Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM)
A partir de los estándares: ISO/IEC 27002:2005 ISO/IEC 27001:2005 Alejandro Cerezo H. ISACA Capítulo Monterrey
Agenda
Definición de SGSI (Sistema de Gestión de la Seguridad de la Información)
Soportando BCM con base en ISO/IEC 27002:2005 o
Que es ISO/IEC 27002
o
Estructura del Estándar
o
Dominio 14. Business Continuity Management –
•
Auditando BCM de acuerdo al ISO/IEC 27001:2005 o
Que es ISO/IEC 27001
o
Estructura del Estándar
o
Que requiere el estándar en relación al cumplimiento con BCM
o
Que solicitará el auditor para la evaluación de los objetivos de control (A. 14)
Nota: Es importante destacar, que la información aquí contenida es sólo un resumen general general de los objetivos de control del estándar, para un mayor detalle deberá acudir al mismo.
ISACA Capítulo Monterrey
Agenda
Definición de SGSI (Sistema de Gestión de la Seguridad de la Información)
Soportando BCM con base en ISO/IEC 27002:2005 o
Que es ISO/IEC 27002
o
Estructura del Estándar
o
Dominio 14. Business Continuity Management –
•
Auditando BCM de acuerdo al ISO/IEC 27001:2005 o
Que es ISO/IEC 27001
o
Estructura del Estándar
o
Que requiere el estándar en relación al cumplimiento con BCM
o
Que solicitará el auditor para la evaluación de los objetivos de control (A. 14)
Nota: Es importante destacar, que la información aquí contenida es sólo un resumen general general de los objetivos de control del estándar, para un mayor detalle deberá acudir al mismo.
ISACA Capítulo Monterrey
Defin De finici ición ón de un SG SGSI SI • Según UNE-ISO/IEC 27001 • “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)” SGSI Sistema de Gestión de la Se ur uridad de la Información:
Es un sist siste ema• de ges gestión tión que que comp comprrende ende la polít olític ica a, la estructura organizativa, los procedimientos, los procesos y los los recu recurs rso os nece necesa sari rios os par para impl implan anta tarr la ges gestión tión de la seguridad seguridad de la información. información. El sistema sistema es la herramienta de que dispone la Dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación, etc.). Proporcionar mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concorda rdancia con las las pol políticas cas de seg segurida idad y planes nes estratégicos de la organización.
ISMS = Information Security Management System ISACA Capítulo Monterrey
UNE-ISO/IEC 27002:2005 1- Alcance
0- Introducción
6- Aspectos organizativos para la Seguridad 7- Clasificación y Control de Activos
A M R O N A L D A R U T C U R T S E
2- Términos y definiciones
5- Políticas de Seguridad
3-Análisis y Gestión del Riesgo
8- Seguridad ligada al personal
9- Seguridad física y ambiental
Comunicaciones y operaciones
11- Control de Accesos
13- Gestión de Incidentes de Seguridad 14- Gestión de Continuidad del negocio 15- Conformidad ISACA Capítulo Monterrey
12- Desarrollo Mantenimiento de Sistemas
UNE-ISO/IEC 27001:2005 0- Introducción 1- Objeto y campo de aplicación 2- Normas para consulta 3- Términos y definiciones 4- SGSI 6- Auditorias Internas del SGSI 7- Revisión del SGSI por la Dirección 8- Mejora del SGSI
Anexo A (Normativo)
ISACA Capítulo Monterrey
Requisitos Generales
Se “debe” Establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI documentado :
– Aplicable a los activos a proteger – Aplicando el enfoque de la organización para gestionar el riesgo – El proceso se basa en el modelo PDCA
ISACA Capítulo Monterrey
Requisitos Generales • Modelo PDCA aplicado al SGSI
PLAN Establecer SGSI
,
DO
y Operar el SGSI
Mantenimiento y Mejora
Supervisar y Revisar el SGSI
CHECK ISACA Capítulo Monterrey
Mejorar SGSI
ACT
Modelo PDCA aplicado a los procesos del SGSI
Planificar (creación del SGSI)
Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización.
Hacer (implementación y operación del SGSI)
Implementar y operar la política, procesos y procedimientos del SGSI.
Verificar (supervisión y revisión del SGSI)
Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la Dirección para su revisión.
Actuar (mantenimiento y mejora del SGSI)
Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI.
ISACA Capítulo Monterrey
controles,
Compromiso de la Dirección
La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones:
o Formulando la política del SGSI o Velando por el establecimiento de los objetivos y planes del SGSI o Estableciendo los roles y responsabilidades en materia de seguridad de la información o Comunicando a la organización la importancia de cumplir los objetivos y la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua
ISACA Capítulo Monterrey
Compromiso de la Dirección
La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones:
o Proporcionando recursos suficientes para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI los niveles aceptables de riesgos o Velando por que se realicen las auditorias internas del SGSI o Dirigiendo las revisiones del SGSI
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 • Qué es ISO/IEC 27002:2005 ?
Estándar Internacional que establece las
guías y principios
generales
para comenzar, implementar , mantener y mejorar la Gestión de la Seguridad en una organización.
Los objetivos brindados por el estándar proveen una guía general sobre las
aceptadas para la Gestión de la Seguridad de la Información. metas comúnmente
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 Estructura del Estándar (1 de 2) De manera general, el estándar se encuentra distribuido de la siguiente forma:
Por lo que refiere al propósito del mismo, la parte de mayor interés será la sección correspondiente al establecimiento de Objetivos de Control y Controles. ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 Estructura del Estándar (2 de 2) El estándar se encuentra compuesto por 11 Secciones de Control, comúnmente llamadas Dominios, comprendiendo un total de 39 Objetivos de Control y 133 Controles.
o
5. Política de Seguridad
o
6. Organización de la Seguridad de la información
o
.
es
n e
c vos
o
8. Seguridad de Recursos Humanos
o
9. Seguridad Física y Ambiental
o
10. Gestión de Comunicaciones y Operaciones
o
11. Control de Accesos
o
12. Adquisición, desarrollo y mantenimiento de sistemas
o
13. Gestión de incidentes de seguridad de la información
o
14. Gestión de la Continuidad del Negocio
o
15. Cumplimiento.
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 Dominio 14. Gestión de la Continuidad del Negocio (1 de 11) 14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio
Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos. Ase urando su restablecimiento o ortuno.
14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del Negocio. 14.1.2 Continuidad del Negocio y Análisis de Riesgos. 14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad de la información. 14.1.4 Marco Referencial para la Planeación de la Continuidad del Negocio 14.1.5 Prueba, mantenimiento y actualización de los planes de continuidad del negocio.
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del Negocio. Control: Se debería instalar en toda la organización un proceso de gestión para el desarrollo y mantenimiento de la Continuidad del Negocio Guía de implementación: a) Comprender los riesgos de la organización, identificar y priorizar los procesos críticos. . c) Comprender el Impacto que tendrían las interrupciones en el negocio. d) Considerar la adquisición de seguros adecuados. e) Identificar y considerar la implementación de controles adicionales de prevención. f) Identificar los recursos financieros, organizacionales, técnicos y ambientales. g) Asegurar la seguridad del personal e instalaciones h) Formular y documentar planes i) Probar y Actualizar planes j) Asegurar la incorporación del BCM a los procesos de la organización. Asignar un Responsable. ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.1 con entregables Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los productos desarrollados por una empresa de consultoría en términos generales como parte de los proyectos DRP/BCP, estos entregables satisfacen los . .
o Análisis de Riesgos (AR) o Análisis de Impacto al Negocio (BIA) o Plan de Acción del DRP o Pruebas, Metodología de Pruebas o Mantenimiento, Metodología de Mantenimiento ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 14.1.2
Continuidad del Negocio y Evaluación de Riesgos
Control: Los eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados junto con su probabilidad de impacto
Guía de implementación: a) Identificación de los eventos b) evaluar el riesgo determinando la probabilidad e impacto del evento c) Desarrollar un plan estratégico a partir de los resultados de la evaluación del riesgo d) Crear una estrategia sólida y respaldada así como un plan para implementarla ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.2 con entregables Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los productos desarrollados por una empresa de consultoría en términos generales como parte de los proyectos DRP/BCP, estos en rega es sa s acen os requer m en os so c a os por e Objetivo de Control 14.1.2
o Análisis de Riesgos (AR) o Estrategia de Recuperación / Continuidad o Plan de Acción del DRP
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad de la información.
Control: Se deberían desarrollar planes de mantenimiento y recuperación de las operaciones del negocio
a) Identificación de los procedimientos de emergencia y los acuerdos de todas las responsabilidades b) La identificación de las pérdidas aceptables de información y servicios. c) La implementación de los procedimientos que permitan la recuperación y restauración de las operaciones de negocio, dependencias de negocios externas e internas. d) Los procedimientos para completar la restauración y recuperación. e) La documentación de los procedimientos. f) La formación apropiada del personal en los procedimientos. g) La prueba y actualización de los planes. ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.3 con entregables Comunes de una Consultoría Los entregables listados a continuación, forman parte de los productos desarrollados por una empresa de consultoría en términos generales como parte de los proyectos DRP/BCP, estos entregables satisfacen los . . o Análisis de Impacto al Negocio (BIA) o Procedimientos Técnicos de Recuperación o Procedimientos de Operación y Continuidad del Negocio o Capacitación y Concientización o Pruebas, Metodología de Pruebas o Mantenimiento, Metodología de Mantenimiento ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 14.1.4. Marco Referencial para la Planeación de la Continuidad del Negocio. Control: Se deberá mantener un esquema único de planes de continuidad del negocio para asegurar que dichos planes sean consistentes Guía de implementación: . b) Los procedimientos de emergencia que describen las acciones a realizar tras una contingencia. c) Los procedimientos de respaldo d) Procedimientos temporales de operación e) Los procedimientos de reanudación. f) El calendario de mantenimiento g) Actividades de concientización y formación h) Las responsabilidades de las personas i) Los activos y recursos críticos necesarios ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 Alineación del Objetivo de Control 14.1.4 entregables Comunes de una Consultoría Los entregables listados a continuación, forman parte de los productos desarrollados por una empresas de consultoría en términos generales como parte de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos solicitados por el Objetivo de Control 14.1.4 o Estrategia de Recuperación o Procedimientos Técnicos de Recuperación o Procedimientos de Operación y Continuidad del Negocio o Grupos de Recuperación o Capacitación y Concientización o Pruebas, Metodología de Pruebas o Mantenimiento, Metodología de Mantenimiento
ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005 14.1.5 Prueba, mantenimiento y actualización de los planes de Continuidad del Negocio.
Control: Los Planes de Continuidad del Negocio se deberán probar regularmente para asegurarse de su actualización y eficacia.
Guía de implementación: a) La prueba sobre papel de varios escenarios. b) La simulación (para entrenar al personal) c) Las pruebas de Recuperación Técnica d) Las pruebas de Recuperación en un lugar alternativo e) Las pruebas de los recursos y servicios del Proveedor f) Los ensayos completos. g) La actualización correspondiente ISACA Capítulo Monterrey
Soportando BCM con base en ISO/IEC 27002:2005
Alineación del Objetivo de Control 14.1.5 entregables Comunes de una Consultoría Los entregables listados a continuación, forman parte de los productos desarrollados por una empresa de consultoría en términos generales como parte de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos so c ta os por e et vo e ontro . .
o
Capacitación y Concientización
o Pruebas, Metodología de Pruebas o Mantenimiento, Metodología de Mantenimiento
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 •
Qué es ISO/IEC 27001:2005 ?
Es el estándar internacional generado para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la
Información (SGSI), define los requerimientos que deberán ser cumplidos en la integración de un SGSI, siendo ésta auditable y certificable. Negocio, especificando los requerimientos de seguridad necesarios para contrarrestar las interrupciones, fallas y efectos originados por desastres en los sistemas de información. Contemplados en el Dominio 14. del anexo A de dicho estándar.
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 Estructura del Estándar De manera general, el estándar se encuentra distribuido de la siguiente forma:
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 Que requiere el estándar en relación al cumplimiento con BCM (1 de 2) A. 14 Gestión de la Continuidad del Negocio A.14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio Objetivo:
Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos , . Asegurando su restablecimiento oportuno. 14.1.1
Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del Negocio.
Se debería instalar en toda la organización un proceso de gestión para el desarrollo y mantenimiento de la Continuidad del Negocio
14.1.2
Continuidad del Negocio y Análisis de Riesgos.
Los eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados junto con su probabilidad de impacto
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 Que requiere el estándar en relación al cumplimiento con BCM (2 de 2)
Se deberían desarrollar planes de mantenimiento y recuperación de las operaciones del negocio
14.1.3
Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad de la información.
14.1.4
Marco Referencial para la Planeación de la Continuidad del Negocio
Se deberá mantener un esquema único de planes de continuidad del negocio para asegurar que dichos planes sean consistentes...
Prueba, mantenimiento y actualización de los planes de continuidad del negocio.
Prueba, mantenimiento y actualización de los planes de continuidad del negocio
14.1.5
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 •
Que solicitará el auditor para la evaluación de los objetivos de control (A. 14) •
El auditor revisará el cumplimiento de esos objetivos de control, basado en su conocimiento, criterio y experiencia.
•
El auditor deberá asegurar que los controles sean razonablemente efectivos en su diseño, desarrollo, implementación y operación.
•
Lo que si es seguro es que si enfocamos nuestros esfuerzos basados en mejores prácticas y entandares de la industria en términos de continuidad y recuperación indudablemente cumpliremos los requerimientos del Auditor.
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 Recordemos entonces : • La metodología y entregables desarrollados por cualquier empresa de consultoría deben estar alineados y cumplir en todos los sentidos con los estándares y mejores prácticas de la industria tales como
BS 25999 BS 25777 DRII BCI e ISO/IEC 27002:2005 Dominio 14., etc. Lo cual nos permitirá alcanzar la certificación deseada
ISACA Capítulo Monterrey
Auditando BCM de acuerdo al ISO/IEC 27001:2005 Ejemplo EJEMPLO
ISACA Capítulo Monterrey