IBNORCA
ANTEPROYECTO ANTEPROYECTO DE NORMA BOLIVIANA
APNB/ISO/IEC 27031
Tecnología de la información – Técnicas de seguridad – Directrices para la adecuación de las tecnologías de la información y las comunicaciones para la continuidad del negocio 0
INTRODUCCIÓN
Con los años, las tecnologías de la información y las comunicaciones (TIC) se han convertido en parte integral de muchas de las actividades que integran los elementos de las infraestructuras críticas en todos los sectores organizacionales, ya sean públicos, privados o voluntarios. La proliferación de Internet y otros servicios de redes electrónicas, y las capacidades actuales de los sistemas y aplicaciones, también ha implicado que las organizaciones se vuelvan cada vez más dependientes de infraestructuras TIC confiables y seguras. Mientras tanto, la necesidad de una gestión de la continuidad del negocio (GCN), incluida la preparación para incidentes, la planificación de la recuperación de desastres y la gestión y respuesta ante emergencias, ha sido reconocida y apoyada con dominios específicos de conocimiento, experiencia y normas elaboradas y promulgadas en los últimos años, incluyendo la norma internacional sobre GCN desarrollada desarrollada por el ISO/TC 223. NOTA El ISO/TC 223 está en el proceso de desarrollo de una importante norma internacional sobre la gestión de la continuidad del negocio (ISO 22301).
Las fallas de los servicios TIC, incluyendo la aparición de problemas de seguridad como intrusión de sistemas y las infecciones de malware, impactará en la continuidad de las operaciones de negocio. Por lo tanto la gestión de las TIC y la continuidad relacionada, así como otros aspectos de seguridad forman una parte fundamental de las necesidades de continuidad del negocio. Por otra parte, en la mayoría de los casos, las funciones críticas de negocio que requieren la continuidad del negocio suelen ser dependientes de las TIC. Esta dependencia significa significa que las interrupciones a las TIC pueden constituir riesgos riesgos estratégicos para la reputación de la organización organización y su capacidad de operar. La adecuación de las TIC es un componente esencial para muchas organizaciones en la aplicación de la gestión de la continuidad del negocio y la gestión de la seguridad de la información. Como parte de la implementación y operación de un sistema de gestión de la seguridad de la información (SGSI) especificado según ISO/IEC 27001 y el sistema de gestión de la continuidad del negocio (SGCN), respectivamente, es crítico desarrollar e implementar un plan de adecuación para los servicios TIC para ayudar a garantizar la continuidad del negocio. Como resultado, una eficaz GCN depende frecuentemente de la adecuación eficaz de las TIC para garantizar que los objetivos de la organización se siguen alcanzando durante las interrupciones. Esto es particularmente importante ya que las consecuencias de las interrupciones en las TIC a menudo tienen la complicación añadida de ser invisibles o difícil de detectar. Para que una organización organización logre la Adecuación de las TIC para la Continuidad del Negocio (ATCN), es necesario poner en marcha un proceso sistemático para prevenir, predecir y gestionar la interrupción de las TIC y los incidentes que tienen el potencial de interrumpir los servicios TIC. Esto puede lograrse de forma óptima mediante la aplicación del ciclo Planificar-Hacer-Verificar-Actuar (PHVA) como parte de un sistema de gestión de la ATCN. 1
APNB/ISO/IEC 27031
De esta manera la ATCN apoya la GCN, garantizando que los servicios TIC son tan resistentes como apropiados y pueden ser recuperados a los niveles predeterminados dentro de los plazos requeridos y acordados por la organización.
Planificar
Hacer
Establecimiento de la política de ATCN, objetivos, metas, procesos y procedimientos relacionados con el manejo de riesgos y la mejora de la preparación de las TIC para conseguir resultados de acuerdo con las políticas y objetivos globales de continuidad del negocio de la organización Implem,entar u operar la política, controles, procesos y procedimientos de ATCN
Verificar
Evaluar y, cuando sea aplicable, medir el rendimiento del proceso de aplicación aplicación contra la política ATCN, los objetivos y la experiencia práctica, e informar los resultados de la gestión para su revisión
Actuar
Tomar acciones correctivas y preventivas, con base en los resultados de la revisión por la dirección, para lograr la mejora continua del ATCN
Tabla 1 – Ciclo Planificar-Hacer-Verificar-Actuar para la ATCN Si una organización está utilizando utilizando la norma ISO/IEC 27001 para establecer un SGSI, o está utilizando las normas pertinentes para establecer un SGCN, el establecimiento de ATCN debe preferiblemente tener en cuenta los procesos existentes o planificados planificados vinculados con estas normas. Este vínculo puede apoyar el establecimiento de ATCN y también evitar cualquier proceso dual de la organización. La Figura 1 resume la interacción de ATCN y la SGCN. En la planificación y ejecución de ATCN, una organización puede hacer referencia a la Norma ISO/IEC 24762:2008 en su planificación y entrega de servicios de recuperación de desastres de las TIC, independientemente de si los servicios son prestados por un proveedor externo o interno a la organización.
2
APNB/ISO/IEC 27031
De esta manera la ATCN apoya la GCN, garantizando que los servicios TIC son tan resistentes como apropiados y pueden ser recuperados a los niveles predeterminados dentro de los plazos requeridos y acordados por la organización.
Planificar
Hacer
Establecimiento de la política de ATCN, objetivos, metas, procesos y procedimientos relacionados con el manejo de riesgos y la mejora de la preparación de las TIC para conseguir resultados de acuerdo con las políticas y objetivos globales de continuidad del negocio de la organización Implem,entar u operar la política, controles, procesos y procedimientos de ATCN
Verificar
Evaluar y, cuando sea aplicable, medir el rendimiento del proceso de aplicación aplicación contra la política ATCN, los objetivos y la experiencia práctica, e informar los resultados de la gestión para su revisión
Actuar
Tomar acciones correctivas y preventivas, con base en los resultados de la revisión por la dirección, para lograr la mejora continua del ATCN
Tabla 1 – Ciclo Planificar-Hacer-Verificar-Actuar para la ATCN Si una organización está utilizando utilizando la norma ISO/IEC 27001 para establecer un SGSI, o está utilizando las normas pertinentes para establecer un SGCN, el establecimiento de ATCN debe preferiblemente tener en cuenta los procesos existentes o planificados planificados vinculados con estas normas. Este vínculo puede apoyar el establecimiento de ATCN y también evitar cualquier proceso dual de la organización. La Figura 1 resume la interacción de ATCN y la SGCN. En la planificación y ejecución de ATCN, una organización puede hacer referencia a la Norma ISO/IEC 24762:2008 en su planificación y entrega de servicios de recuperación de desastres de las TIC, independientemente de si los servicios son prestados por un proveedor externo o interno a la organización.
2
APNB/ISO/IEC 27031
Figura 1 – Integración de la ATCN y el BCMS 1
OBJETO
Esta Norma Internacional describe los conceptos y principios de la preparación de las tecnologías de la información y las comunicaciones (TIC) para la continuidad del negocio, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos (tales como los criterios de desempeño, diseño e implantación) para la mejora de la preparación de las TIC de una organización organización para garantizar la continuidad continuidad del negocio. Se aplica a cualquier organización (privados, gubernamentales y no gubernamentales, independientemente de su tamaño) desarrollando su programa de adecuación de las TIC para la continuidad del negocio (ATCN, por sus siglas en inglés), y exigiendo que sus servicios e infraestructura TIC estén listos para apoyar las operaciones de negocios en el caso de nuevos eventos e incidentes, y las interrupciones relacionadas, que puedan afectar la continuidad (incluida la seguridad) de las funciones críticas del negocio. También permite a una organización medir los parámetros de desempeño correlacionados con su ATCN de una manera consistente y reconocida. El objeto de esta norma abarca todos los eventos e incidentes (incluidos los relacionados con la seguridad) que podrían tener un impacto en la infraestructura y en los sistemas TIC. Incluye y extiende las prácticas de manejo y gestión de incidentes de seguridad de la información y la planificación planificación de la preparación de las TIC y sus servicios. serv icios.
2
REFERENCIAS NORMATIVAS NORMATIVAS
Los siguientes documentos referenciados son indispensables para la aplicación de esta norma. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias
3
APNB/ISO/IEC 27031
no fechadas, se aplica la última edición del documento referenciado (incluida cualquier corrección). ISO/IEC TR 18044:2004 (1) Tecnología de la información - Técnicas de seguridad – seguridad – Gestión Gestión de incidentes de seguridad de la información ISO/IEC 27000, Tecnología de la información - Técnicas de seguridad – Sistema – Sistema de gestión de la seguridad de la información – información – Visión Visión general y vocabulario ISO/IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistema de gestión de la seguridad de la información – información – Requisitos Requisitos ISO/IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para la gestión de la seguridad de la información ISO/IEC 27005, Tecnología de la información - Técnicas de seguridad - Gestión del riesgo de seguridad de la información
3
TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican los términos y definiciones definiciones que figuran en las normas ISO/IEC TR 18044, ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 y los siguientes.
3.1
Sitio alternativo
ubicación operativa alternativa seleccionada para ser utilizada por una organización cuando las operaciones normales del negocio no pueden llevarse a cabo utilizando la ubicación normal, después de que se ha producido una interrupción
3.2
Gestión de la continuidad del negocio BCM
Proceso de gestión integral que identifica las amenazas potenciales de una organización y los impactos sobre las operaciones del negocio que podrían ocasionar, de materializarse, dichas amenazas, y que proporciona un marco para la construcción de la resistencia organizacional organizacional con la capacidad para una respuesta eficaz que salvaguarde los intereses de sus partes claves interesadas, reputación, marca y actividades generadoras de valor
3.3
Plan de continuidad de negocio BCP
Procedimientos documentados que guían a las organizaciones para responder, recuperar, retomar, y restaurar a un nivel de operación predefinido tras una interrupción NOTA Normalmente éste abarca recursos, servicios y actividades necesarias para garantizar la continuidad de las funciones críticas del negocio.
3.4
Análisis de impacto en el negocio BIA
Proceso de analizar las funciones operativas y el efecto que una interrupción podría tener sobre ellas
4
APNB/ISO/IEC 27031
3.5
Crítico
Descripción cualitativa que se utiliza para enfatizar la importancia de un recurso, proceso o función que debe estar disponible y operativo permanentemente, o disponible y operativo lo antes posible, después de que se ha producido un incidente, emergencia o desastre
3.6
Interrupción
Incidente, ya sea previsto (por ejemplo, huracanes) o imprevisto (por ejemplo, falta/falla de energía eléctrica, terremoto o ataque a sistemas/infraestructura TIC) que interrumpe el curso normal de las operaciones en una ubicación de la organización
3.7
Recuperación de desastres TIC
Capacidad de los elementos de las TIC de una organización para soportar sus funciones críticas de negocio a un nivel aceptable, dentro de un período predeterminado de tiempo, después de una interrupción
3.8
Plan de recuperación de desastres de las TIC ICT DRP (sigla en inglés)
Plan claramente definido y documentado que recupera las capacidades de las TIC cuando ocurre una interrupción NOTA En algunas organizaciones es denominado plan de continuidad de TIC.
3.9
Modo de fallos
Forma mediante la cual un fallo es observado NOTA Generalmente describe la forma en la que el fallo ocurre y su impacto en la operación del sistema.
3.10
Adecuación de las TIC para la continuidad del negocio ATCN
Capacidad de una organización para soportar sus operaciones de negocio mediante la prevención, detección y respuesta a una interrupción y recuperar los servicios TIC.
3.11
Objetivo mínimo de continuidad del negocio MBCO (sigla en inglés)
Nivel mínimo aceptable de servicios y productos para que la organización alcance sus objetivos de negocio durante una interrupción.
3.12
Objetivo de punto de recuperación RPO
Punto en el tiempo en el que la información debe ser recuperada luego de la ocurrencia de una interrupción.
5
APNB/ISO/IEC 27031
3.13
Objetivo de tiempo de recuperación RTO
Período de tiempo luego de la ocurrencia de una interrupción durante el cual deben recuperarse los niveles mínimos de servicios y productos y los sistemas de soporte, aplicaciones o funciones.
3.14
Resistencia
Habilidad de una organización para resistir mientras se está viendo afectada por una interrupción.
3.15
Disparador
Evento que causa que el sistema inicie una respuesta. NOTA También conocido como evento disparador.
3.16
Registro fundamental
Registro electrónico o en papel que es esencial para preservar, mantener la continuidad y reconstruir las operaciones de una organización, y proteger los derechos de dicha organización, de sus empleados, de sus clientes y de las partes interesadas.
4
ABREVIACIONES
ATCN Adecuación de las TIC para la continuidad del negocio. SGSI Sistema de Gestión de la Seguridad de la Información.
5
VISIÓN GENERAL
5.1
El rol de la ATCN en la gestión de la continuidad del negocio
La gestión de la continuidad del negocio (GCN) es un proceso de gestión integral que identifica los potenciales impactos que amenazan la continuidad de las actividades del negocio de una organización y proporciona un marco para fortalecer la resistencia y la capacidad para dar una respuesta eficaz que proteja los intereses de la organización frente a las interrupciones. Como parte del proceso BCM, ATCN refiere a un sistema de gestión que complementa y soporta el programa BCM e SGSI de una organización, de modo de mejorar la adecuación de la organización para: a)
Responder al cambio constante de los riesgos del entorno;
b)
Asegurar la continuación de las operaciones críticas del negocio, apoyadas por los servicios TIC relacionados;
c)
Estar preparado para responder antes de que ocurra una interrupción del servicio TIC, luego de la detección de un evento o serie de eventos relacionados que se conviertan en incidentes; y
6
APNB/ISO/IEC 27031
d)
Responder y recuperarse de incidentes/desastres y fallas.
La figura 2 ilustra el resultado esperado del TIC para el apoyo a las actividades de gestión de la continuidad del negocio.
Figura 2 – Marco de Continuidad del Negocio, sus salidas con relacionadas con TIC y sus resultados esperados La Norma Internacional para BCM, desarrollada por ISO/TC 223, resume el enfoque del BCM para la prevención, reacción y recuperación de incidentes. Las actividades involucradas en BCM incluyen preparación para incidentes, gestión de la continuidad operacional, planificación de recuperación de desastres (PRD) y mitigación de riesgos que se centra en aumentar la resistencia de la organización y en prepararla para reaccionar de forma eficaz a incidentes y recuperarse dentro de un plazo predeterminado. Por lo tanto, una organización establece las prioridades del BCM y son éstas las que conducen las actividades de la ATCN. A su vez, BCM depende de la ATCN para asegurar que la organización pueda alcanzar sus objetivos generales de continuidad en todo momento y particularmente durante periodos de interrupción. De acuerdo a lo mostrado en la Figura 3, dichas actividades de adecuación tienen por objetivo: a)
Mejorar las capacidades de detección de incidentes;
b)
Prevenir una falla drástica o repentina;
c)
Permitir una degradación aceptable del estado de las operaciones si el fallo es imparable;
d)
Reducir al máximo los tiempos de recuperación; y
7
APNB/ISO/IEC 27031
e)
Minimizar el impacto por la ocurrencia eventual del incidente.
Figura 3 – Concepto de Adecuación de las TIC para la continuidad del negocio 5.2
Los principios de ATCN
ATCN se basa en los siguientes principios fundamentales: a)
Prevención de incidente – la protección de los servicios TIC contra amenazas tales como fallas del entorno y de hardware, errores operacionales, ataques maliciosos, y desastres naturales, es crítica para mantener los niveles esperados de disponibilidad de los sistemas para una organización;
b)
Detección de incidentes – detectar incidentes, en forma temprana, minimizará el impacto en los servicios, reducirá el esfuerzo de recuperación y preservará la calidad del servicio;
c)
Respuesta – responder a un incidente en la forma más apropiada derivará en una recuperación más eficiente y minimizará el tiempo de inactividad. Una reacción insuficiente puede dar lugar a que un incidente menor evolucione a algo más serio;
d)
Recuperación – identificar e implementar la estrategia de recuperación apropiada puede asegurar la reanudación oportuna de los servicios y mantener la integridad de los datos. Entender las prioridades de recuperación permite que los servicios más críticos sean restaurados primero. Los servicios de carácter m enos crítico pueden ser restaurados en otro momento o en algunas circunstancias, no serlo; y
e)
Mejora – Las lecciones aprendidas de incidentes grandes y pequeños deben ser documentadas, analizadas y revisadas. Entender estas lecciones permitirá a la organización preparase mejor para controlar y evitar incidentes e interrupciones.
8
APNB/ISO/IEC 27031
La figura 4 ilustra cómo los elementos respectivos de la ATCN apoyan la secuencia típica de eventos de recuperación de un desastre TIC y a su vez, apoya las actividades de continuidad del negocio. La implementación de ATCN permite a la organización responder de forma eficaz a amenazas nuevas y emergentes, así como ser capaz de reaccionar y recuperarse frente a interrupciones.
Figura 4 - Los principios de la ATCN en el tiempo de recuperación típico de un desastre TIC NOTA La etapa de recuperación incluye actividades en el tiempo de recuperación/reanudación de los servicios, operaciones de DR (Recuperación de Desastre) TIC sostenibles, y el restablecimiento y retorno a la operación normal. Para detalles remitirse a la Figura A.1 en el Anexo A.
5.3
Los elementos de ATCN
Los elementos claves de ATCN pueden resumirse como sigue: a)
Personal: especialistas con habilidades y conocimiento apropiados, y personal de respaldo competente.
b)
Instalaciones: ambiente físico en el que los recursos TIC están ubicados;
c)
Tecnologías:
1)
hardware (incluyendo gabinetes, servidores, sistemas de almacenamiento, dispositivos de cinta y accesorios);
2)
red (incluyendo conectividad de datos y servicios de voz), switches (interruptor) y routers (direccionador); y
3)
software, incluyendo sistemas operativos y aplicaciones de software, enlaces o interfaces entre aplicaciones y rutinas de procesamiento por lotes;
9
APNB/ISO/IEC 27031
d)
Datos: datos de aplicación, datos de voz y otros tipos de datos;
e)
Procesos: incluyendo documentación de soporte para describir la configuración de los recursos TIC y permitir la operación, recuperación y mantenimiento eficaz de los servicios TIC; y
f)
Proveedores: otros componentes de los servicios de punta a punta donde la provisión del servicio TIC depende de un proveedor de servicios externo o de otra organización dentro de la cadena de suministro, por ejemplo, un proveedor de datos del mercado financiero, un operador de telecomunicaciones o un prov eedor de servicios de Internet.
5.4
Resultados y beneficios de la ATCN
Los beneficios de una ATCN eficaz para una organización son: a)
Entender los riesgos en la continuidad de los servicios TIC y sus vulnerabilidades;
b)
Identificar los impactos potenciales de interrupción de los servicios TIC;
c)
Promover la mejora en la colaboración entre los directores del negocio y sus proveedores de servicios TIC (internos y externos);
d)
Desarrollar y mejorar la competencia del personal de las TIC, demostrando respuestas creíbles a través del ejercicio de los planes de continuidad de las TIC y probando los acuerdos de la ATCN;
e)
Brindar garantías a la alta dirección que, en el caso de una interrupción, pueda contar con niveles predeterminados de servicios TIC y recibir apoyo y comunicaciones adecuadas;
f)
Brindar garantías a la alta dirección de que la seguridad de la información (confidencialidad, integridad y disponibilidad) es preservada de forma apropiada, asegurando la adherencia a las políticas de seguridad de la información;
g)
Proporcionar confianza adicional en la estrategia de continuidad del negocio vinculando la inversión en soluciones de TI con las necesidades del negocio y asegurando que los servicios TIC están protegidos en un nivel adecuado según su importancia para la organización;
h)
Disponer de servicios TIC que posean un relación adecuada costo-beneficio y no sobreinvertir o sub-invertir, a través de la comprensión del nivel de su dependencia con esos servicios TIC, y de la naturaleza, ubicación, interdependencia y uso de los componentes que conforman los servicios TIC;
i)
Poder mejorar su reputación de prudencia y eficiencia;
j)
Aumentar potencialmente las ventajas competitivas a través de la habilidad demostrada para apoyar la continuidad del negocio y mantener el suministro de productos y servicios en tiempos de interrupción; y
k)
Entender y documentar las expectativas de las partes interesadas y sus relaciones con, y el uso de, los servicios TIC.
10
APNB/ISO/IEC 27031
De esta forma, ATCN ofrece una forma significativa de determinar el estado de los servicios TIC de una organización en el apoyo a los objetivos de la continuidad del negocio, abordando la pregunta "nuestras TIC son capaces de responder" en lugar de "nuestras TIC son seguras".
5.5
Establecimiento de ATCN
Es probable que la ATCN sea más eficiente y rentable al diseñarlo y construirlo en los servicios de TIC, desde su concepción como parte de una estrategia de ATCN que apoya los objetivos de continuidad del negocio de la organización. Esto asegura que los servicios de TIC están mejor construidos, mejor entendidos y más resistentes. La adaptación de la ATCN puede ser compleja, destructiva y costosa. La organización debe desarrollar, implementar, mantener y mejorar continuamente un conjunto de procesos documentados que apoyen al ATCN. Estos procesos deben asegurar que: los objetivos de la ATCN sean claramente formulados, comprendidos y comunicados, y que el compromiso de la alta dirección para con la ATCN sea demostrado. La Figura 5 presenta gráficamente las actividades en las diferentes etapas de la ATCN.
Figura 5 – Fases en una ATCN
11
APNB/ISO/IEC 27031
5.6
Utilizando Planificar, Hacer, Controlar, Actuar para establecer la ATCN
La ATCN implica que la organización establezca procesos para desarrollar y mejorar sus elementos clave de la ATCN (ver 5.2), para mejorar su capacidad de respuesta a cualquier tipo de interrupción, incluyendo el cambio de las situaciones de riesgo mediante el uso del enfoque de la metodología Planificar-Hacer-Controlar-Actuar (PHCA). La Figura 5 presenta gráficamente las actividades en las diferentes etapas de ATCN.
5.7
Responsabilidad de la Dirección
5.7.1
Liderazgo y compromiso de la Dirección
Para que un programa de ATCN sea eficaz, debe ser un proceso totalmente integrado con las actividades de gestión de la organización, impulsado desde los altos mandos de la organización, avalado y promovido por la alta dirección. Un número de profesionales de la ATCN y de otras disciplinas de gestión y departamentos pueden ser necesarios para apoyar y gestionar el programa ATCN. La cantidad de recursos necesarios para apoyar este tipo de programas dependerá del tamaño y la complejidad de la organización.
5.7.2
Política de la ATCN
La organización debe tener una política ATCN documentada. Inicialmente, puede ser a un alto nivel perfeccionándose y mejorándose posteriormente a medida que todo el proceso de ATCN madura. La política debe ser revisada y actualizada periódicamente de acuerdo con las necesidades de la organización y debe ser coherente con los objetivos generales de gestión de la continuidad del negocio de la organización. La política ATCN debe proporcionar a la organización principios documentados a los que se aspire y contra los cuales poder medir la eficacia de la ATCN. Debe: a)
Establecer y demostrar el compromiso de la alta dirección al programa de ATCN;
b)
Incluir o hacer referencia a los objetivos de la ATCN de la organización;
c)
Definir el alcance de la ATCN, incluyendo las limitaciones y exclusiones;
d)
Ser aprobado y firmado por la alta dirección;
e)
ser comunicado a las partes interesadas, internas y externas, apropiadas;
f)
Identificar y proveer a las autoridades pertinentes de la disponibilidad de recursos tales como el presupuesto, personal necesario para llevar a cabo las actividades de acuerdo con la política ATCN; y
g)
Ser revisada a intervalos planificados y cuando se producen cambios importantes, tales como cambios en el entorno, cambio del negocio de la organización y cambios de la estructura de la misma.
12
APNB/ISO/IEC 27031
6
PLANIFICACIÓN DE LA ATCN
6.1
General
El principal objetivo de la fase de planificación es establecer los requisitos de preparación de las TIC de la organización, incluyendo: a)
Estrategia y plan de ATCN que se requieren para apoyar el negocio, los requisitos legales, estatutarios y reglamentarios relacionados con el alcance definido y el logro de los objetivos y metas de la continuidad del negocio de la organización; y
b)
Criterios de rendimiento que necesita la organización para hacer el seguimiento del grado de preparación de TIC que se requiere para alcanzar esos objetivos y m etas.
6.2
Recursos
6.2.1 Generalidades Como parte del mandato de la política, la organización debe definir la necesidad de un Programa de ATCN como parte de los objetivos generales de su BCM y, además, determinar y proporcionar los recursos necesarios para establecer, implementar, operar y mantener tal programa ATCN. Los roles, las responsabilidades, las competencias y las autoridades de la ATCN deben estar definidas y documentadas. La alta dirección debe: a)
Nombrar o designar a una persona con la experiencia y la autoridad apropiada para ser responsable de la política y la implementación de la ATCN; y
b)
Designar a una o más personas competentes, que, con independencia de otras responsabilidades, deben implementar y mantener el sistema de gestión de ATCN como se describe en esta Norma Internacional.
6.2.2
Competencia del personal de la ATCN
La organización se debe asegurar que todo el personal al que se le asigne responsabilidades de la ATCN sea competente para realizar las tareas requeridas. (Ver 7.2.1 para más detalles).
6.3
Definición de requisitos
6.3.1 General Como parte de su programa de BCM, la organización tendrá clasificadas sus actividades de acuerdo a su prioridad para la continuidad (por ejemplo, determinado por un Análisis del Impacto de Negocio) y definido el nivel mínimo al que cada actividad crítica se debe realizar tras la reanudación. La alta dirección debe estar de acuerdo con los requisitos de continuidad del negocio de la organización y estos resultarán en el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO) para el Objetivo Mínimo de la Continuidad del Negocio (MBCO) por producto, servicio o actividad. Estos RTO
13
APNB/ISO/IEC 27031
comienzan en el momento en el que se produce la interrupción y continúan hasta que se restablece el producto servicio o actividad.
6.3.2
Descripción de los servicios críticos de las TIC
Puede haber una serie de servicios TIC que se consideren críticos y necesarios para que la recuperación tenga lugar. Cada uno de estos servicios críticos de las TIC debe tener documentado su propio Objetivo de Tiempo de Recuperación (RTO) y Objetivo de Punto de Recuperación (RPO) para el Objetivo Mínimo de la Continuidad del Negocio (MBCO) de los servicios de TIC. (Esto puede incluir aspectos de prestación de servicios de TIC, tales como mesa de ayuda). El RTO de los servicios críticos de las TIC siempre será menor que el RTO de la continuidad del negocio. (Ver Anexo A para la elaboración detallada de RTO y RPO). La organización debe identificar y documentar sus servicios críticos de TIC para incluir breves descripciones y nombres que sean significativos para la organización a nivel de servicio al usuario. Esto asegurará un entendimiento común entre el negocio y el personal de las TIC, ya que puede ocurrir el uso de nombres diferentes para el mismo servicio de TIC. Cada servicio TIC crítico listado debe identificar el producto o servicio de la organización que soporta y la alta dirección debe estar de acuerdo con los servicios de TIC y sus requisitos de ATCN asociados. Por cada servicio TIC crítico identificado y acordado, todos los componentes TIC del servicio punta a punta deben ser descritos y documentados, mostrando cómo están configurados o vinculados para brindar cada servicio. Tanto la configuración del entorno de provisión del servicio TIC normal como la configuración del entorno de provisión de servicios TIC en continuidad deben ser documentadas. Por cada servicio TIC crítico, la capacidad corriente de continuidad (por ejemplo, la existencia de un único punto de fallo) debe ser revisada desde una perspectiva de prevención para evaluar los riesgos de interrupción del servicio o de degradación (que pueden ser tomados como parte del ejercicio de evaluación general del riesgo BCM). También se deben buscar oportunidades para mejorar la resistencia de las TIC y, consecuentemente, menor será la probabilidad y el impacto de la interrupción del servicio. Asimismo, se pueden destacar oportunidades que permitan la detección y reacción precoz a la interrupción del servicio de TIC. La organización puede decidir si hay una oportunidad de negocio para invertir en la identificación de oportunidades para la mejora de la capacidad de recuperación del servicio. Esta evaluación de riesgos del servicio (que puede formar parte del marco general de la gestión del riesgo de la organización) también puede detectar una oportunidad empresarial para mejorar la capacidad de recuperación de los servicios de TIC.
6.3.3 Identificación de brechas entre las capacidades de preparación de TIC y los requisitos de continuidad de negocio Por cada servicio crítico de TIC del actual régimen de preparación de TIC - como la prevención, vigilancia, detección, respuesta y recuperación - se deben comparar con los requisitos de continuidad del negocio y las deficiencias deben ser documentadas. La alta dirección debe ser informada de cualquier brecha entre la capacidad crítica de la ATCN y los requisitos de continuidad del negocio. Estas brechas pueden indicar riesgos y la necesidad de resistencia adicional y de recursos de recuperación, tales como: a)
Personal, incluyendo número, habilidades y conocimientos;
14
APNB/ISO/IEC 27031
b)
Facilidades para albergar las instalaciones de TIC, por ejemplo, sala de informática;
c)
Apoyo tecnológico, instalaciones, equipos y redes (tecnología);
d)
Solicitudes de información y bases de datos;
e)
Finanzas o asignación presupuestaria, y
f)
Servicios externos y proveedores (suministros).
La alta dirección debe aprobar las definiciones de servicios de TIC, la lista documentada de los servicios críticos de TIC y los riesgos asociados a las deficiencias detectadas entre la capacidad crítica de la ATCN y los requisitos de la continuidad del negocio. Esto debe incluir, en su caso, el sign-off de los riesgos identificados. Las opciones para abordar las deficiencias y los riesgos identificado, deben ser exploradas determinando estrategias de la ATCN.
6.4
Determinar las opciones de estrategia de la ATCN
6.4.1 Generalidades Las estrategias de la ATCN deben definir los métodos para implementar la resistencia necesaria para que los principios de prevención, detección, respuesta, recuperación y restauración de incidentes sean puestos en marcha. Una amplia gama de opciones de estrategias de la ATCN deben ser evaluadas. Las estrategias elegidas deben ser capaces de apoyar los requerimientos de continuidad del negocio de la organización. La organización debe tomar en cuenta la implementación y los requisitos de recursos que se van a ir dando en la implementación y desarrollo de la estrategia. Proveedores externos pueden ser contratados para proporcionar servicios especializados y destrezas que juegan un rol importante en el apoyo a la estrategia. La estrategia de la ATCN debe ser lo suficientemente flexible como para atender a las diversas estrategias de negocios en los diferentes mercados. Además, la estrategia debe tener en cuenta las limitaciones y factores internos, tales como: a)
Presupuesto;
b)
Disponibilidad de recursos;
c)
Potenciales costos y beneficios;
d)
Limitaciones tecnológicas;
e)
Apetito de riesgo de la organización;
f)
Estrategia actual de la ATCN de la organización; y
g)
Obligaciones reglamentarias.
15
APNB/ISO/IEC 27031
6.4.2
Opciones de estrategia de la ATCN
La organización debe considerar un rango de opciones para poder atender los incidentes en los servicios críticos de TIC. Las opciones deben considerar aumentar la protección y resistencia, así como permitir la recuperación y restauración de una interrupción no planificada, y puede incluir acuerdos internos; servicios prestados a la organización y los servicios prestados externamente por uno o más terceros. Las opciones deberán tener en cuenta los diversos componentes necesarios para asegurar la continuidad y la recuperación de los servicios críticos de las TIC. La ATCN se puede alcanzar de muchas formas, y se deben tener en cuenta los elementos de ATCN descriptos en 5.3.
6.4.2.1 Habilidades y conocimientos La organización debe identificar estrategias apropiadas para el mantenimiento de las principales habilidades y conocimiento de las TIC. Esto puede extenderse más allá de los empleados, contratistas y otras partes interesadas, que poseen amplios conocimientos y habilidades especiales en TIC. Las estrategias para proteger o proveer de esas habilidades pueden incluir: a)
Documentación de la forma en que los servicios críticos de las TIC son realizadas;
b)
Formación del personal y contratistas de las TIC para aumentar el conocimiento redundante;
c)
Separación de las tareas principales para reducir la concentración del riesgo (esto podría implicar la separación física del personal que posee los principales conocimientos o asegurar que más de una persona los tenga), y
d)
Retención y gestión del conocimiento.
6.4.2.2 Instalaciones De acuerdo a los riesgos identificados, la organización debe diseñar estrategias para reducir el impacto por la falta de disponibilidad de las instalaciones TIC normales. Esto pu ede incluir una o más de las siguientes: a)
Instalaciones alternativas (lugares) desplazamiento de otras actividades;
dentro
b)
Instalaciones alternativas proporcionadas por otras organizaciones;
c)
Instalaciones alternativas proporcionadas por terceros especializados;
d)
Trabajo desde el hogar o en otros sitios remotos;
e)
Otras instalaciones alternativas acordadas para el trabajo;
f)
Uso de fuerza de trabajo alternativa en un recinto establecido; y
16
de
la
organización,
incluyendo
el
APNB/ISO/IEC 27031
g)
Instalaciones alternativas que pueden ser transportados al sitio de la interrupción y utilizadas para proporcionar un reemplazo directo de algunos de los activos físicos involucrados.
Las estrategias para las instalaciones TIC pueden variar significativamente y puede haber diversas opciones. Los diferentes tipos de incidentes o amenazas pueden requerir la implementación de múltiples estrategias (un enfoque de selección y mezcla), que será determinado en parte por el tamaño de la organización, amplitud de las actividades, lugares, tecnologías y presupuesto, etc. Al considerar el uso de los locales alternativos, se debe tener en cuenta lo siguiente: a)
Seguridad del sitio;
b)
Acceso del personal;
c)
Proximidad a las instalaciones existentes; y
d)
Disponibilidad.
6.4.2.3 Tecnología Los servicios de TIC de los que dependen las actividades críticas del negocio deben estar disponibles antes de la reanudación de sus actividades dependientes críticas del negocio. Por lo tanto, se requieren soluciones que garanticen la disponibilidad de las aplicaciones dentro de plazos específicos, por ejemplo, los RTO se determina como parte del BIA. Las plataformas tecnológicas y software de aplicación deben ser puestas en marcha dentro de los plazos exigidos por la organización como un todo. Las tecnologías que soportan los servicios TIC críticos con frecuencia necesitan arreglos complejos para garantizar la continuidad, por lo que lo siguiente debe considerarse al elegir las estrategias ATCN: a)
Los RTO y RPO para los servicios TIC críticos que apoyan las actividades críticas identificadas por el programa BCM;
b)
La ubicación y la distancia entre los sitios de tecnología;
c)
El número de sitios de tecnología;
d)
El acceso remoto a los sistemas;
e)
Los requisitos de refrigeración;
f)
Los requisitos de energía;
g)
El uso de los sitios sin personal (oscuros) en comparación con los sitios de personal;
h)
La conectividad de las telecomunicaciones y los enrutamientos redundantes;
i)
La naturaleza de la "recuperación tras error" (si es necesaria la intervención manual para activar la provisión alternativa de las TIC o si esto tiene que ocurrir de forma automática);
17
APNB/ISO/IEC 27031
j)
El nivel de automatización requerido;
k)
Obsolescencia de la tecnología; y
l)
La conectividad del proveedor de servicios tercerizados y otros enlaces externos.
6.4.2.4 Datos Además, las actividades críticas del negocio pueden depender de la provisión, hasta al día o cerca, de los datos. Las soluciones de continuidad de los datos deben ser diseñadas para cumplir con los Objetivos de Punto de Recuperación (RPO) de cada actividad crítica para el negocio de la organización en lo que respecta a las actividades críticas del negocio. Las opciones de ATCN seleccionadas deben asegurar la confidencialidad, integridad y disponibilidad de datos críticos que apoyan las actividades críticas en curso (v éase la norma ISO/IEC 27001 e ISO/IEC 27002). El almacenamiento de datos y estrategias de ATCN deben cumplir con los requisitos de continuidad del negocio de la organización, y debe tener en c uenta: a)
Requisitos de RPO;
b)
Cómo almacenar datos en forma segura, por ejemplo, disco, cinta o medios ópticos; las copias de seguridad y mecanismos de restauración deben estar en su lugar para que los datos estén seguros y en un ambiente seguro;
c)
Dónde es almacenada, transportada o transmitida la información, distancia, ubicación, enlaces de red, etc. (dentro, fuera por terceros) y los plazos esperados para la recuperación de los medios de respaldo; y
d)
Plazos de restauración, relacionados con el volumen de datos, cómo se almacenan los mismos y la complejidad de la técnica del proceso de restauración, junto con los requisitos del usuario del servicio y los requisitos de continuidad de la organización.
Es fundamental la comprensión del uso punta-a-punta de los datos en toda la organización. Esto puede incluir la alimentación de información para y de terceros. Hay que recordar que la naturaleza, actualidad y valor de los datos varían enormemente dentro de una organización.
6.4.2.5 Procesos En la selección de su estrategia de ATCN, la organización debe considerar los procesos necesarios para asegurar la viabilidad de esta estrategia, incluyendo las necesarias para la prevención de incidentes, detección de incidentes, respuesta a incidentes y recuperación de desastres. La organización debe identificar los factores necesarios para la aplicación eficaz de los procesos individuales, por ejemplo, la habilidad clave, los datos críticos, las tecnologías clave o equipos/instalaciones críticos.
6.4.2.6 Proveedores La organización debe identificar y documentar las dependencias externas que apoyan la prestación de servicios de TIC y tomar las medidas adecuadas para garantizar que los
18
APNB/ISO/IEC 27031
equipos y servicios críticos puedan ser proporcionados por los proveedores dentro de los plazos predeterminados y acordados. Dichas dependencias pueden existir para el hardware, software, telecomunicaciones, aplicaciones, servicios de alojamiento de terceros, utilidades, y tópicos ambientales, tales como aire acondicionado, monitoreo ambiental y extinción de incendios. Las estrategias para estos servicios pueden incluir: a)
El almacenamiento de equipo adicional y copias de software en otro lugar;
b)
Los acuerdos con proveedores para el suministro de equipo de reemplazo a corto plazo;
c)
Una rápida reparación y reemplazo de piezas defectuosas en el caso de un mal funcionamiento del equipo;
d)
La oferta dual de los servicios públicos como la energía y las telecomunicaciones;
e)
La generación de equipos de emergencia; y
f)
La identificación de proveedores alternativos/sustitutos.
La organización debe incluir los requisitos de TIC y de gestión de continuidad del negocio en los contratos con sus socios y proveedores de servicios. Los programas de contrato deben incluir una referencia a las obligaciones de cada parte, niveles de servicio, respuesta a incidentes de importancia, asignación de costos, frecuencia del ejercicio y acciones correctivas.
6.5
Firma
Las opciones seleccionadas para la estrategia de la ATCN deben ser presentadas a la alta dirección, con recomendaciones para una toma de decisión basada en el ape tito de riesgo y costo. La alta dirección debe ser alertada si las opciones de estrategia de la ATCN seleccionadas son incapaces de cumplir con los requisitos de continuidad del negocio, en cuyo caso debe ser informada sobre la capacidad actual. La alta dirección debe seleccionar las estrategias de la ATCN dentro de las opciones que se le han presentado, y aprobar y firmar las opciones documentadas para confirmar que éstas han sido TOMADAS APROPIADAMENTE y que SOPORTAN los requisitos globales de la continuidad del negocio. Las opciones seleccionadas para la estrategia de la ATCN deben: a)
Atender a los posibles riesgos y efectos de la interrupción;
b)
Integrarse CON las estrategias de continuidad del negocio elegidas POR la organización; y
c)
Ser apropiadas para alcanzar los objetivos generales de la organización dentro de su apetito de riesgo.
19
APNB/ISO/IEC 27031
6.6
Capacidad de mejora de la ATCN
6.6.1
Refuerzo de la resistencia
La organización debe incluir dentro de su estrategia de alto nivel y de los planes de la ATCN, referencias a las capacidades de mejoras específicas de su ATCN que se requieren para satisfacer los requisitos de la ATCN identificados. Tales mejoras pueden lograrse a través de acciones preventivas y correctivas (ver 9.2 y 9.3), así como de procesos o metodologías específicas que sean respuestas relevantes al BIA de la organización y a su apetito de riesgo. La información sobre esos procesos y metodologías, se puede encontrar en los Anexos B y C.
6.7
Criterios de preparación del rendimiento de las TIC
6.7.1
Identificación de los criterios de desempeño
Dentro de cualquier entorno de TIC hay muchos eventos potencialmente peligrosos - tales como los fallos de hardware, intrusión de seguridad, etc. - y una organización debe ser capaz de monitorear las amenazas y comprender si el sistema ATCN es capaz de tratarlos adecuadamente. Por lo tanto, la organización debe definir los criterios de rendimiento para medir la eficacia de la preparación de su TIC. Estos criterios se pueden utilizar para determinar la calidad deseada de la respuesta a una interrupción, tanto en términos de su eficacia y eficiencia. Los criterios de desempeño de la ATCN deben basarse en los requisitos de la ATCN, así como en los objetivos generales de BCM, en términos de la respuesta a incidentes y los requisitos de continuidad. (Ver 8.3.1)
7
IMPLEMENTACIÓN Y OPERACIÓN
7.1
Generalidades
Las estrategias ATCN sólo deben aplicarse después de la aprobación de la dirección. En este punto comienza la etapa de la puesta en práctica. Esta cláusula ofrece recomendaciones para la implementación ATCN elegido de una organización junto con las estrategias, la estructura de organización necesaria, planes y procedimientos necesarios para apoyar la implementación. La organización debe gestionar los recursos (7.2), los procedimientos y el funcionamiento de ATCN, así como la implementación de programas de capacitación y sensibilización. La aplicación debe ser manejada como un proyecto a través de la organización formal de procesos de control de cambios y controles de gestión de proyectos BCM con el fin de garantizar la plena gestión de la visibilidad y presentación de informes. Se debe hacer referencia a las normas internacionales pertinentes durante la aplicación de la detección de incidentes y la respuesta y los componentes de recuperación de desastres, incluyendo: a)
ISO / IEC 18043 para la selección y operación de sistemas de detección de intrusos;
b)
ISO / IEC 18044 para el proceso de respuesta a incidentes, y
20
APNB/ISO/IEC 27031
c)
ISO / 24762 para los servicios de recuperación de desastres IEC.
NOTA ISO / IEC 18044 está siendo revisada y renumerada como 27035.
7.2
Aplicación de los elementos de las estrategias ATCN
7.2.1
Conciencia, Habilidades y Conocimiento
El conocimiento general de la disposición de los elementos de los servicios de las TIC (5.3) – las personas, instalaciones, tecnología, datos, procesos y proveedores, así como sus componentes críticos - son un elemento fundamental para garantizar el apoyo necesario para la gestión de continuidad del negocio y de gestión, incluida la preparación para las TIC. La organización debe por tanto: a)
Aumentar, mejorar y mantener la conciencia a través de una educación continua y un programa de información personal pertinente y establecer un proceso para evaluar la eficacia de la prestación de conciencia; y
b)
Garantizar que el personal esté al tanto de cómo contribuyen al logro de los objetivos ATCN.
La organización se debe asegurar que todo el personal al que se le asigna responsabilidades de gestión ATCN es competente para realizar las tareas requeridas por: a)
La determinación de las competencias necesarias para dicho personal;
b)
La realización de análisis de las necesidades de formación de dicho personal;
c)
Impartir formación;
d)
Garantizar que la competencia necesaria se ha logrado, y
e)
El mantenimiento de los registros de educación, formación, habilidades, experiencia y calificaciones.
7.2.2
Instalaciones
Los sistemas de recuperación TIC y de datos críticos, cuando sea posible, estar físicamente separados de los sitios operativos para evitar que sean afectados por el mismo incidente. Se debe considerar la ubicación de todos los entornos de las TIC en la aplicación de la estrategia. Por ejemplo, si está disponible, la formación o el desarrollo de sistemas de TIC deben ser lógicamente separada de la de sistemas de producción, ya que puede ser una oportunidad para que éstas se reconfiguren en el caso de un desastre a abrir rápidamente el servicio de producción. La escalabilidad en general, capacidad de administración, compatibilidad, rendimiento y coste de las diferentes características técnicas de implementación deben ser examinados para identificar las técnicas más adecuadas para las estrategias elegidas que apoyen los objetivos y metas globales de continuidad del negocio.
21
APNB/ISO/IEC 27031
7.2.3 Tecnología Estrategias tecnológicas de las TIC deben ser implementadas. Estas pueden incluir una o más de las siguientes implementaciones y arreglos: a)
Espera en caliente, donde la infraestructura de TIC se replica a través de dos sitios;
b)
Espera activa, donde la recuperación se lleva a cabo en un lugar secundario donde la infraestructura de TIC es parcialmente preparada;
c)
Espera fría, donde la infraestructura se construye o configura a partir de cero en un lugar alternativo;
d)
Acuerdos traídos (ship-in arrangements), en virtud del cual los proveedores de servicios externos proporcionan hardware; y
e)
Acuerdo compuesto de las estrategias anteriores: un enfoque "pick-and-mix".
7.2.4 Datos Las disposiciones relativas a la disponibilidad de datos deben estar alineados con los requisitos señalados en la ATCN estrategias de gestión, y pueden incluir: a)
Almacenamiento adicional para los datos en un formato que garantice su disponibilidad dentro de los plazos señalados en el programa de continuidad de negocio, y
b)
Lugares alternativos para el almacenamiento de datos, que puede ser físico o virtual, siempre y cuando la seguridad y la confidencialidad de los datos se mantengan; de este modo los procedimientos de acceso están en su lugar y, si los acuerdos se hacen a través de terceros para el almacenamiento de la información, los dueños de la información deben cerciorarse de que los controles adecuados están en su lugar.
7.2.5 Procesos Los procesos ATCN deben documentarse claramente y con suficiente detalle para permitir al personal competente ejecutarlos (algunos de estos procesos pueden ser diferentes de las operaciones diarias). Los procedimientos ATCN pueden depender de la situación en que se desarrollan y en la práctica puede ser necesario adaptarlos teniendo en cuenta la ruptura (por ejemplo, el grado de pérdida o daño), las prioridades operativas de la organización y la de las partes demandantes.
7.2.6
Proveedores
La organización debe asegurarse de que los proveedores clave sean capaces de apoyar las capacidades de servicio ATCN requerido por la organización. Esto incluye tener sus propios planes de continuidad e ATCN documentados y probados, con capacidad de soportar que los clientes activen en forma concurrente los planes de incidentes o de recuperación. La organización debe establecer un proceso para evaluar la capacidad y la habilidad de los proveedores antes de contratar sus servicios, así como un continuo seguimiento y revisión de las capacidades de los proveedores después del compromiso. El cumplimiento de los requisitos/buenas prácticas en las normas pertinentes es un medio útil para determinar la
22
APNB/ISO/IEC 27031
capacidad de los proveedores, por ejemplo, la adopción de las mejores prácticas de la Norma ISO/ IEC 24762 por parte de los proveedores que realizan “hosting”/gestión de las instalaciones alternas de procesamiento y proporcionar servicios de recuperación de desastres TIC.
7.3
Respuesta a Incidentes
Para cualquier incidente TIC debe haber una respuesta para: a)
Confirmar la naturaleza y el alcance del incidente;
b)
Tomar el control de la situación;
c)
Contener el incidente; y
d)
Comunicarse con las partes interesadas.
La respuesta a incidentes debe iniciar una acción ATCN apropiada. Esta respuesta debe integrarse con la respuesta general de incidentes BCM, y puede invocar a un equipo de gestión de incidentes o, en una organización pequeña, a un solo individuo con la responsabilidad de la gestión de incidentes y continuidad del negocio. Una organización más grande puede usar un enfoque gradual y podrá establecer diferentes equipos para que se centren en diferentes funciones. Dentro de las TIC, esto puede basarse en cuestiones técnicas o de servicios. Los responsables de la gestión de incidentes deben tener planes para la activación, operación, coordinación y comunicación de la respuesta al incidente
7.4
Documentos del Plan ATCN
7.4.1 Generalidades La organización debe contar con documentación (planes) para gestionar una posible interrupción y así permitir la continuidad de los servicios TIC y la recuperación de las actividades críticas. La gestión de incidentes TIC, la continuidad del negocio y los planes de recuperación técnica de la organización pueden ser activados rápidamente en una secuencia o simultáneamente. La organización puede desarrollar documentos específicos del plan para recuperar o reanudar los servicios TIC a un estado "normal" (planes de recuperación). Sin embargo, podría no ser posible definir lo que parece ser "normal" hasta algún tiempo después del incidente, por lo que tal vez no sea posible poner en práctica de forma inmediata los planes de recuperación. Por lo tanto, la organización debe asegurarse que los acuerdos de continuidad sean capaces de mantener un funcionamiento prolongado apoyando la continuidad general del negocio, dando tiempo para el desarrollo de los planes de recuperación ("volver a la normalidad").
23
APNB/ISO/IEC 27031
7.4.2
Contenido de los Documentos del Plan
Una organización pequeña puede tener un único documento de plan que abarca toda la actividad de recuperación de los servicios TIC de todas sus operaciones. Una organización muy grande puede tener muchos planes documentados, cada uno de ellos especificando en detalle la recuperación de un elemento en particular de sus servicios TIC. Los planes de respuesta y recuperación de las TIC deben ser concisos y accesibles a las personas con responsabilidades definidas en los mismos. Los planes deben contener los siguientes elementos: a)
Finalidad y alcance
La finalidad y el alcance de cada plan específico deben ser definidos, acordados por la alta dirección, y comprendidos por aquellos que invocarán el plan. Debe ser claramente referenciada cualquier relación con otros planes o documentos pertinentes dentro de la organización, en particular a los planes BC, y debe describirse el método de obtención y el acceso a los mismos. Cada plan de gestión, de respuesta y recuperación de incidentes TIC debe establecer objetivos priorizados en términos de: i)
los servicios TIC críticos a ser recuperados;
ii)
los plazos en los que se recuperarán;
iii)
los niveles de recuperación necesarios para cada actividad de servicios críticos de las TIC; y
iv) la situación en la que puede ser invocado cada plan. Los planes también pueden contener, cuando amerita, los procedimientos y listas de control que apoyan el proceso de revisión posterior al incidente. b)
Roles y responsabilidades
Las roles y responsabilidades de las personas y los equipos que tienen autoridad (tanto en términos de toma de decisiones como en definición de recursos) durante y después de un incidente deben estar claramente documentados. c)
Invocación del plan
NOTA Invariablemente, el tiempo perdido durante la respuesta no puede ser recuperado. Casi siempre es mejor iniciar una respuesta TIC y suspenderla posteriormente, a perder una oportunidad para contener un incidente de forma temprana y prevenir el escalonamiento.
Por lo tanto, las organizaciones necesitan utilizar los protocolos de escalamiento e invocación de gestión de incidentes, contenidos dentro de los planes generales de continuidad de negocio para definir las bases para la gestión de potenciales interrupciones de servicios relacionados con las TIC. El método mediante el cual una respuesta TIC y el plan de recuperación se invocan debe estar claramente documentado. Este proceso debe permitir que los planes o partes
24
APNB/ISO/IEC 27031
pertinentes sean invocados en el menor tiempo posible, ya sea antes de un evento potencialmente perjudicial o inmediatamente después de la ocurrencia del evento. El plan debe incluir una descripción clara y precisa de: i)
la manera de movilizar a la persona o equipo asignado;
ii)
los puntos de encuentro inmediato;
iii)
los siguientes lugares de encuentro del equipo y detalles de cualquier lugar de encuentro alternativo (en una organización más grande estos lugares de encuentro pueden ser referidos como centros de mando); y
iv) las circunstancias bajo las cuales la organización considera que una respuesta ATCN no es necesaria (por ejemplo, faltas e interrupciones menores, tal vez para los servicios críticos de las TIC, tal vez sobre servicios TIC críticos, pero que son administrados por mesa de ayuda normal y acuerdos y arreglos de apoyo). La organización debe documentar un proceso claro para la disolución del equipo de respuesta TIC una vez que el incidente fue solucionado y para volver a la normalidad. d)
Propietario y encargado del mantenimiento de la documentación del plan de respuesta y recuperación de las TIC.
La gerencia debe designar un propietario para el plan de respuesta y recuperación de las TIC, haciéndolo responsable de la revisión y actualización regular de la documentación. Se debe emplear un sistema de control de versiones y los cambios deben ser formalmente notificados a todas las partes interesadas manteniendo un registro formal de distribución del documento del plan de continuidad. e)
Datos de contacto
NOTA Los registros de contactos pueden incluir datos de contacto “fuera de hora”. Sin embargo, cuando los planes se refieren a dichos datos privados, el respeto a la privacidad de la información tiene que ser una consideración primordial.
Cuando es apropiado, cada documento del plan debe contener o proporcionar una referencia a los datos de contacto esenciales para todas las partes interesadas.
7.4.3 Documentación del Plan de Respuesta y Recuperación de las TIC La documentación del Plan de Respuesta y Recuperación de las TIC debe: a)
Ser flexible, viable y apropiado;
b)
Ser fácil de leer y entender; y
c)
Proporcionar las bases para la gestión de los problemas que son considerados graves por la organización como para merecer una respuesta ATCN (por lo general después de una interrupción significativa de eventos).
25
APNB/ISO/IEC 27031
La documentación debe definir el marco general dentro del cual los planes de recuperación se organizan, incluyendo: a)
La estrategia global;
b)
Los servicios críticos (con RTO / RPO);
c)
Los plazos para la recuperación y
d)
Los equipos de recuperación y sus responsabilidades.
Los planes deben ser documentados de tal manera que el personal competente pueda utilizarlos en caso de un incidente. Los planes deben incluir: a)
Objetivos: una breve descripción de los objetivos de los planes;
b)
Alcance: abarca los siguientes, con referencia a los resultados de la BIA:
i)
la criticidad de los servicios: descripción de los servicios correspondientes y la identificación de su criticidad;
ii)
la tecnología: panorama de la principal tecnología que soporta los servicios, inclusive en lo que se encuentra;
iii)
la organización: visión general de las organizaciones (departamentos, personas vitales y procedimientos) que manejan la tecnología; y
iv) documentación: visión general de la documentación principal de la tecnología, incluyendo los lugares (fuera de las instalaciones) donde se almacena. c)
Requisitos de disponibilidad: requisitos definidos por el negocio para la disponibilidad de servicios y tecnologías afines;
d)
Requisitos de seguridad de la información: requisitos para la seguridad de la información de los servicios, sistemas y datos, incluyendo confidencialidad, integridad y disponibilidad de los requisitos;
e)
Los procedimientos de recuperación de la tecnología: descripción de los procedimientos a seguir para recuperar el servicio de las TIC, incluyendo:
i)
una lista de actividades, por ejemplo, de soporte de escritorio y restauración de información de contacto;
ii)
una lista de actividades para recuperar la red, sistemas, aplicaciones, bases de datos, etc, a un nivel acordado en una ubicación alternativa, teniendo en cuenta los cambios del entorno (por ejemplo, esto podría afectar la capacidad de la línea, comunicaciones sistema a sistema, etc.);
iii)
una lista de actividades para restaurar la funcionalidad básica, como la seguridad, enrutamiento y registros;
26
APNB/ISO/IEC 27031
iv) coordinación en la aplicación o entre aplicaciones, la sincronización de datos, y los potenciales procedimientos automatizados para el manejo de una cartera de pedidos de información; v)
el proceso necesario para restaurar los servicios TIC y proporcionarlos a sus usuarios para operar en modo de recuperación;
vi) los procedimientos de respaldo; y vii) cuando y cómo la gente puede obtener más información, instrucciones, etc., por ejemplo, números de línea telefónica, y pasos a seguir para volver a la normalidad. f)
Apéndices
i)
inventario de los sistemas de información, aplicaciones y bases de datos;
ii)
descripción de la infraestructura de red y nombres de los servidores;
iii)
el inventario de hardware y software de sistemas, y
iv) los contratos y acuerdos de nivel de servicio. g)
Proveedores clave de TIC
i)
empresas como proveedores habituales; y
ii)
los proveedores de servicio de recuperación.
7.5
Conocimiento, competencias y formación
Se debe implementar un programa coordinado para asegurar que los procesos están en marcha para promover una conciencia ATCN en general, así como evaluar y mejorar la competencia de todo el personal pertinente clave para la implementación exitosa de ATCN (7.2.1).
7.6
Control de Documentos
7.6.1
Control de los registros ATCN
Los controles deben ser establecidos sobre los registros ATCN con el fin de: a)
Asegurarse de que sean legibles, fácilmente identificables y recuperables; y
b)
Prever su conservación, protección y recuperación.
7.6.2
Control de la documentación ATCN
Los controles deben ser establecidos sobre la documentación ATCN para asegurar que: a)
Los documentos han sido aprobados para su adecuación antes de su emisión;
b)
Los documentos son revisados y actualizados como sea necesario y reaprobados;
27
APNB/ISO/IEC 27031
c)
Los cambios y el estado actual de revisión de los documentos se identifican;
d)
Las versiones pertinentes de los documentos aplicables están disponibles en los puntos de uso;
e)
Los documentos de origen externo se identifican y se controla su distribución, y
f)
El uso no intencionado de documentos obsoletos se evita, y dichos documentos se identifican de manera adecuada si es que se mantienen por cualquier razón.
8
HACER SEGUIMIENTO Y REVISIÓN
8.1
Mantener ATCN
8.1.1 Generalidades Con el cambio viene el riesgo, no sólo el riesgo de fracaso, sino también el riesgo de desestabilizar las políticas y estrategias existentes. Las estrategias ATCN, por lo tanto, deben ser flexibles y adaptables. Cualquier cambio en los servicios TIC que pueda afectar la capacidad ATCN debe aplicarse sólo después que las implicaciones en la continuidad del negocio en lo relativo al cambio hayan sido evaluadas y resueltas. Para asegurarse de que las estrategias y planes de ATCN continúan siendo adecuados para la organización: a)
La alta dirección debe asegurarse que las estrategias ATCN sigan apoyando los requisitos de la BCM de la organización;
b)
El proceso de gestión del cambio debe incluir todos los responsables de las estrategias ATCN, tanto en su planificación como ejecución;
c)
El proceso de desarrollo de nuevos servicios de las TIC debe incluir una firma que garantice que la resistencia no ha sido comprometida ni por la más simple de las actualizaciones o mejoras;
d)
La debida diligencia en fusiones y adquisiciones deben incluir una evaluación de la capacidad de recuperación; y
e)
El desmantelamiento de los componentes de las TIC debe reflejarse en el sistema de gestión relacionado con ATCN.
8.1.2
Seguimiento, detección y análisis de las amenazas
La organización debe establecer un proceso para monitorizar y detectar de forma continua la aparición de amenazas a la seguridad de las TIC, incluyendo, pero no limitado a, las siguientes áreas: a)
La retención del personal, habilidades y conocimientos;
28
APNB/ISO/IEC 27031
b)
La gestión de instalaciones para albergar los equipos de las TIC (por ejemplo, mediante el control del número y la naturaleza de incidentes/vulnerabilidades relacionados con las salas de informática);
c)
Cambios en el apoyo a la tecnología, instalaciones, equipos y redes;
d)
Los cambios en las aplicaciones de información y bases de datos;
e)
Las finanzas o asignación presupuestaria; y
f)
La eficacia de los servicios externos y proveedores (suministros).
8.1.3
Prueba y ejercicio
8.1.3.1 Generalidades La organización debe ejercitar no sólo los servicios TIC, sino también su protección y elementos de resistencia para determinar si: a)
El servicio puede ser protegido, mantenido y / o recuperado, independientemente de la gravedad de incidentes;
b)
Los mecanismos de gestión ATCN pueden minimizar el impacto en el negocio, y
c)
Los procedimientos para el retorno a la normalidad son válidos.
8.1.3.2 Programa de prueba y ejercicio En la mayoría de los casos, el conjunto de elementos y procesos de ATCN, incluida la recuperación de las TIC, no puede ser probado en una única prueba y un único ejercicio. Un régimen de ejercicio progresivo por lo tanto, podría ser apropiado para la construcción de una simulación completa de un incidente real. El programa debe incluir distintos niveles de ejercicio desde familiarización hasta resistencia de la sala de computación, tal como se define en la figura 5, y deben considerar todos los aspectos de la prestación de servicios de las TIC de punta-a-punta. Existen riesgos asociados con las pruebas y ejercicios y actividades y no se debe exponer a la organización a un nivel inaceptable de riesgo. El programa de pruebas y el ejercicio debe definir cómo el riesgo de que el ejercicio individual es dirigido. La dirección del cierre de sesión de del programa debe ser obtenida y una explicación clara de los riesgos asociados documentado. Los objetivos del programa de prueba y el ejercicio deben ajustarse plenamente al ámbito de gestión empresarial en general y los objetivos de continuidad y complementarias a un programa más amplio de la organización. Cada prueba y ejercicio debe tener dos objetivos de la empresa (incluso cuando no hay participación directa de las empresas) y define los objetivos técnicos para probar o v alidar un elemento específico de la estrategia de ATCN. El ejercicio de los distintos elementos de forma aislada a nivel de componentes es complementario a los sistemas de ejercicio pleno y debe mantenerse como parte de una prueba en curso y programa de ejercicios.
29
APNB/ISO/IEC 27031
El programa de pruebas y el ejercicio debe definir la frecuencia, alcance y formato de cada ejercicio. Los siguientes son ejemplos de alto nivel de los ámbitos de ejercicio: a)
La recuperación de datos: recuperación de un único archivo o base de datos después de la corrupción;
b)
La recuperación de un único servidor (incluyendo una reconstrucción completa);
c)
La recuperación de la solicitud (que puede consistir en varios servidores, subaplicaciones e infraestructura;
d)
Recuperación de fallos de los servicios alojados en una plataforma de alta disponibilidad (por ejemplo, la agrupación: la simulación de la pérdida de cualquier miembro de un cluster - véase el Anexo B);
e)
La recuperación de datos desde la cinta (la recuperación de archivos individuales o una serie de archivos de almacenamiento de cintas fuera del sitio);
f)
De la red de pruebas; y
g)
Las pruebas de la infraestructura de comunicaciones de conmutación por error.
Los ejercicios deben ser progresivos para incluir una prueba creciente de las dependencias y las interrelaciones y las comunidades usuarias pertinentes.
8.1.3.3 El alcance de los ejercicios El ejercicio debe llevarse a cabo para: a)
Fomentar la confianza en toda la organización de que la estrategia de resistencia y recuperación cumplirá los requerimientos del negocio;
b)
Demostrar que los servicios TIC críticos pueden ser mantenidos y recuperados dentro de los niveles de servicio acordados o dentro de los objetivos de recuperación, independientemente del incidente;
c)
Demostrar que los servicios TIC críticos pueden se restaurados al estado previo a la prueba en el caso de un incidente en la ubicación de recuperación;
d)
Brindar al personal la oportunidad de familiarizarse con el proceso de recuperación;
e)
Capacitar al personal y asegurar que tengan un conocimiento adecuado de los planes y procedimientos ATCN;
f)
Comprobar que la ATCN permanece sincronizado con la infraestructura TIC y la infraestructura general;
g)
Identificar las mejoras que se requieren para la estrategia ATCN, la arquitectura o los procesos de recuperación; y
h)
Proporcionar evidencia para los propósitos de auditoría y demostrar la competencia de los servicios TIC de la organización.
30
APNB/ISO/IEC 27031
El ejercicio debe aplicarse a todo el entorno de las TIC y a todos los componentes que prestan el servicio de punta a punta desde la sala de informática hasta escritorio del usuario o cualquier otro canal de prestación de servicios.
8.1.3.4 Elementos de la recuperación del servicio La organización debe ejercer todos los elementos del servicio de recuperación de las TIC como corresponda a su tamaño y, complejidad y continuidad del ámbito de gestión empresarial en general. El ejercicio no debe centrarse únicamente en el servicio de recuperación y reanudación, sino que debe incluir la fiabilidad de la capacidad de resistencia, sistema de monitoreo y gestión de alertas. La organización debe ejercer a nivel de componente a través de la prueba completa del sistema de localización con el fin de alcanzar altos niveles de confianza y capacidad de recuperación. Los siguientes elementos deben ser ejercidos: a)
La sala de computadoras, tales como la seguridad física; sistemas de detención de fuego y fuga de agua; proceso de evacuación; calefacción, ventilación y aire acondicionado, vigilancia del medio ambiente, y los protocolos de alerta y servicios eléctricos;
b)
Infraestructura, incluyendo la resistencia general de la conectividad de la red; la diversidad de la red; y seguridad de la red; incluida la protección anti-virus y prevención y detención de intrusos;
c)
Hardware, incluyendo servidores, equipos de telecomunicaciones, sistemas de almacenamiento y medios extraíbles;
d)
Software;
e)
Datos;
f)
Servicios; y
g)
El papel y la respuesta de los proveedores.
31
APNB/ISO/IEC 27031
Figura 6 – Un programa progresivo de prueba y ejercicio 8.1.3.5 Planificación de un ejercicio Para asegurarse de que un ejercicio no provoque incidentes o socave la capacidad de servicio, debe ser cuidadosamente planeado para minimizar el riesgo de un incidente ocurrido como consecuencia directa del e jercicio. Esta gestión de riesgos deben ser apropiada para el nivel de ejercicio llevando a cabo (es decir, los elementos de recuperación del servicio). Esto puede incluir: a)
Garantizar que todos los datos se copien inmediatamente antes del ejercicio;
b)
La realización de ejercicios en ambientes aislados; y
c)
Los ejercicios de programación "fuera de horas" o en momentos de tranquilidad en el ciclo económico, con el conocimiento de los us uarios finales.
Los ejercicios deben ser realistas, cuidadosamente planeados y acordados con las partes interesadas, existiendo así un riesgo mínimo de la interrupción de los procesos de negocio. No deben, sin embargo, llevarse a cabo durante los incidentes. La escala y complejidad de los ejercicios deben ser apropiados para los objetivos de recuperación de la organización. Cada ejercicio debe tener un "mandato", acordado y firmado de antemano por el patrocinador del ejercicio, que pueden incluir: a)
Descripción;
b)
Objetivos;
32
APNB/ISO/IEC 27031
c)
Alcance;
d)
Supuestos;
e)
Restricciones;
f)
Riesgos;
g)
Criterios de éxito;
h)
Recursos;
i)
Funciones y responsabilidades;
j)
De alto nivel de línea de tiempo / horario;
k)
Captura de los datos del ejercicio;
l)
Ejercicio / registro de incidentes;
m) Interrogatorio; y n)
Acciones posteriores al ejercicio (seguimiento y presentación).
La planificación de un ejercicio debe permitir a la organización alcanzar los criterios de éxito identificados.
8.1.3.6 Gestión de un ejercicio Una clara estructura de mando del ejercicio debe ser desarrollada con las funciones y responsabilidades asignadas a las personas apropiadas. La estructura de mando de ejercicio puede incluir: a)
Comandante del ejercicio (participante (s) con el control total de la prueba y el ejercicio);
b)
Comunicaciones del ejercicio;
c)
La confirmación de que hay suficiente personal disponible para llevar a cabo el ejercicio con la seguridad;
d)
Suficientes observadores o facilitadores para captar los procedimientos de ejercicio y mantener un registro de temas;
e)
Los principales hitos del ejercicio;
f)
El fin de los protocolos de ejercicio; y
g)
Los protocolos de emergencia para dejar de hacer ejercicio.
El ejercicio debe ser ejecutado a través del comando de ejercicios para asegurarse de que: a)
Los objetivos y los principales hitos que se cumplan;
33
APNB/ISO/IEC 27031
b) Todo el material de ejercicios y actividades tengan el nivel apropiado de confidencialidad; c)
Los riesgos en curso se supervisan y se atenúan;
d)
Todos los visitantes / observadores están autorizados;
e)
Que los procesos de el ejercicio son capturados de una manera consistente; y
f)
Todos los participantes son interrogados y cotejan información.
8.1.3.7 Revisión, reporte y seguimiento Al final de un ejercicio sus resultados deben ser revisados y seguidos de inmediato. Esto debe incluir: a)
La recopilación de los resultados y conclusiones;
b)
El análisis de los resultados y conclusiones con los objetivos del ejercicio y los criterios de éxito;
c)
La identificación de posibles brechas;
d)
La asignación de puntos de acción con plazos definidos;
e)
La creación de un informe de ejercicio para su ponderación oficial por el patrocinador del ejercicio; y
f)
La consolidación y seguimiento de los reportes del ejercicio.
8.2
Auditoría Interna de ATCN
El plan de auditoría interna de ATCN debe definir y documentar los criterios de auditoría, el alcance, método y la frecuencia (por ejemplo, la auditoría interna de ATCN llevada a cabo anualmente). El plan de auditoría debe garantizar que sólo los auditores calificados internos son designados para la auditoría. La selección de auditores y la realización de la auditoría deben asegurar la objetividad e imparcialidad del proceso de auditoría. Auditores que llevan a cabo la auditoría interna de ATCN deben ser competentes para llevar a cabo la tarea. Por ejemplo, los auditores deben asistir a la formación de auditores pertinentes a fin de adquirir las habilidades y conocimientos necesarios para llevar a cabo la auditoría. Un procedimiento debe ser establecido para asegurar que las deficiencias detectadas en las auditorías internas de ATCN se rectifican. El plan de auditoría también debe incluir las partes externas. Por ejemplo, los proveedores externos deben ser auditados por su capacidad para apoyar las estrategias ATCN de la organización y los planes durante las operaciones diarias y respuesta y la recuperación del desastre. Una auditoría interna debe llevarse a cabo cuando hay cambios significativos en los servicios fundamentales de las TIC, requisitos de continuidad del negocio (como los relevantes para el alcance ATCN), o los requisitos ATCN.
34
APNB/ISO/IEC 27031
Los resultados de la auditoría interna de ATCN deben ser registrados y reportados. La dirección debe revisar los resultados de las auditorías internas de ATCN y el estado de seguimiento de acciones correctivas.
8.3
Revisión por la Dirección
8.3.1 Generalidades La alta dirección debe asegurar que el sistema de gestión de ATCN se revisa a intervalos planificados. Esta revisión puede abarcar la entrada de auditorías internas o externas, o las autoevaluaciones. La revisión debe incluir la evaluación de oportunidades de mejora y la necesidad de cambios en la gestión de ATCN, incluyendo la política objetivos de ATCN los objetivos. Además, la alta dirección debe revisar anualmente la firma de los requisitos ATCN, incluyendo la definición de servicios de TIC, la lista documentada de los servicios fundamentales de las TIC y los riesgos asociados a las deficiencias detectadas entre crítico de las TIC la capacidad de preparación fundamental de las TIC y los requisitos de continuidad del negocio. Los resultados de la revisión deben estar claramente documentados y los registros deben mantenerse.
8.3.2
Entradas para la revisión
La entrada para una revisión por la dirección debe incluir información sobre: a)
Niveles de servicios internos;
b)
Capacidad de los proveedores externos de servicios para mantener los niveles adecuados de servicio;
c)
Resultados de las auditorías pertinentes;
d)
Comentarios (feedback) de las partes interesadas, incluidas las observaciones independientes;
e)
Estado de las acciones preventivas y correctivas;
f)
Nivel de riesgo residual y riesgo aceptable;
g)
Acciones de seguimiento de revisiones anteriores y recomendaciones;
h)
Lecciones aprendidas de las pruebas y ejercicios, los incidentes y el programa de educación y sensibilización; y
i)
Guías y buenas prácticas emergentes.
8.3.3
Salidas de la revisión
La salida de la revisión debe ser respaldada por la alta dirección e incluir: a)
Cambios en el alcance del sistema de gestión ATCN;
35
APNB/ISO/IEC 27031
b)
Mejoras a la eficacia del sistema de gestión ATCN;
c)
Requisitos de ATCN revisados, incluyendo definiciones de servicios TIC, lista documentada de los servicios TIC críticos y riesgos asociados a las brechas detectadas entre la capacidad de Preparación crítica de las TIC y los requisitos de continuidad del negocio;
d)
Modificación de la estrategia de ATCN y procedimientos, según sea necesario, para responder a eventos internos y externos que podrían tener un impacto en los servicios TIC, incluyendo cambios en:
i)
los requisitos del negocio;
ii)
los requisitos de resistencia; y
iii)
los niveles de riesgo y niveles de aceptación del riesgo.
e)
Las necesidades de recursos; y
f)
Requerimientos de fondos y presupuesto.
8.4
Medición de los Criterios de preparación del rendimiento de las TIC
8.4.1
Seguimiento y medición de la preparación para las TIC
La organización debe controlar y medir su preparación para las TIC a través de la aplicación del proceso de medición de los criterios de preparación del rendimiento de las TIC (6.7).
8.4.2
Criterios de Desempeño cuantitativos y cualitativos
Los criterios de desempeño para ATCN pueden ser cualitativos o cuantitativos. Los criterios cuantitativos pueden incluir: a)
El número de incidentes que no han sido detectados antes de la interrupción durante un determinado período de tiempo (esto puede proporcionar una indicación de la integridad de los mecanismos de detección y alerta);
b)
El tiempo de detección de incidentes;
c)
El número de incidentes que no pueden ser contenidos efectivamente para reducir el impacto;
d)
La disponibilidad de fuentes de datos para indicar la emergencia de los incidentes a través del seguimiento de las tendencias de los acontecimientos; y
e)
El tiempo de reacción y respuesta a incidentes emergentes detectados.
Cuando se utilizan los criterios cualitativos para determinar el rendimiento de la ATCN los mismos son subjetivos, pero generalmente requieren de menos recursos en el proceso de medición (lo que puede ser apropiado para una organización pequeña o mediana que está sujeta a la restricción de recursos). Se puede incluir la determinación de la eficiencia de los procesos utilizados en la planificación, preparación y ejecución de las actividades de ATCN y se puede medir a través de:
36
APNB/ISO/IEC 27031
a)
La encuesta con cuestionario estructurado o no;
b)
Retroalimentación de los participantes e interesados;
c)
Realización de talleres de retroalimentación, y
d)
Otra reunión del grupo enfocada.
9
MEJORA ATCN
9.1
Mejora continua
La organización ATCN debe mejorar continuamente mediante la aplicación de acciones preventivas y correctivas que sean adecuadas a los potenciales impactos determinados por el análisis de la organización empresarial de impacto (BIA) y su apetito de riesgo.
9.2
Acciones correctivas
La organización debe tomar las acciones correctivas para cualquier falla existente de los servicios TIC y de los elementos de la ATCN. El procedimiento documentado para la acción correctiva debe definir requisitos para: a)
Identificar las fallas;
b)
Identificar las causas de las fallas;
c)
Evaluar la necesidad de adoptar medidas para asegurar que las no conformidades no se repitan;
d)
Determinar e implementar las acciones correctivas necesarias;
e)
Registrar los resultados de las acciones adoptadas; y
f)
Revisar la acción correctiva tomada.
9.3
Acciones preventivas
La organización debe identificar las posibles debilidades en los elementos de ATCN y establecer un procedimiento documentado para: a)
Identificar posibles fallas;
b)
Identificar las causas de las fallas;
c)
Determinar e implementar las acciones preventivas necesarias; y
d)
Registrar y revisar los resultados de la acción tomada.
37
APNB/ISO/IEC 27031
Anexo A (Informativo) ATCN e hitos durante una interrupción La figura A.1 ilustra cómo los elementos ATCN apoyan los hitos clave durante una interrupción importante. Los eventos y los hitos ocurren a lo largo de una línea de tiempo a partir de la Hora Cero, cuando ocurre la interrupción/desastre de un servicio TIC. Un ejemplo de una situación de desastre es la que surge de un ataque de intrusión (comúnmente llamado "hacking") dirigido al sistema TIC crítico de la organización. El Objetivo de Punto de Recuperación (RPO) se refiere a la cantidad de datos irrecuperables que se han perdido debido a la interrupción. Esto se representa en la línea de tiempo como la cantidad de tiempo entre la última buena copia de seguridad realizada y el momento en el cual se produce la interrupción. El RPO varía en función de la estrategia de recuperación de servicios TIC empleada, sobre todo en la disposición de la copia de seguridad. En la Hora Cero, el sistema TIC crítico fue invadido por piratas informáticos y los servicios fueron derribados. El primer hito que se produce después de la interrupción de servicios TIC es la detección directa de los incidentes de seguridad (es decir, el evento de intrusión) o la detección indirecta de la pérdida de servicio (o degradación), para lo cual habrá pasado un tiempo antes de la notificación; por ejemplo, en algunos casos la notificación puede llegar a través de una llamada telefónica de un usuario a la mesa de ayuda de TI. Podría transcurrir más tiempo mientras que la interrupción de los servicios TIC se investiga, analiza y comunica y se toma la decisión de invocar la ATCN. Se puede tardar varias horas desde el inicio de la interrupción del servicio TIC hasta que se toma la decisión de invocar al ATCN una vez que la comunicación y el tiempo de la toma de decisiones son tomados en cuenta. La decisión de la invocación puede requerir una cuidadosa consideración en algunas situaciones, por ejemplo, cuando el servicio no se ha perdido totalmente o parece haber una perspectiva sólida de recuperación del servicio inminente, porque invocar ATCN suele afectar a las operaciones comerciales normales. Una vez que se invoca, la recuperación del servicio de las TIC puede comenzar. Esto se puede dividir en recuperación de la infraestructura (red, hardware, sistema operativo, software de backup, etc.) y recuperación de aplicaciones (bases de datos, aplicaciones, proceso por lotes, interfaces, etc.) (Refiérase a la Norma ISO/IEC 24762 para más información). Una vez que los servicios de TIC se han recuperado y las pruebas del sistema se han llevado a cabo por personal de TIC, el servicio puede hacerse disponible para la prueba de aceptación del usuario antes de que se libere al personal para su uso en las operaciones de continuidad del negocio. Desde una perspectiva de continuidad del negocio hay un Objetivo de Tiempo de Recuperación (RTO) por producto, servicio o actividad y este RTO comienza desde el momento en que la interrupción se produce y se prolongará hasta que el producto, servicio o actividad se recupere, pero podría haber una serie de servicios de TIC necesarios para que éste y cada uno de estos servicios TIC puedan abarcar una serie de sistemas y aplicaciones TIC. Cada uno de estos componentes de sistemas o aplicaciones de las TIC tendrá su propia RTO como un subconjunto de un RTO de un servicio TIC de punta-a-punta y debe ser menor que el RTO de la continuidad del negocio, teniendo en cuenta el tiempo de detección y toma de decisiones y el tiempo de la prueba de aceptación del usuario (a
38
APNB/ISO/IEC 27031
menos que el producto, servicio o actividad de la continuidad del negocio pueda ser soportado sin las TIC durante un período, por ejemplo, utilizando procedimientos manuales). Los servicios TIC recuperados típicamente operan durante un período de tiempo soportando las actividades de la continuidad del negocio y si este es un período extenso los servicios TIC recuperados podrían necesitar ser escalados para soportar un volumen creciente de actividad, potencialmente al punto en el cual el producto, servicio o actividad es totalmente recuperado a volúmenes normales de transacción. Posteriormente, en algún momento a lo largo de la línea de tiempo, la restauración será posible y deseable y las operaciones DR serán llevadas de vuelta a operaciones “normales". El retorno a operaciones "normales" puede ser al estado o ambiente original previo a la interrupción, o a un nuevo estado de operación (en especial cuando una interrupción desastrosa ha obligado a un cambio permanente en el negocio). Si bien el personal de las TIC tiene la oportunidad de planificar cuidadosamente la restauración y programarla para que se lleve a cabo durante un período natural de baja actividad, esto es una tarea importante en sí misma. Las flechas en la parte superior del diagrama indican cómo los principios de ATCN detallados en la norma ISO/IEC 27031 se alinean con la línea de tiempo de interrupción.
Figura A.1 – ATCN e hitos durante una interrupción
39
APNB/ISO/IEC 27031
Anexo B (Informativo) Sistema integrado de alta disponibilidad En tecnologías de la información y la comunicación, "alta disponibilidad" se refiere a los sistemas o componentes que se encuentran en continua operación durante un largo período de tiempo deseable. La disponibilidad se puede medir en relación a "100% operativo "o" que no nunca falla". Hay una norma ampliamente difundida, pero difícil de conseguir, de la disponibilidad de un sistema o producto que se conoce como "cinco 9s" (99,999 por ciento) de disponibilidad. Un sistema informático o una red se compone de muchos componentes, que en general tienen que estar presentes y funcionales para que el conjunto sea operativo, y si bien la planificación de la alta disponibilidad frecuentemente se centra en los respaldos y el procesamiento de fallos y en el almacenamiento y el acceso a los datos, otros componentes de infraestructura tales como energía y enfriamiento son igualmente importantes. Por ejemplo, la disponibilidad de energía se puede asegurar mediante medidas tales como: a)
Sistema de Alimentación Ininterrumpida (UPS, por su sigla en inglés);
b)
Capacidad de generación de energía de emergencia, y
c)
Dos fuentes de poder de una rejilla.
El respaldo de seguridad de datos y la disponibilidad pueden ser alcanzados usando una variedad de tecnologías de almacenamiento, tales como conjunto redundante de discos independientes (RAID), almacenamiento en red (SAN), etc. La disponibilidad de las aplicaciones también debe tenerse en cuenta y se realiza generalmente a través de agrupaciones. Estas tecnologías sólo pueden ser realmente eficaces en la entrega de una alta disponibilidad mediante la implementación concurrente en más de un lugar. Por ejemplo, teniendo simplemente un servidor “de fallos” (servidor que replica el princi pal) en el mismo lugar que el servidor principal o "de producción" no va a proporcionar los niveles necesarios de resistencia si ese sitio se ve afectado por una interrupción grave. Ambos servidores se verán afectados por la misma interrupción. Los servido res “de fallos” y otras tecnologías de soporte tendrán que estar situados en otro lugar para que puedan alcanzarse los niveles requeridos de disponibilidad. Para muchas organizaciones el costo y el esfuerzo necesarios para alcanzar esos niveles de alta disponibilidad puede ser de enormes proporciones y en los últimos años ha habido un enorme crecimiento en el uso de los proveedores externos de servicios que son capaces de ofrecer los conocimientos, recursos y tecnologías de resistencia a un precio asequible ya sea a través de la prestación de servicios gestionados o de cloud services (aplicaciones virtuales integradas). Sin embargo, debe recordarse que mientras que la alta disponibilidad es una vía eficaz para la resistencia mejorada, la posibilidad de fallo se mantiene. Por lo tanto, es vital que los procesos y procedimientos DR bien planificados y probados estén en su lugar.
40
APNB/ISO/IEC 27031
Anexo C (Informativo) Evaluación de escenarios de falla C.1 GENERALIDADES Existe una gama de posibilidades técnicas de gestión de riesgos que puede ayudar en la evaluación de la Preparación de las TIC para la BC y en el desarrollo de un marco apropiado para el continuo desarrollo y mejora de la capacidad de recuperación de las TIC. La intención de la Norma ISO 31010-2009 "Gestión de Riesgos - Técnicas de evaluación de riesgos" es reflejar las buenas prácticas en la selección y utilización de técnicas de evaluación de riesgos. Se debe hacer referencia a esta Norma para determinar cuál es la técnica más apropiada para ser utilizada dentro de una organización. La evaluación de escenarios de fallos es una técnica que puede ser beneficiosa en la mejora de la eficacia de la ATCN y este anexo proporciona información adicional sobre cómo puede ser implementado.
C.2 METODOLOGÍA DE EVALUACIÓN Los problemas de riesgo desconocidos pueden surgir entre las evaluaciones, como resultado de los cambios internos y externos en el entorno de la organización, que pueden dificultar la continuidad del negocio y la resistencia. El propósito de la evaluación de escenarios de fallo consiste en identificar indicadores adecuados de eventos y asegurar que los planes ATCN son capaces de detectar un riesgo emergente y que son capaces de preparar a la organización para garantizar la toma de medidas adecuadas antes de que el fallo ocurra. Una serie de metodologías específicas se encuentran disponibles para tal fin, incluyendo el Análisis del Efecto del Modo de Fallos (FMEA, por su sigla en inglés) y el Análisis del Impacto del Fallo de Componente (CFIA, por su sigla en inglés). Para fines demostrativos, este anexo tiene en cuenta la metodología específica FMEA aunque una organización debe seleccionar una metodología apropiada para su ambiente y el marco de trabajo. Análisis del Efecto del Modo de Fallos (FMEA) es un proceso para identificar y analizar los modos de falla potenciales de un sistema para la clasificación de la gravedad o la determinación de los fallos que afectan al sistema. En el contexto de esta norma, el FMEA se puede aplicar para determinar los indicadores de eventos críticos que deben ser monitorizados para detectar los modos de falla potencialmente graves en el sistema TIC de la organización. El proceso, basado en un enfoque FMEA, se puede aplicar a cada componente crítico de los servicios de las TIC com o se describe en 6.3.2. Para cada componente crítico: a)
Identificar el potencial modo de falla;
b)
Determinar el potencial impacto sobre el servicio TIC, es decir, la gravedad de cada modo de fallo, y qué consecuencias podrían resultar de cada una;
41
APNB/ISO/IEC 27031
c)
Determinar la frecuencia de ocurrencia de un modo de fallo sobre el cual la organización cuente con experiencia previa, así como la facilidad de control y detección del modo de fallo;
d)
Identificar los indicadores que pueden proporcionar una señal o información de que el componente está fallando;
e)
Identificar los eventos directos e indirectos que están relacionados, y que cambiarán el estado de cada indicador;
f)
Identificar los controles existentes que impiden el fallo de los componentes críticos, o que puedan detectar cuando ocurren estos fallos;
g)
Identificar las fuentes de datos relacionadas, y los posibles métodos de vigilancia para detectar cambios en el valor del indicador, categorizar los indicadores de eventos por la disponibilidad de métodos de control y facilidad de control; y
h)
Determinar si la reducción de riesgos o controles adecuados de eliminación se pueden aplicar para prevenir su ocurrencia.
C.3 EVALUACIÓN DE RESULTADOS La salida de FMEA incluye una lista de posibles modos de falla y efectos – los eventos relacionados se pueden utilizar para determinar indicadores de eventos que deben ser supervisados. Los Modos de Fallos detectados en el proceso FMEA pueden ser priorizados de acuerdo a la gravedad, frecuencia de ocurrencia, y facilidad de vigilancia y detección. Un FMEA también documenta el conocimiento actual y las acciones sobre los riesgos de fallos, para su uso en continua mejora. Si FMEA se utiliza durante la etapa de diseño con el objetivo de evitar futuras fallas, se puede utilizar para control de procesos, antes y durante el funcionamiento del proceso. Idealmente, FMEA comienza durante los primeras etapas conceptuales del diseño y continúa a lo largo de la vida del producto o servicio.
42
APNB/ISO/IEC 27031
Anexo D (Informativo) El desarrollo de los criterios de desempeño Como el desempeño de ATCN difiere de una organización a otra, cada organización debe desarrollar su criterio de rendimiento ATCN, y mantenerlo como parte del proceso de mej ora continua. Un enfoque básico es el uso de los escenarios de incidente conocidos y eventos relacionados para el establecimiento de líneas base de respuesta para cada categoría de incidentes y eventos relacionados como se muestra a continuación. a)
Como parte de los procesos de SGSI y BCM, los incidentes conocidos y los indicadores de eventos se han establecido como entrada a los próximos pasos.
b)
Dar un conjunto de hechos conocidos (por ejemplo, ataques de intrusión de contraseñas, falla en el servidor debido a la insuficiencia de espacio del disco duro).
c)
Determinar los eventos que conducen a esos incidentes (por ejemplo, intentos de logueo fallidos, utilización del disco duro).
d)
Determinar el tiempo de detección adecuado (por ejemplo, el umbral para los eventos que se informarán /reportarán al sistema / administrador).
e)
Determinar el tiempo de respuesta adecuados (por ejemplo, la línea de tiempo para que el administrador tome medidas para evitar que un incidente se materialice);
f)
Clasificar los eventos en grupos de bloques de tiempo de respuesta deseada y tipos de acciones de respuesta; los eventos pueden ser clasificados por grupo de riesgo, grupo de aplicaciones, grupo de acciones de respuesta y grupo de tiempo de respuesta.
g)
Perfeccionar las matrices y las mediciones a través de pruebas de simulacro de escenarios y ejercicios.
h)
Llevar a cabo pruebas para determinar si las acciones de respuesta son viables, y si la meta es alcanzable.
i)
Acotar las categorías, el tiempo de espera de eventos de respuesta, y acciones esperadas de respuestas de eventos (por ejemplo, buscar un método alternativo para controlar, detectar y actuar).
j)
Mejorar mediante la captura de nuevos incidentes y situaciones de error y repetir el proceso.
43