ISO 27001: La Seguridad de la Información en la Gestión de la Continuidad de Negocio

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: La Seguridad de la Información en la Gestión de la Continuidad de Negocio

ISO 27001: La Seguridad de la Información en la Gestión de la Continuidad de Negocio

ISO 27001

SGSI

La norma ISO 27001 se puede considerar como una gran ayuda para las organizaciones que tienen implantado un Sistema de Gestión de la Continuidad de Negocio, ya facilita la reacción ante la interrupción de las actividades que realiza la organización y protege todos los procesos críticos de negocio de los efectos que pueden causar los desastres o de fallos importantes que se den en los Sistemas de Información de la organización, además de garantizar una reanudación lo más rápida posible.

Se tiene que implementar un procedimiento de Gestión de la Continuidad de Negocio para disminuir los efectos que se generan sobre la empresa y poder recuperarse de pérdidas de activos de información, puede generarse los efectos como resultados de desastres naturales, accidentes, fallos en los equipos y acciones intencionadas, hasta que llegue a un nivel aceptable, ya que se deben combinar los controles preventivos y de recuperación. Dentro de dicho procedimiento se tienen que identificar todos los procesos críticos de negocio y se debe integrar todos los requisitos del Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001.

Las consecuencias que generan los desastres, los fallos de seguridad, las pérdidas de servicio y la disponibilidad de servicio que deben estar sometida al análisis de los efectos empresariales. Además debe desarrollarse e implementarse los planes de continuidad de la organización para garantizar una reanudación rápida y oportuna de la parte integral de todo el proceso general de continuidad del negocio y de otros procesos de gestión dentro la empresa.

Gestionar la Continuidad del Negocio debe incluir todos los controles para poder identificar y reducir todos los posibles riesgos, además de realizar un proceso en el que se genera la evaluación de riesgos, se tienen que limitar las consecuencias que generan los incidentes dañinos y garantizar que la Seguridad de la Información necesaria para realizar todos los procesos empresariales que se encuentren disponibles.

Podemos poner un claro ejemplo sobre el Plan de Continuidad de Negocio podrá ser el siguiente:

Identificar los activos críticos

Debemos identificar respecto a la disponibilidad

Analizar el impacto de interrupción

Dependiendo del tipo de amenazas consideradas en durante el análisis de riegos, podemos tomar estas diferentes opciones:

  • No hacer nada.
  • Finalizar la actividad.
  • Tratar el tipo de riesgo.
  • Procedimiento de continuidad de negocio.

 

El comité de empresa es el que decide los casos en los que se debe llevar a cabo un procedimiento de continuidad de negocio.

Identificar a los responsables

Se tiene que asignar un Responsable de Seguridad en el papel de gestor del proceso y se encarga de coordinar las diferentes actividades relacionadas con la Gestión de la Comunidad del Negocio.

Estimar la estrategia de recuperación

La continuidad de los servicios TI puede conseguirse o mediante medidas preventivas, que evitan que se interrumpa de los servicios o que recuperan los diferentes niveles aceptables del servicio en el menor tiempo posible.

  • Actividades preventivas
  • Actividades de recuperación

 

Definición de recursos para recuperarse

Una vez hayamos determinando el alcance, analizar riesgos y vulnerabilidades, se deben definir una estrategia de prevención y recuperación, siendo necesario asignar y organizar todos los recursos necesarios.

  • Plan de Prevención de Riesgos
  • Plan de Gestión de Emergencias
  • Plan de Recuperación

 

En el Plan de Prevención de Riegos: el objetivo es el de evitar o minimizar el impacto de los desastres que se pueden generar la infraestructura. Entre las medias podemos encontrar:

  • Almacen de datos distribuidos
  • Sistema de Alimentación Eléctrica alternativa
  • Políticas de Backups
  • Duplicar Sistemas Críticos
  • Sistemas de Seguridad pasivos

 

Los incidentes suelen provocar reacciones de pánico entre las personas que conforman la organización, siendo contraproducente para la producción de la empresa e incluso más dañino que el propio incidente. Por lo que es imprescindible, que dicha situación de emergencia, se encuentre determinada mediante los responsables y que se conozcan a la perfección las funciones que debe realizar cada trabajador, siguiendo los protocolos de actuación de cada caso.

Los planes de gestión de emergencias tienen que contar con aspectos tales como:

  • Evaluar el impacto de la contingencia de la infraestructura.
  • Asignar funciones de emergencia al personal de la organización.
  • Comunicar a todos los clientes y usuarios de la interrupción que se puede estar dando y de la degradación del servicio ofrecido.
  • Se debe contar con procedimientos de contacto y colaboración con los terceros que se encuentren involucrados.
  • Deben existir protocolos de actuación que pongan en marcha el plan de recuperación que se corresponda.

 

Cuando se produce una interrupción en el servicio es inevitable, llega el momento de poner en marcha todos los procedimientos, con los que se cuente, de recuperación.

El plan de recuperación debe incluir lo siguiente:

  • Reorganizar al personal involucrado en el incidente.
  • Estableces los sistemas de hardware y software necesarios.
  • Recuperar todos los datos y reiniciar el servicio.

 

Los procedimientos de recuperación dependen de la importancia de las contingencias y de la opción de recuperación con la que se cuente.

Establecer los procedimientos

Tanto los procedimientos de contingencia como los de continuidad de negocio deben encontrarse aprobados por la dirección de la organización.

Dentro de cada procedimiento se debe incluir:

  • Quien es el encargado de iniciar el proceso
  • Las condiciones idóneas para que se inicie el proceso
  • Escalar los accidentes
  • Organizar a los trabajadores
  • Gestionar el incidente
  • Mantener las actividades
  • Establecer las prioridades de recuperación

 

La forma de evitar las diferentes interrupciones que se pueden dar tenemos las siguientes opciones:

  • Contratar servicios de “housing” con el proveedor
  • Asegurar que se restablezca la alimentación eléctrica
  • Revisar todos los sistemas críticos
  • Supervisar la política de blackup
  • Contratar un seguro que cubra todos los desperfectos
  • Supervisar que se cumplan todos los acuerdos que se han contratado con terceras personas

 

Pruebas y revisión de procedimientos

Deben elaborar cada cierto tiempo informes en lo que se incluya toda la información que sea relevante para toda la organización.

Difusión y concienciación

Se debe establecer un calendario periódico en los que se realicen pruebas a los planes de recuperación y otro calendario en los que expongan los cursos de formación sobre todos los protocolos de actuación en situación de emergencia.

Software para ISO 27001

El Software ISO  para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Informació

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...