencias pueden existir para el hardware,
software, telecomunicaciones, aplicaciones, servicios de alojamiento de terceros, utilidades,
y tópicos ambientales, tales como aire acondicionado, monitoreo ambiental y extinción de
incendios.
Las estrategias para estos servicios pueden incluir:
a) El almacenamiento de equipo adicional y copias de software en otro lugar;
b) Los acuerdos con proveedores para el suministro de equipo de reemplazo a corto
plazo;
c) Una rápida reparación y reemplazo de piezas defectuosas en el caso de un mal
funcionamiento del equipo;
d) La oferta dual de los servicios públicos como la energía y las telecomunicaciones;
e) La generación de equipos de emergencia; y
f) La identificación de proveedores alternativos/sustitutos.
La organización debe incluir los requisitos de TIC y de gestión de continuidad del negocio en
los contratos con sus socios y proveedores de servicios. Los programas de contrato deben
incluir una referencia a las obligaciones de cada parte, niveles de servicio, respuesta a
incidentes de importancia, asignación de costos, frecuencia del ejercicio y acciones
correctivas.
6.5 Firma
Las opciones seleccionadas para la estrategia de la ATCN deben ser presentadas a la alta
dirección, con recomendaciones para una toma de decisión basada en el apetito de riesgo y
costo.
La alta dirección debe ser alertada si las opciones de estrategia de la ATCN seleccionadas
son incapaces de cumplir con los requisitos de continuidad del negocio, en cuyo caso debe
ser informada sobre la capacidad actual.
La alta dirección debe seleccionar las estrategias de la ATCN dentro de las opciones que se
le han presentado, y aprobar y firmar las opciones documentadas para confirmar que éstas
han sido TOMADAS APROPIADAMENTE y que SOPORTAN los requisitos globales de la
continuidad del negocio.
Las opciones seleccionadas para la estrategia de la ATCN deben:
a) Atender a los posibles riesgos y efectos de la interrupción;
b) Integrarse CON las estrategias de continuidad del negocio elegidas POR la
organización; y
c) Ser apropiadas para alcanzar los objetivos generales de la organización dentro de su
apetito de riesgo.
APNB/ISO/IEC 27031
20
6.6 Capacidad de mejora de la ATCN
6.6.1 Refuerzo de la resistencia
La organización debe incluir dentro de su estrategia de alto nivel y de los planes de la ATCN,
referencias a las capacidades de mejoras específicas de su ATCN que se requieren para
satisfacer los requisitos de la ATCN identificados. Tales mejoras pueden lograrse a través
de acciones preventivas y correctivas (ver 9.2 y 9.3), así como de procesos o metodologías
específicas que sean respuestas relevantes al BIA de la organización y a su apetito de
riesgo.
La información sobre esos procesos y metodologías, se puede encontrar en los Anexos B y
C.
6.7 Criterios de preparación del rendimiento de las TIC
6.7.1 Identificación de los criterios de desempeño
Dentro de cualquier entorno de TIC hay muchos eventos potencialmente peligrosos - tales
como los fallos de hardware, intrusión de seguridad, etc. - y una organización debe ser
capaz de monitorear las amenazas y comprender si el sistema ATCN es capaz de tratarlos
adecuadamente.
Por lo tanto, la organización debe definir los criterios de rendimiento para medir la eficacia de
la preparación de su TIC. Estos criterios se pueden utilizar para determinar la calidad
deseada de la respuesta a una interrupción, tanto en términos de su eficacia y eficiencia.
Los criterios de desempeño de la ATCN deben basarse en los requisitos de la ATCN, así
como en los objetivos generales de BCM, en términos de la respuesta a incidentes y los
requisitos de continuidad. (Ver 8.3.1)
7 IMPLEMENTACIÓN Y OPERACIÓN
7.1 Generalidades
Las estrategias ATCN sólo deben aplicarse después de la aprobación de la dirección. En
este punto comienza la etapa de la puesta en práctica. Esta cláusula ofrece
recomendaciones para la implementación ATCN elegido de una organización junto con las
estrategias, la estructura de organización necesaria, planes y procedimientos necesarios
para apoyar la implementación.
La organización debe gestionar los recursos (7.2), los procedimientos y el funcionamiento de
ATCN, así como la implementación de programas de capacitación y sensibilización. La
aplicación debe ser manejada como un proyecto a través de la organización formal de
procesos de control de cambios y controles de gestión de proyectos BCM con el fin de
garantizar la plena gestión de la visibilidad y presentación de informes.
Se debe hacer referencia a las normas internacionales pertinentes durante la aplicación de
la detección de incidentes y la respuesta y los componentes de recuperación de desastres,
incluyendo:
a) ISO / IEC 18043 para la selección y operación de sistemas de detección de intrusos;
b) ISO / IEC 18044 para el proceso de respuesta a incidentes, y
APNB/ISO/IEC 27031
21
c) ISO / 24762 para los servicios de recuperación de desastres IEC.
NOTA ISO / IEC 18044 está siendo revisada y renumerada como 27035.
7.2 Aplicación de los elementos de las estrategias ATCN
7.2.1 Conciencia, Habilidades y Conocimiento
El conocimiento general de la disposición de los elementos de los servicios de las TIC (5.3)
– las personas, instalaciones, tecnología, datos, procesos y proveedores, así como sus
componentes críticos - son un elemento fundamental para garantizar el apoyo necesario
para la gestión de continuidad del negocio y de gestión, incluida la preparación para las TIC.
La organización debe por tanto:
a) Aumentar, mejorar y mantener la conciencia a través de una educación continua y un
programa de información personal pertinente y establecer un proceso para evaluar la
eficacia de la prestación de conciencia; y
b) Garantizar que el personal esté al tanto de cómo contribuyen al logro de los objetivos
ATCN.
La organización se debe asegurar que todo el personal al que se le asigna
responsabilidades de gestión ATCN es competente para realizar las tareas requeridas por:
a) La determinación de las competencias necesarias para dicho personal;
b) La realización de análisis de las necesidades de formación de dicho personal;
c) Impartir formación;
d) Garantizar que la competencia necesaria se ha logrado, y
e) El mantenimiento de los registros de educación, formación, habilidades, experiencia y
calificaciones.
7.2.2 Instalaciones
Los sistemas de recuperación TIC y de datos críticos, cuando sea posible, estar físicamente
separados de los sitios operativos para evitar que sean afectados por el mismo incidente.
Se debe considerar la ubicación de todos los entornos de las TIC en la aplicación de la
estrategia. Por ejemplo, si está disponible, la formación o el desarrollo de sistemas de TIC
deben ser lógicamente separada de la de sistemas de producción, ya que puede ser una
oportunidad para que éstas se reconfiguren en el caso de un desastre a abrir rápidamente
el servicio de producción.
La escalabilidad en general, capacidad de administración, compatibilidad, rendimiento y
coste de las diferentes características técnicas de implementación deben ser examinados
para identificar las técnicas más adecuadas para las estrategias elegidas que apoyen los
objetivos y metas globales de continuidad del negocio.
APNB/ISO/IEC 27031
22
7.2.3 Tecnología
Estrategias tecnológicas de las TIC deben ser implementadas. Estas pueden incluir una o
más de las siguientes implementaciones y arreglos:
a) Espera en caliente, donde la infraestructura de TIC se replica a través de dos sitios;
b) Espera activa, donde la recuperación se lleva a cabo en un lugar secundario donde la
infraestructura de TIC es parcialmente preparada;
c) Espera fría, donde la infraestructura se construye o configura a partir de cero en un
lugar alternativo;
d) Acuerdos traídos (ship-in arrangements), en virtud del cual los proveedores de servicios
externos proporcionan hardware; y
e) Acuerdo compuesto de las estrategias anteriores: un enfoque "pick-and-mix".
7.2.4 Datos
Las disposiciones relativas a la disponibilidad de datos deben estar alineados con los
requisitos señalados en la ATCN estrategias de gestión, y pueden incluir:
a) Almacenamiento adicional para los datos en un formato que garantice su disponibilidad
dentro de los plazos señalados en el programa de continuidad de negocio, y
b) Lugares alternativos para el almacenamiento de datos, que puede ser físico o virtual,
siempre y cuando la seguridad y la confidencialidad de los datos se mantengan; de este
modo los procedimientos de acceso están en su lugar y, si los acuerdos se hacen a
través de terceros para el almacenamiento de la información, los dueños de la
información deben cerciorarse de que los controles adecuados están en su lugar.
7.2.5 Procesos
Los procesos ATCN deben documentarse claramente y con suficiente detalle para permitir
al personal competente ejecutarlos (algunos de estos procesos pueden ser diferentes de las
operaciones diarias).
Los procedimientos ATCN pueden depender de la situación en que se desarrollan y en la
práctica puede ser necesario adaptarlos teniendo en cuenta la ruptura (por ejemplo, el grado
de pérdida o daño), las prioridades operativas de la organización y la de las partes
demandantes.
7.2.6 Proveedores
La organización debe asegurarse de que los proveedores clave sean capaces de apoyar las
capacidades de servicio ATCN requerido por la organización. Esto incluye tener sus propios
planes de continuidad e ATCN documentados y probados, con capacidad de soportar que
los clientes activen en forma concurrente los planes de incidentes o de recuperación. La
organización debe establecer un proceso para evaluar la capacidad y la habilidad de los
proveedores antes de contratar sus servicios, así como un continuo seguimiento y revisión
de las capacidades de los proveedores después del compromiso. El cumplimiento de los
requisitos/buenas prácticas en las normas pertinentes es un medio útil para determinar la
APNB/ISO/IEC 27031
23
capacidad de los proveedores, por ejemplo, la adopción de las mejores prácticas de la
Norma ISO/ IEC 24762 por parte de los proveedores que realizan “hosting”/gestión de las
instalaciones alternas de procesamiento y proporcionar servicios de recuperación de
desastres TIC.
7.3 Respuesta a Incidentes
Para cualquier incidente TIC debe haber una respuesta para:
a) Confirmar la naturaleza y el alcance del incidente;
b) Tomar el control de la situación;
c) Contener el incidente; y
d) Comunicarse con las partes interesadas.
La respuesta a incidentes debe iniciar una acción ATCN apropiada. Esta respuesta debe
integrarse con la respuesta general de incidentes BCM, y puede invocar a un equipo de
gestión de incidentes o, en una organización pequeña, a un solo individuo con la
responsabilidad de la gestión de incidentes y continuidad del negocio.
Una organización más grande puede usar un enfoque gradual y podrá establecer diferentes
equipos para que se centren en diferentes funciones. Dentro de las TIC, esto puede basarse
en cuestiones técnicas o de servicios.
Los responsables de la gestión de incidentes deben tener planes para la activación,
operación, coordinación y comunicación de la respuesta al incidente
7.4 Documentos del Plan ATCN
7.4.1 Generalidades
La organización debe contar con documentación (planes) para gestionar una posible
interrupción y así permitir la continuidad de los servicios TIC y la recuperación de las
actividades críticas.
La gestión de incidentes TIC, la continuidad del negocio y los planes de recuperación
técnica de la organización pueden ser activados rápidamente en una secuencia o
simultáneamente.
La organización puede desarrollar documentos específicos del plan para recuperar o
reanudar los servicios TIC a un estado "normal" (planes de recuperación). Sin embargo,
podría no ser posible definir lo que parece ser "normal" hasta algún tiempo después del
incidente, por lo que tal vez no sea posible poner en práctica de forma inmediata los planes
de recuperación. Por lo tanto, la organización debe asegurarse que los acuerdos de
continuidad sean capaces de mantener un funcionamiento prolongado apoyando la
continuidad general del negocio, dando tiempo para el desarrollo de los planes de
recuperación ("volver a la normalidad").
APNB/ISO/IEC 27031
24
7.4.2 Contenido de los Documentos del Plan
Una organización pequeña puede tener un único documento de plan que abarca toda la
actividad de recuperación de los servicios TIC de todas sus operaciones. Una organización
muy grande puede tener muchos planes documentados, cada uno de ellos especificando en
detalle la recuperación de un elemento en particular de sus servicios TIC.
Los planes de respuesta y recuperación de las TIC deben ser concisos y accesibles a las
personas con responsabilidades definidas en los mismos. Los planes deben contener los
siguientes elementos:
a) Finalidad y alcance
La finalidad y el alcance de cada plan específico deben ser definidos, acordados por la alta
dirección, y comprendidos por aquellos que invocarán el plan. Debe ser claramente
referenciada cualquier relación con otros planes o documentos pertinentes dentro de la
organización, en particular a los planes BC, y debe describirse el método de obtención y el
acceso a los mismos.
Cada plan de gestión, de respuesta y recuperación de incidentes TIC debe establecer
objetivos priorizados en términos de:
i) los servicios TIC críticos a ser recuperados;
ii) los plazos en los que se recuperarán;
iii) los niveles de recuperación necesarios para cada actividad de servicios críticos de las
TIC; y
iv) la situación en la que puede ser invocado cada plan.
Los planes también pueden contener, cuando amerita, los procedimientos y listas de control
que apoyan el proceso de revisión posterior al incidente.
b) Roles y responsabilidades
Las roles y responsabilidades de las personas y los equipos que tienen autoridad (tanto en
términos de toma de decisiones como en definición de recursos) durante y después de un
incidente deben estar claramente documentados.
c) Invocación del plan
NOTA Invariablemente, el tiempo perdido durante la respuesta no puede ser recuperado. Casi siempre es mejor iniciar una respuesta TIC y suspenderla posteriormente, a perder una oportunidad para contener un incidente de forma temprana y prevenir el escalonamiento.
Por lo tanto, las organizaciones necesitan utilizar los protocolos de escalamiento e
invocación de gestión de incidentes, contenidos dentro de los planes generales de
continuidad de negocio para definir las bases para la gestión de potenciales interrupciones
de servicios relacionados con las TIC.
El método mediante el cual una respuesta TIC y el plan de recuperación se invocan debe
estar claramente documentado. Este proceso debe permitir que los planes o partes
APNB/ISO/IEC 27031
25
pertinentes sean invocados en el menor tiempo posible, ya sea antes de un evento
potencialmente perjudicial o inmediatamente después de la ocurrencia del evento.
El plan debe incluir una descripción clara y precisa de:
i) la manera de movilizar a la persona o equipo asignado;
ii) los puntos de encuentro inmediato;
iii) los siguientes lugares de encuentro del equipo y detalles de cualquier lugar de
encuentro alternativo (en una organización más grande estos lugares de encuentro
pueden ser referidos como centros de mando); y
iv) las circunstancias bajo las cuales la organización considera que una respuesta ATCN
no es necesaria (por ejemplo, faltas e interrupciones menores, tal vez para los servicios
críticos de las TIC, tal vez sobre servicios TIC críticos, pero que son administrados por
mesa de ayuda normal y acuerdos y arreglos de apoyo).
La organización debe documentar un proceso claro para la disolución del equipo de
respuesta TIC una vez que el incidente fue solucionado y para volver a la normalidad.
d) Propietario y encargado del mantenimiento de la documentación del plan de respuesta
y recuperación de las TIC.
La gerencia debe designar un propietario para el plan de respuesta y recuperación de las
TIC, haciéndolo responsable de la revisión y actualización regular de la documentación.
Se debe emplear un sistema de control de versiones y los cambios deben ser formalmente
notificados a todas las partes interesadas manteniendo un registro formal de distribución del
documento del plan de continuidad.
e) Datos de contacto
NOTA Los registros de contactos pueden incluir datos de contacto “fuera de hora”. Sin embargo, cuando los planes se refieren a dichos datos privados, el respeto a la privacidad de la información tiene que ser una consideración primordial.
Cuando es apropiado, cada documento del plan debe contener o proporcionar una
referencia a los datos de contacto esenciales para todas las partes interesadas.
7.4.3 Documentación del Plan de Respuesta y Recuperación de las TIC
La documentación del Plan de Respuesta y Recuperación de las TIC debe:
a) Ser flexible, viable y apropiado;
b) Ser fácil de leer y entender; y
c) Proporcionar las bases para la gestión de los problemas que son considerados graves
por la organización como para merecer una respuesta ATCN (por lo general después
de una interrupción significativa de eventos).
APNB/ISO/IEC 27031
26
La documentación debe definir el marco general dentro del cual los planes de recuperación
se organizan, incluyendo:
a) La estrategia global;
b) Los servicios críticos (con RTO / RPO);
c) Los plazos para la recuperación y
d) Los equipos de recuperación y sus responsabilidades.
Los planes deben ser documentados de tal manera que el personal competente pueda
utilizarlos en caso de un incidente. Los planes deben incluir:
a) Objetivos: una breve descripción de los objetivos de los planes;
b) Alcance: abarca los siguientes, con referencia a los resultados de la BIA:
i) la criticidad de los servicios: descripción de los servicios correspondientes y la
identificación de su criticidad;
ii) la tecnología: panorama de la principal tecnología que soporta los servicios, inclusive en
lo que se encuentra;
iii) la organización: visión general de las organizaciones (departamentos, personas vitales
y procedimientos) que manejan la tecnología; y
iv) documentación: visión general de la documentación principal de la tecnología,
incluyendo los lugares (fuera de las instalaciones) donde se almacena.
c) Requisitos de disponibilidad: requisitos definidos por el negocio para la disponibilidad de
servicios y tecnologías afines;
d) Requisitos de seguridad de la información: requisitos para la seguridad de la
información de los servicios, sistemas y datos, incluyendo confidencialidad, integridad y
disponibilidad de los requisitos;
e) Los procedimientos de recuperación de la tecnología: descripción de los procedimientos
a seguir para recuperar el servicio de las TIC, incluyendo:
i) una lista de actividades, por ejemplo, de soporte de escritorio y restauración de
información de contacto;
ii) una lista de actividades para recuperar la red, sistemas, aplicaciones, bases de datos,
etc, a un nivel acordado en una ubicación alternativa, teniendo en cuenta los cambios
del entorno (por ejemplo, esto podría afectar la capacidad de la línea, comunicaciones
sistema a sistema, etc.);
iii) una lista de actividades para restaurar la funcionalidad básica, como la seguridad,
enrutamiento y registros;
APNB/ISO/IEC 27031
27
iv) coordinación en la aplicación o entre aplicaciones, la sincronización de datos, y los
potenciales procedimientos automatizados para el manejo de una cartera de pedidos de
información;
v) el proceso necesario para restaurar los servicios TIC y proporcionarlos a sus usuarios
para operar en modo de recuperación;
vi) los procedimientos de respaldo; y
vii) cuando y cómo la gente puede obtener más información, instrucciones, etc., por
ejemplo, números de línea telefónica, y pasos a seguir para volver a la normalidad.
f) Apéndices
i) inventario de los sistemas de información, aplicaciones y bases de datos;
ii) descripción de la infraestructura de red y nombres de los servidores;
iii) el inventario de hardware y software de sistemas, y
iv) los contratos y acuerdos de nivel de servicio.
g) Proveedores clave de TIC
i) empresas como proveedores habituales; y
ii) los proveedores de servicio de recuperación.
7.5 Conocimiento, competencias y formación
Se debe implementar un programa coordinado para asegurar que los procesos están en
marcha para promover una conciencia ATCN en general, así como evaluar y mejorar la
competencia de todo el personal pertinente clave para la implementación exitosa de ATCN
(7.2.1).
7.6 Control de Documentos
7.6.1 Control de los registros ATCN
Los controles deben ser establecidos sobre los registros ATCN con el fin de:
a) Asegurarse de que sean legibles, fácilmente identificables y recuperables; y
b) Prever su conservación, protección y recuperación.
7.6.2 Control de la documentación ATCN
Los controles deben ser establecidos sobre la documentación ATCN para asegurar que:
a) Los documentos han sido aprobados para su adecuación antes de su emisión;
b) Los documentos son revisados y actualizados como sea necesario y reaprobados;
APNB/ISO/IEC 27031
28
c) Los cambios y el estado actual de revisión de los documentos se identifican;
d) Las versiones pertinentes de los documentos aplicables están disponibles en los puntos
de uso;
e) Los documentos de origen externo se identifican y se controla su distribución, y
f) El uso no intencionado de documentos obsoletos se evita, y dichos documentos se
identifican de manera adecuada si es que se mantienen por cualquier razón.
8 HACER SEGUIMIENTO Y REVISIÓN
8.1 Mantener ATCN
8.1.1 Generalidades
Con el cambio viene el riesgo, no sólo el riesgo de fracaso, sino también el riesgo de
desestabilizar las políticas y estrategias existentes. Las estrategias ATCN, por lo tanto,
deben ser flexibles y adaptables.
Cualquier cambio en los servicios TIC que pueda afectar la capacidad ATCN debe aplicarse
sólo después que las implicaciones en la continuidad del negocio en lo relativo al cambio
hayan sido evaluadas y resueltas.
Para asegurarse de que las estrategias y planes de ATCN continúan siendo adecuados
para la organización:
a) La alta dirección debe asegurarse que las estrategias ATCN sigan apoyando los
requisitos de la BCM de la organización;
b) El proceso de gestión del cambio debe incluir todos los responsables de las estrategias
ATCN, tanto en su planificación como ejecución;
c) El proceso de desarrollo de nuevos servicios de las TIC debe incluir una firma que
garantice que la resistencia no ha sido comprometida ni por la más simple de las
actualizaciones o mejoras;
d) La debida diligencia en fusiones y adquisiciones deben incluir una evaluación de la
capacidad de recuperación; y
e) El desmantelamiento de los componentes de las TIC debe reflejarse en el sistema de
gestión relacionado con ATCN.
8.1.2 Seguimiento, detección y análisis de las amenazas
La organización debe establecer un proceso para monitorizar y detectar de forma continua
la aparición de amenazas a la seguridad de las TIC, incluyendo, pero no limitado a, las
siguientes áreas:
a) La retención del personal, habilidades y conocimientos;
APNB/ISO/IEC 27031
29
b) La gestión de instalaciones para albergar los equipos de las TIC (por ejemplo, mediante
el control del número y la naturaleza de incidentes/vulnerabilidades relacionados con las
salas de informática);
c) Cambios en el apoyo a la tecnología, instalaciones, equipos y redes;
d) Los cambios en las aplicaciones de información y bases de datos;
e) Las finanzas o asignación presupuestaria; y
f) La eficacia de los servicios externos y proveedores (suministros).
8.1.3 Prueba y ejercicio
8.1.3.1 Generalidades
La organización debe ejercitar no sólo los servicios TIC, sino también su protección y
elementos de resistencia para determinar si:
a) El servicio puede ser protegido, mantenido y / o recuperado, independientemente de la
gravedad de incidentes;
b) Los mecanismos de gestión ATCN pueden minimizar el impacto en el negocio, y
c) Los procedimientos para el retorno a la normalidad son válidos.
8.1.3.2 Programa de prueba y ejercicio
En la mayoría de los casos, el conjunto de elementos y procesos de ATCN, incluida la
recuperación de las TIC, no puede ser probado en una única prueba y un único ejercicio. Un
régimen de ejercicio progresivo por lo tanto, podría ser apropiado para la construcción de
una simulación completa de un incidente real. El programa debe incluir distintos niveles de
ejercicio desde familiarización hasta resistencia de la sala de computación, tal como se
define en la figura 5, y deben considerar todos los aspectos de la prestación de servicios de
las TIC de punta-a-punta.
Existen riesgos asociados con las pruebas y ejercicios y actividades y no se debe exponer a
la organización a un nivel inaceptable de riesgo. El programa de pruebas y el ejercicio debe
definir cómo el riesgo de que el ejercicio individual es dirigido. La dirección del cierre de
sesión de del programa debe ser obtenida y una explicación clara de los riesgos asociados
documentado.
Los objetivos del programa de prueba y el ejercicio deben ajustarse plenamente al ámbito
de gestión empresarial en general y los objetivos de continuidad y complementarias a un
programa más amplio de la organización. Cada prueba y ejercicio debe tener dos objetivos
de la empresa (incluso cuando no hay participación directa de las empresas) y define los
objetivos técnicos para probar o validar un elemento específico de la estrategia de ATCN.
El ejercicio de los distintos elementos de forma aislada a nivel de componentes es
complementario a los sistemas de ejercicio pleno y debe mantenerse como parte de una
prueba en curso y programa de ejercicios.
APNB/ISO/IEC 27031
30
El programa de pruebas y el ejercicio debe definir la frecuencia, alcance y formato de cada
ejercicio. Los siguientes son ejemplos de alto nivel de los ámbitos de ejercicio:
a) La recuperación de datos: recuperación de un único archivo o base de datos después
de la corrupción;
b) La recuperación de un único servidor (incluyendo una reconstrucción completa);
c) La recuperación de la solicitud (que puede consistir en varios servidores, sub-
aplicaciones e infraestructura;
d) Recuperación de fallos de los servicios alojados en una plataforma de alta
disponibilidad (por ejemplo, la agrupación: la simulación de la pérdida de cualquier
miembro de un cluster - véase el Anexo B);
e) La recuperación de datos desde la cinta (la recuperación de archivos individuales o una
serie de archivos de almacenamiento de cintas fuera del sitio);
f) De la red de pruebas; y
g) Las pruebas de la infraestructura de comunicaciones de conmutación por error.
Los ejercicios deben ser progresivos para incluir una prueba creciente de las dependencias
y las interrelaciones y las comunidades usuarias pertinentes.
8.1.3.3 El alcance de los ejercicios
El ejercicio debe llevarse a cabo para:
a) Fomentar la confianza en toda la organización de que la estrategia de resistencia y
recuperación cumplirá los requerimientos del negocio;
b) Demostrar que los servicios TIC críticos pueden ser mantenidos y recuperados dentro
de los niveles de servicio acordados o dentro de los objetivos de recuperación,
independientemente del incidente;
c) Demostrar que los servicios TIC críticos pueden se restaurados al estado previo a la
prueba en el caso de un incidente en la ubicación de recuperación;
d) Brindar al personal la oportunidad de familiarizarse con el proceso de recuperación;
e) Capacitar al personal y asegurar que tengan un conocimiento adecuado de los planes y
procedimientos ATCN;
f) Comprobar que la ATCN permanece sincronizado con la infraestructura TIC y la
infraestructura general;
g) Identificar las mejoras que se requieren para la estrategia ATCN, la arquitectura o los
procesos de recuperación; y
h) Proporcionar evidencia para los propósitos de auditoría y demostrar la competencia de
los servicios TIC de la organización.
APNB/ISO/IEC 27031
31
El ejercicio debe aplicarse a todo el entorno de las TIC y a todos los componentes que
prestan el servicio de punta a punta desde la sala de informática hasta escritorio del usuario
o cualquier otro canal de prestación de servicios.
8.1.3.4 Elementos de la recuperación del servicio
La organización debe ejercer todos los elementos del servicio de recuperación de las TIC
como corresponda a su tamaño y, complejidad y continuidad del ámbito de gestión
empresarial en general. El ejercicio no debe centrarse únicamente en el servicio de
recuperación y reanudación, sino que debe incluir la fiabilidad de la capacidad de
resistencia, sistema de monitoreo y gestión de alertas.
La organización debe ejercer a nivel de componente a través de la prueba completa del
sistema de localización con el fin de alcanzar altos niveles de confianza y capacidad de
recuperación.
Los siguientes elementos deben ser ejercidos:
a) La sala de computadoras, tales como la seguridad física; sistemas de detención de
fuego y fuga de agua; proceso de evacuación; calefacción, ventilación y aire
acondicionado, vigilancia del medio ambiente, y los protocolos de alerta y servicios
eléctricos;
b) Infraestructura, incluyendo la resistencia general de la conectividad de la red; la
diversidad de la red; y seguridad de la red; incluida la protección anti-virus y prevención
y detención de intrusos;
c) Hardware, incluyendo servidores, equipos de telecomunicaciones, sistemas de
almacenamiento y medios extraíbles;
d) Software;
e) Datos;
f) Servicios; y
g) El papel y la respuesta de los proveedores.
APNB/ISO/IEC 27031
32
Figura 6 – Un programa progresivo de prueba y ejercicio
8.1.3.5 Planificación de un ejercicio
Para asegurarse de que un ejercicio no provoque incidentes o socave la capacidad de
servicio, debe ser cuidadosamente planeado para minimizar el riesgo de un incidente
ocurrido como consecuencia directa del ejercicio.
Esta gestión de riesgos deben ser apropiada para el nivel de ejercicio llevando a cabo (es
decir, los elementos de recuperación del servicio). Esto puede incluir:
a) Garantizar que todos los datos se copien inmediatamente antes del ejercicio;
b) La realización de ejercicios en ambientes aislados; y
c) Los ejercicios de programación "fuera de horas" o en momentos de tranquilidad en el
ciclo económico, con el conocimiento de los usuarios finales.
Los ejercicios deben ser realistas, cuidadosamente planeados y acordados con las partes
interesadas, existiendo así un riesgo mínimo de la interrupción de los procesos de negocio.
No deben, sin embargo, llevarse a cabo durante los incidentes.
La escala y complejidad de los ejercicios deben ser apropiados para los objetivos de
recuperación de la organización.
Cada ejercicio debe tener un "mandato", acordado y firmado de antemano por el
patrocinador del ejercicio, que pueden incluir:
a) Descripción;
b) Objetivos;
APNB/ISO/IEC 27031
33
c) Alcance;
d) Supuestos;
e) Restricciones;
f) Riesgos;
g) Criterios de éxito;
h) Recursos;
i) Funciones y responsabilidades;
j) De alto nivel de línea de tiempo / horario;
k) Captura de los datos del ejercicio;
l) Ejercicio / registro de incidentes;
m) Interrogatorio; y
n) Acciones posteriores al ejercicio (seguimiento y presentación).
La planificación de un ejercicio debe permitir a la organización alcanzar los criterios de éxito
identificados.
8.1.3.6 Gestión de un ejercicio
Una clara estructura de mando del ejercicio debe ser desarrollada con las funciones y
responsabilidades asignadas a las personas apropiadas. La estructura de mando de
ejercicio puede incluir:
a) Comandante del ejercicio (participante (s) con el control total de la prueba y el ejercicio);
b) Comunicaciones del ejercicio;
c) La confirmación de que hay suficiente personal disponible para llevar a cabo el ejercicio
con la seguridad;
d) Suficientes observadores o facilitadores para captar los procedimientos de ejercicio y
mantener un registro de temas;
e) Los principales hitos del ejercicio;
f) El fin de los protocolos de ejercicio; y
g) Los protocolos de emergencia para dejar de hacer ejercicio.
El ejercicio debe ser ejecutado a través del comando de ejercicios para asegurarse de que:
a) Los objetivos y los principales hitos que se cumplan;
APNB/ISO/IEC 27031
34
b) Todo el material de ejercicios y actividades tengan el nivel apropiado de
confidencialidad;
c) Los riesgos en curso se supervisan y se atenúan;
d) Todos los visitantes / observadores están autorizados;
e) Que los procesos de el ejercicio son capturados de una manera consistente; y
f) Todos los participantes son interrogados y cotejan información.
8.1.3.7 Revisión, reporte y seguimiento
Al final de un ejercicio sus resultados deben ser revisados y seguidos de inmediato. Esto
debe incluir:
a) La recopilación de los resultados y conclusiones;
b) El análisis de los resultados y conclusiones con los objetivos del ejercicio y los criterios
de éxito;
c) La identificación de posibles brechas;
d) La asignación de puntos de acción con plazos definidos;
e) La creación de un informe de ejercicio para su ponderación oficial por el patrocinador
del ejercicio; y
f) La consolidación y seguimiento de los reportes del ejercicio.
8.2 Auditoría Interna de ATCN
El plan de auditoría interna de ATCN debe definir y documentar los criterios de auditoría, el
alcance, método y la frecuencia (por ejemplo, la auditoría interna de ATCN llevada a cabo
anualmente). El plan de auditoría debe garantizar que sólo los auditores calificados internos
son designados para la auditoría. La selección de auditores y la realización de la auditoría
deben asegurar la objetividad e imparcialidad del proceso de auditoría. Auditores que llevan
a cabo la auditoría interna de ATCN deben ser competentes para llevar a cabo la tarea. Por
ejemplo, los auditores deben asistir a la formación de auditores pertinentes a fin de adquirir
las habilidades y conocimientos necesarios para llevar a cabo la auditoría.
Un procedimiento debe ser establecido para asegurar que las deficiencias detectadas en las
auditorías internas de ATCN se rectifican.
El plan de auditoría también debe incluir las partes externas. Por ejemplo, los proveedores
externos deben ser auditados por su capacidad para apoyar las estrategias ATCN de la
organización y los planes durante las operaciones diarias y respuesta y la recuperación del
desastre.
Una auditoría interna debe llevarse a cabo cuando hay cambios significativos en los
servicios fundamentales de las TIC, requisitos de continuidad del negocio (como los
relevantes para el alcance ATCN), o los requisitos ATCN.
APNB/ISO/IEC 27031
35
Los resultados de la auditoría interna de ATCN deben ser registrados y reportados. La
dirección debe revisar los resultados de las auditorías internas de ATCN y el estado de
seguimiento de acciones correctivas.
8.3 Revisión por la Dirección
8.3.1 Generalidades
La alta dirección debe asegurar que el sistema de gestión de ATCN se revisa a intervalos
planificados. Esta revisión puede abarcar la entrada de auditorías internas o externas, o las
autoevaluaciones. La revisión debe incluir la evaluación de oportunidades de mejora y la
necesidad de cambios en la gestión de ATCN, incluyendo la política objetivos de ATCN los
objetivos.
Además, la alta dirección debe revisar anualmente la firma de los requisitos ATCN,
incluyendo la definición de servicios de TIC, la lista documentada de los servicios
fundamentales de las TIC y los riesgos asociados a las deficiencias detectadas entre crítico
de las TIC la capacidad de preparación fundamental de las TIC y los requisitos de
continuidad del negocio.
Los resultados de la revisión deben estar claramente documentados y los registros deben
mantenerse.
8.3.2 Entradas para la revisión
La entrada para una revisión por la dirección debe incluir información sobre:
a) Niveles de servicios internos;
b) Capacidad de los proveedores externos de servicios para mantener los niveles
adecuados de servicio;
c) Resultados de las auditorías pertinentes;
d) Comentarios (feedback) de las partes interesadas, incluidas las observaciones
independientes;
e) Estado de las acciones preventivas y correctivas;
f) Nivel de riesgo residual y riesgo aceptable;
g) Acciones de seguimiento de revisiones anteriores y recomendaciones;
h) Lecciones aprendidas de las pruebas y ejercicios, los incidentes y el programa de
educación y sensibilización; y
i) Guías y buenas prácticas emergentes.
8.3.3 Salidas de la revisión
La salida de la revisión debe ser respaldada por la alta dirección e incluir:
a) Cambios en el alcance del sistema de gestión ATCN;
APNB/ISO/IEC 27031
36
b) Mejoras a la eficacia del sistema de gestión ATCN;
c) Requisitos de ATCN revisados, incluyendo definiciones de servicios TIC, lista
documentada de los servicios TIC críticos y riesgos asociados a las brechas detectadas
entre la capacidad de Preparación crítica de las TIC y los requisitos de continuidad del
negocio;
d) Modificación de la estrategia de ATCN y procedimientos, según sea necesario, para
responder a eventos internos y externos que podrían tener un impacto en los servicios
TIC, incluyendo cambios en:
i) los requisitos del negocio;
ii) los requisitos de resistencia; y
iii) los niveles de riesgo y niveles de aceptación del riesgo.
e) Las necesidades de recursos; y
f) Requerimientos de fondos y presupuesto.
8.4 Medición de los Criterios de preparación del rendimiento de las TIC
8.4.1 Seguimiento y medición de la preparación para las TIC
La organización debe controlar y medir su preparación para las TIC a través de la aplicación
del proceso de medición de los criterios de preparación del rendimiento de las TIC (6.7).
8.4.2 Criterios de Desempeño cuantitativos y cualitativos
Los criterios de desempeño para ATCN pueden ser cualitativos o cuantitativos. Los criterios
cuantitativos pueden incluir:
a) El número de incidentes que no han sido detectados antes de la interrupción durante un
determinado período de tiempo (esto puede proporcionar una indicación de la integridad
de los mecanismos de detección y alerta);
b) El tiempo de detección de incidentes;
c) El número de incidentes que no pueden ser contenidos efectivamente para reducir el
impacto;
d) La disponibilidad de fuentes de datos para indicar la emergencia de los incidentes a
través del seguimiento de las tendencias de los acontecimientos; y
e) El tiempo de reacción y respuesta a incidentes emergentes detectados.
Cuando se utilizan los criterios cualitativos para determinar el rendimiento de la ATCN los
mismos son subjetivos, pero generalmente requieren de menos recursos en el proceso de
medición (lo que puede ser apropiado para una organización pequeña o mediana que está
sujeta a la restricción de recursos). Se puede incluir la determinación de la eficiencia de los
procesos utilizados en la planificación, preparación y ejecución de las actividades de ATCN
y se puede medir a través de:
APNB/ISO/IEC 27031
37
a) La encuesta con cuestionario estructurado o no;
b) Retroalimentación de los participantes e interesados;
c) Realización de talleres de retroalimentación, y
d) Otra reunión del grupo enfocada.
9 MEJORA ATCN
9.1 Mejora continua
La organización ATCN debe mejorar continuamente mediante la aplicación de acciones
preventivas y correctivas que sean adecuadas a los potenciales impactos determinados por
el análisis de la organización empresarial de impacto (BIA) y su apetito de riesgo.
9.2 Acciones correctivas
La organización debe tomar las acciones correctivas para cualquier falla existente de los
servicios TIC y de los elementos de la ATCN. El procedimiento documentado para la acción
correctiva debe definir requisitos para:
a) Identificar las fallas;
b) Identificar las causas de las fallas;
c) Evaluar la necesidad de adoptar medidas para asegurar que las no conformidades no
se repitan;
d) Determinar e implementar las acciones correctivas necesarias;
e) Registrar los resultados de las acciones adoptadas; y
f) Revisar la acción correctiva tomada.
9.3 Acciones preventivas
La organización debe identificar las posibles debilidades en los elementos de ATCN y
establecer un procedimiento documentado para:
a) Identificar posibles fallas;
b) Identificar las causas de las fallas;
c) Determinar e implementar las acciones preventivas necesarias; y
d) Registrar y revisar los resultados de la acción tomada.
APNB/ISO/IEC 27031
38
Anexo A (Informativo)
ATCN e hitos durante una interrupción
La figura A.1 ilustra cómo los elementos ATCN apoyan los hitos clave durante una
interrupción importante. Los eventos y los hitos ocurren a lo largo de una línea de tiempo a
partir de la Hora Cero, cuando ocurre la interrupción/desastre de un servicio TIC. Un
ejemplo de una situación de desastre es la que surge de un ataque de intrusión
(comúnmente llamado "hacking") dirigido al sistema TIC crítico de la organización.
El Objetivo de Punto de Recuperación (RPO) se refiere a la cantidad de datos
irrecuperables que se han perdido debido a la interrupción. Esto se representa en la línea de
tiempo como la cantidad de tiempo entre la última buena copia de seguridad realizada y el
momento en el cual se produce la interrupción. El RPO varía en función de la estrategia de
recuperación de servicios TIC empleada, sobre todo en la disposición de la copia de
seguridad.
En la Hora Cero, el sistema TIC crítico fue invadido por piratas informáticos y los servicios
fueron derribados. El primer hito que se produce después de la interrupción de servicios TIC
es la detección directa de los incidentes de seguridad (es decir, el evento de intrusión) o la
detección indirecta de la pérdida de servicio (o degradación), para lo cual habrá pasado un
tiempo antes de la notificación; por ejemplo, en algunos casos la notificación puede llegar a
través de una llamada telefónica de un usuario a la mesa de ayuda de TI.
Podría transcurrir más tiempo mientras que la interrupción de los servicios TIC se investiga,
analiza y comunica y se toma la decisión de invocar la ATCN. Se puede tardar varias horas
desde el inicio de la interrupción del servicio TIC hasta que se toma la decisión de invocar al
ATCN una vez que la comunicación y el tiempo de la toma de decisiones son tomados en
cuenta. La decisión de la invocación puede requerir una cuidadosa consideración en
algunas situaciones, por ejemplo, cuando el servicio no se ha perdido totalmente o parece
haber una perspectiva sólida de recuperación del servicio inminente, porque invocar ATCN
suele afectar a las operaciones comerciales normales.
Una vez que se invoca, la recuperación del servicio de las TIC puede comenzar. Esto se
puede dividir en recuperación de la infraestructura (red, hardware, sistema operativo,
software de backup, etc.) y recuperación de aplicaciones (bases de datos, aplicaciones,
proceso por lotes, interfaces, etc.) (Refiérase a la Norma ISO/IEC 24762 para más
información).
Una vez que los servicios de TIC se han recuperado y las pruebas del sistema se han
llevado a cabo por personal de TIC, el servicio puede hacerse disponible para la prueba de
aceptación del usuario antes de que se libere al personal para su uso en las operaciones de
continuidad del negocio.
Desde una perspectiva de continuidad del negocio hay un Objetivo de Tiempo de
Recuperación (RTO) por producto, servicio o actividad y este RTO comienza desde el
momento en que la interrupción se produce y se prolongará hasta que el producto, servicio
o actividad se recupere, pero podría haber una serie de servicios de TIC necesarios para
que éste y cada uno de estos servicios TIC puedan abarcar una serie de sistemas y
aplicaciones TIC. Cada uno de estos componentes de sistemas o aplicaciones de las TIC
tendrá su propia RTO como un subconjunto de un RTO de un servicio TIC de punta-a-punta
y debe ser menor que el RTO de la continuidad del negocio, teniendo en cuenta el tiempo
de detección y toma de decisiones y el tiempo de la prueba de aceptación del usuario (a
APNB/ISO/IEC 27031
39
menos que el producto, servicio o actividad de la continuidad del negocio pueda ser
soportado sin las TIC durante un período, por ejemplo, utilizando procedimientos manuales).
Los servicios TIC recuperados típicamente operan durante un período de tiempo
soportando las actividades de la continuidad del negocio y si este es un período extenso los
servicios TIC recuperados podrían necesitar ser escalados para soportar un volumen
creciente de actividad, potencialmente al punto en el cual el producto, servicio o actividad es
totalmente recuperado a volúmenes normales de transacción.
Posteriormente, en algún momento a lo largo de la línea de tiempo, la restauración será
posible y deseable y las operaciones DR serán llevadas de vuelta a operaciones “normales".
El retorno a operaciones "normales" puede ser al estado o ambiente original previo a la
interrupción, o a un nuevo estado de operación (en especial cuando una interrupción
desastrosa ha obligado a un cambio permanente en el negocio).
Si bien el personal de las TIC tiene la oportunidad de planificar cuidadosamente la
restauración y programarla para que se lleve a cabo durante un período natural de baja
actividad, esto es una tarea importante en sí misma.
Las flechas en la parte superior del diagrama indican cómo los principios de ATCN
detallados en la norma ISO/IEC 27031 se alinean con la línea de tiempo de interrupción.
Figura A.1 – ATCN e hitos durante una interrupción
APNB/ISO/IEC 27031
40
Anexo B (Informativo)
Sistema integrado de alta disponibilidad
En tecnologías de la información y la comunicación, "alta disponibilidad" se refiere a los
sistemas o componentes que se encuentran en continua operación durante un largo
período de tiempo deseable. La disponibilidad se puede medir en relación a "100%
operativo "o" que no nunca falla". Hay una norma ampliamente difundida, pero difícil de
conseguir, de la disponibilidad de un sistema o producto que se conoce como "cinco 9s"
(99,999 por ciento) de disponibilidad.
Un sistema informático o una red se compone de muchos componentes, que en general
tienen que estar presentes y funcionales para que el conjunto sea operativo, y si bien la
planificación de la alta disponibilidad frecuentemente se centra en los respaldos y el
procesamiento de fallos y en el almacenamiento y el acceso a los datos, otros componentes
de infraestructura tales como energía y enfriamiento son igualmente importantes.
Por ejemplo, la disponibilidad de energía se puede asegurar mediante medidas tales como:
a) Sistema de Alimentación Ininterrumpida (UPS, por su sigla en inglés);
b) Capacidad de generación de energía de emergencia, y
c) Dos fuentes de poder de una rejilla.
El respaldo de seguridad de datos y la disponibilidad pueden ser alcanzados usando una
variedad de tecnologías de almacenamiento, tales como conjunto redundante de discos
independientes (RAID), almacenamiento en red (SAN), etc.
La disponibilidad de las aplicaciones también debe tenerse en cuenta y se realiza
generalmente a través de agrupaciones.
Estas tecnologías sólo pueden ser realmente eficaces en la entrega de una alta
disponibilidad mediante la implementación concurrente en más de un lugar. Por ejemplo,
teniendo simplemente un servidor “de fallos” (servidor que replica el principal) en el mismo
lugar que el servidor principal o "de producción" no va a proporcionar los niveles necesarios
de resistencia si ese sitio se ve afectado por una interrupción grave. Ambos servidores se
verán afectados por la misma interrupción. Los servidores “de fallos” y otras tecnologías de
soporte tendrán que estar situados en otro lugar para que puedan alcanzarse los niveles
requeridos de disponibilidad.
Para muchas organizaciones el costo y el esfuerzo necesarios para alcanzar esos niveles
de alta disponibilidad puede ser de enormes proporciones y en los últimos años ha habido
un enorme crecimiento en el uso de los proveedores externos de servicios que son capaces
de ofrecer los conocimientos, recursos y tecnologías de resistencia a un precio asequible ya
sea a través de la prestación de servicios gestionados o de cloud services (aplicaciones
virtuales integradas).
Sin embargo, debe recordarse que mientras que la alta disponibilidad es una vía eficaz para
la resistencia mejorada, la posibilidad de fallo se mantiene. Por lo tanto, es vital que los
procesos y procedimientos DR bien planificados y probados estén en su lugar.
APNB/ISO/IEC 27031
41
Anexo C (Informativo)
Evaluación de escenarios de falla
C.1 GENERALIDADES
Existe una gama de posibilidades técnicas de gestión de riesgos que puede ayudar en la
evaluación de la Preparación de las TIC para la BC y en el desarrollo de un marco
apropiado para el continuo desarrollo y mejora de la capacidad de recuperación de las TIC.
La intención de la Norma ISO 31010-2009 "Gestión de Riesgos - Técnicas de evaluación de
riesgos" es reflejar las buenas prácticas en la selección y utilización de técnicas de
evaluación de riesgos. Se debe hacer referencia a esta Norma para determinar cuál es la
técnica más apropiada para ser utilizada dentro de una organización.
La evaluación de escenarios de fallos es una técnica que puede ser beneficiosa en la
mejora de la eficacia de la ATCN y este anexo proporciona información adicional sobre
cómo puede ser implementado.
C.2 METODOLOGÍA DE EVALUACIÓN
Los problemas de riesgo desconocidos pueden surgir entre las evaluaciones, como
resultado de los cambios internos y externos en el entorno de la organización, que pueden
dificultar la continuidad del negocio y la resistencia. El propósito de la evaluación de
escenarios de fallo consiste en identificar indicadores adecuados de eventos y asegurar que
los planes ATCN son capaces de detectar un riesgo emergente y que son capaces de
preparar a la organización para garantizar la toma de medidas adecuadas antes de que el
fallo ocurra.
Una serie de metodologías específicas se encuentran disponibles para tal fin, incluyendo el
Análisis del Efecto del Modo de Fallos (FMEA, por su sigla en inglés) y el Análisis del
Impacto del Fallo de Componente (CFIA, por su sigla en inglés). Para fines demostrativos,
este anexo tiene en cuenta la metodología específica FMEA aunque una organización debe
seleccionar una metodología apropiada para su ambiente y el marco de trabajo.
Análisis del Efecto del Modo de Fallos (FMEA) es un proceso para identificar y analizar los
modos de falla potenciales de un sistema para la clasificación de la gravedad o la
determinación de los fallos que afectan al sistema. En el contexto de esta norma, el FMEA
se puede aplicar para determinar los indicadores de eventos críticos que deben ser
monitorizados para detectar los modos de falla potencialmente graves en el sistema TIC de
la organización. El proceso, basado en un enfoque FMEA, se puede aplicar a cada
componente crítico de los servicios de las TIC como se describe en 6.3.2.
Para cada componente crítico:
a) Identificar el potencial modo de falla;
b) Determinar el potencial impacto sobre el servicio TIC, es decir, la gravedad de cada
modo de fallo, y qué consecuencias podrían resultar de cada una;
APNB/ISO/IEC 27031
42
c) Determinar la frecuencia de ocurrencia de un modo de fallo sobre el cual la organización
cuente con experiencia previa, así como la facilidad de control y detección del modo de
fallo;
d) Identificar los indicadores que pueden proporcionar una señal o información de que el
componente está fallando;
e) Identificar los eventos directos e indirectos que están relacionados, y que cambiarán el
estado de cada indicador;
f) Identificar los controles existentes que impiden el fallo de los componentes críticos, o
que puedan detectar cuando ocurren estos fallos;
g) Identificar las fuentes de datos relacionadas, y los posibles métodos de vigilancia para
detectar cambios en el valor del indicador, categorizar los indicadores de eventos por la
disponibilidad de métodos de control y facilidad de control; y
h) Determinar si la reducción de riesgos o controles adecuados de eliminación se pueden
aplicar para prevenir su ocurrencia.
C.3 EVALUACIÓN DE RESULTADOS
La salida de FMEA incluye una lista de posibles modos de falla y efectos – los eventos
relacionados se pueden utilizar para determinar indicadores de eventos que deben ser
supervisados.
Los Modos de Fallos detectados en el proceso FMEA pueden ser priorizados de acuerdo a
la gravedad, frecuencia de ocurrencia, y facilidad de vigilancia y detección.
Un FMEA también documenta el conocimiento actual y las acciones sobre los riesgos de
fallos, para su uso en continua mejora. Si FMEA se utiliza durante la etapa de diseño con el
objetivo de evitar futuras fallas, se puede utilizar para control de procesos, antes y durante el
funcionamiento del proceso. Idealmente, FMEA comienza durante los primeras etapas
conceptuales del diseño y continúa a lo largo de la vida del producto o servicio.
APNB/ISO/IEC 27031
43
Anexo D (Informativo)
El desarrollo de los criterios de desempeño
Como el desempeño de ATCN difiere de una organización a otra, cada organización debe
desarrollar su criterio de rendimiento ATCN, y mantenerlo como parte del proceso de mejora
continua.
Un enfoque básico es el uso de los escenarios de incidente conocidos y eventos
relacionados para el establecimiento de líneas base de respuesta para cada categoría de
incidentes y eventos relacionados como se muestra a continuación.
a) Como parte de los procesos de SGSI y BCM, los incidentes conocidos y los indicadores
de eventos se han establecido como entrada a los próximos pasos.
b) Dar un conjunto de hechos conocidos (por ejemplo, ataques de intrusión de
contraseñas, falla en el servidor debido a la insuficiencia de espacio del disco duro).
c) Determinar los eventos que conducen a esos incidentes (por ejemplo, intentos de
logueo fallidos, utilización del disco duro).
d) Determinar el tiempo de detección adecuado (por ejemplo, el umbral para los eventos
que se informarán /reportarán al sistema / administrador).
e) Determinar el tiempo de respuesta adecuados (por ejemplo, la línea de tiempo para que
el administrador tome medidas para evitar que un incidente se materialice);
f) Clasificar los eventos en grupos de bloques de tiempo de respuesta deseada y tipos de
acciones de respuesta; los eventos pueden ser clasificados por grupo de riesgo, grupo
de aplicaciones, grupo de acciones de respuesta y grupo de tiempo de respuesta.
g) Perfeccionar las matrices y las mediciones a través de pruebas de simulacro de
escenarios y ejercicios.
h) Llevar a cabo pruebas para determinar si las acciones de respuesta son viables, y si la
meta es alcanzable.
i) Acotar las categorías, el tiempo de espera de eventos de respuesta, y acciones
esperadas de respuestas de eventos (por ejemplo, buscar un método alternativo para
controlar, detectar y actuar).
j) Mejorar mediante la captura de nuevos incidentes y situaciones de error y repetir el
proceso.
APNB/ISO/IEC 27031
44
BIBLIOGRAFÍA
SS 540:2008, Singapore Standard for Business Continuity Management
BS 25999-1:2006, Business continuity management — Part 1: Code of practice
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
ISO/IEC 18043:2006, Information technology — Security techniques — Selection,
deployment and operations of intrusion detection systems
ISO/IEC 20000-1:2005, Information technology — Service management — Part 1:
Specification
ISO/IEC 20000-2:2005, Information technology — Service management — Part 2: Code of
practice
ISO 22301, Societal security — Preparedness and continuity management systems —
Requirements2)
ISO/IEC 24762:2008, Information technology — Security techniques — Guidelines for
information and communications technology disaster recovery services
ISO/IEC 27003, Information technology — Security techniques — Information security
management system implementation guidance
ISO/IEC 27004, Information technology — Security techniques — Information security
management — Measurement
ISO 31010:2009, Risk management — Risk assessment techniques