Soportando y Auditando

la Gestin de la
Continuidad
del Negocio (BCM)

A partir de los estndares:

ISO/IEC 27002:2005
ISO/IEC 27001:2005
Alejandro Cerezo H.
ISACA Captulo Monterrey

Agenda

Definicin de SGSI (Sistema de Gestin de la Seguridad de la
Informacin)

Soportando BCM con base en ISO/IEC 27002:2005
o

Que es ISO/IEC 27002

Estructura del Estndar

Dominio 14. Business Continuity Management

Alineacin de Objetivos de Control con entregables DRP/BCP Integridata

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Que es ISO/IEC 27001

Estructura del Estndar

Que requiere el estndar en relacin al cumplimiento con BCM

Que solicitar el auditor para la evaluacin de los objetivos de control (A. 14)

Nota: Es importante destacar, que la informacin aqu contenida es slo un resumen general de los objetivos de control del
estndar, para un mayor detalle deber acudir al mismo.

ISACA Captulo Monterrey

Definicin de un SGSI
Segn UNE-ISO/IEC 27001
Especificaciones para los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI)
SGSI
Sistema
de
Gestin de la
Seguridad de
la Informacin:

Es un sistema de gestin que comprende la poltica, la

estructura organizativa, los procedimientos, los procesos y
los recursos necesarios para implantar la gestin de la
seguridad de la informacin. El sistema es la herramienta de
que dispone la Direccin de las organizaciones para llevar a
cabo las polticas y los objetivos de seguridad (integridad,
confidencialidad
y
disponibilidad,
asignacin
de
responsabilidad,
autenticacin,
etc.).
Proporcionar
mecanismos para la salvaguarda de los activos de
informacin y de los sistemas que los procesan, en
concordancia con las polticas de seguridad y planes
estratgicos de la organizacin.

ISMS = Information Security Management System

ISACA Captulo Monterrey

UNE-ISO/IEC 27002:2005
1- Alcance

ESTRUCTURA DE LA NORMA

0- Introduccin

2- Trminos y
definiciones

5- Polticas de Seguridad
6- Aspectos organizativos para la Seguridad
7- Clasificacin y Control de Activos

3-Anlisis y Gestin
del Riesgo

8- Seguridad ligada
al personal

9- Seguridad fsica
y ambiental

10- Gestin de
Comunicaciones
y operaciones

11- Control de Accesos

13- Gestin de Incidentes de Seguridad

14- Gestin de Continuidad del negocio
15- Conformidad
ISACA Captulo Monterrey

12- Desarrollo y
Mantenimiento de
Sistemas

UNE-ISO/IEC 27001:2005
0- Introduccin
1- Objeto y campo de aplicacin
2- Normas para consulta
3- Trminos y definiciones
4- SGSI
5- Responsabilidad de la Direccin
6- Auditorias Internas del SGSI
7- Revisin del SGSI por la Direccin
8- Mejora del SGSI

Anexo A (Normativo)

ISACA Captulo Monterrey

Requisitos Generales
 Se debe Establecer, implementar, operar, supervisar,
revisar, mantener y mejorar un SGSI documentado :

Aplicable a los activos a proteger

Aplicando el enfoque de la organizacin para gestionar
el riesgo
El proceso se basa en el modelo PDCA

ISACA Captulo Monterrey

Requisitos Generales
Modelo PDCA aplicado al SGSI

PLAN
Establecer SGSI

DO

Implementar
y Operar el
SGSI

Ciclo de Desarrollo,

Mantener

Mantenimiento y

Mejorar

Mejora

Supervisar y
Revisar el
SGSI

CHECK
ISACA Captulo Monterrey

SGSI

ACT

Modelo PDCA aplicado a los procesos del SGSI

Planificar (creacin del
SGSI)

Definir la poltica, objetivos, procesos y

procedimientos del SGSI relevantes para gestionar
el riesgo y mejorar la seguridad de la informacin,
con el fin de obtener resultados acordes con las
polticas y objetivos generales de la organizacin.

Hacer (implementacin
y operacin del SGSI)

Implementar y operar la poltica,

procesos y procedimientos del SGSI.

Verificar (supervisin y
revisin del SGSI)

Evaluar y, en su caso, medir el rendimiento del

proceso contra la poltica, los objetivos y la
experiencia prctica del SGSI, e informar de los
resultados a la Direccin para su revisin.

Actuar (mantenimiento
y mejora del SGSI)

Adoptar medidas correctivas y preventivas, en

funcin de los resultados de la auditora interna del
SGSI y de la revisin por parte de la direccin, o de
otras informaciones relevantes, para lograr la
mejora continua del SGSI.

ISACA Captulo Monterrey

controles,

Compromiso de la Direccin
 La direccin debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a travs de las siguientes acciones:

o Formulando la poltica del SGSI

o Velando por el establecimiento de los objetivos y planes del SGSI
o Estableciendo los roles y responsabilidades en materia de seguridad
de la informacin
o Comunicando a la organizacin la importancia de cumplir los objetivos
y la poltica de seguridad de la informacin, sus responsabilidades
legales y la necesidad de la mejora continua

ISACA Captulo Monterrey

Compromiso de la Direccin
 La direccin debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a travs de las siguientes acciones:

o Proporcionando recursos suficientes para crear, implementar, operar,

supervisar, revisar, mantener, y mejorar el SGSI
o Participando en la decisin de los criterios de aceptacin de riesgos y
los niveles aceptables de riesgos
o Velando por que se realicen las auditorias internas del SGSI
o Dirigiendo las revisiones del SGSI

ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Qu es ISO/IEC 27002:2005 ?

Estndar Internacional que establece las

guas y principios

generales

para comenzar, implementar , mantener y mejorar la

Gestin de la Seguridad en una organizacin.

Los objetivos brindados por el estndar proveen una gua general sobre las

aceptadas para la Gestin de la

Seguridad de la Informacin.
metas comnmente

ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Estructura del Estndar (1 de 2)
De manera general, el estndar se encuentra distribuido de la siguiente
forma:

Por lo que refiere al propsito del mismo, la parte de mayor inters ser la
seccin correspondiente al establecimiento de Objetivos de Control y
Controles.
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Estructura del Estndar (2 de 2)
El estndar se encuentra compuesto por 11 Secciones de Control, comnmente
llamadas Dominios, comprendiendo un total de 39 Objetivos de Control y 133
Controles.

5. Poltica de Seguridad

6. Organizacin de la Seguridad de la informacin

7. Gestin de Activos

8. Seguridad de Recursos Humanos

9. Seguridad Fsica y Ambiental

10. Gestin de Comunicaciones y Operaciones

11. Control de Accesos

12. Adquisicin, desarrollo y mantenimiento de sistemas

13. Gestin de incidentes de seguridad de la informacin

o 14. Gestin de la Continuidad del Negocio

o

15. Cumplimiento.

ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Dominio 14. Gestin de la Continuidad del Negocio (1 de 11)
14.1 Aspectos de Seguridad de la Informacin de la Gestin de la Continuidad
del Negocio

Objetivo:
Contrarestar las interrupciones en las actividades de negocio y proteger sus
procesos crticos contra desastres y fallas mayores en los sistemas de informacin, as
como de sus efectos. Asegurando su restablecimiento oportuno.

14.1.1 Incluir la Seguridad de la Informacin en el proceso de Gestin de Continuidad del

Negocio.
14.1.2 Continuidad del Negocio y Anlisis de Riesgos.
14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad
de la informacin.
14.1.4 Marco Referencial para la Planeacin de la Continuidad del Negocio
14.1.5 Prueba, mantenimiento y actualizacin de los planes de continuidad del negocio.

ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

14.1.1 Incluir la Seguridad de la Informacin en el proceso de Gestin
de Continuidad del Negocio.
Control:
Se debera instalar en toda la organizacin un proceso de gestin para el desarrollo y
mantenimiento de la Continuidad del NegocioD
Gua de implementacin:
a) Comprender los riesgos de la organizacin, identificar y priorizar los procesos crticos.
b) Identificar todos los activos implicados en los procesos crticos.
c) Comprender el Impacto que tendran las interrupciones en el negocio.
d) Considerar la adquisicin de seguros adecuados.
e) Identificar y considerar la implementacin de controles adicionales de prevencin.
f) Identificar los recursos financieros, organizacionales, tcnicos y ambientales.
g) Asegurar la seguridad del personal e instalaciones
h) Formular y documentar planes
i) Probar y Actualizar planes
j) Asegurar la incorporacin del BCM a los procesos de la organizacin. Asignar un
Responsable.
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Alineacin del Objetivo de Control 14.1.1 con entregables

Comunes de una Consultora
Los entregables listados a continuacin, forman parte de los productos
desarrollados por una empresa de consultora en trminos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.1

o Anlisis de Riesgos (AR)

o Anlisis de Impacto al Negocio (BIA)
o Plan de Accin del DRP
o Pruebas, Metodologa de Pruebas
o Mantenimiento, Metodologa de Mantenimiento
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

14.1.2

Continuidad del Negocio y Evaluacin de Riesgos

Control:
Los eventos que pueden causar interrupciones en los procesos
de negocio deben ser identificados junto con su probabilidad de
impactoD

Gua de implementacin:
a) Identificacin de los eventos
b) evaluar el riesgo determinando la probabilidad e impacto del evento
c) Desarrollar un plan estratgico a partir de los resultados de la evaluacin del
riesgo
d) Crear una estrategia slida y respaldada as como un plan para
implementarla
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Alineacin del Objetivo de Control 14.1.2 con entregables

Comunes de una Consultora

Los entregables listados a continuacin, forman parte de los

productos desarrollados por una empresa de consultora en
trminos generales como parte de los proyectos DRP/BCP, estos
entregables satisfacen los requerimientos solicitados por el
Objetivo de Control 14.1.2

o Anlisis de Riesgos (AR)

o Estrategia de Recuperacin / Continuidad
o Plan de Accin del DRP

ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo
aspectos de seguridad de la informacin.

Control:
Se deberan desarrollar planes de mantenimiento y recuperacin
de las operaciones del negocioD
Gua de implementacin:
a) Identificacin de los procedimientos de emergencia y los acuerdos de todas las
responsabilidades
b) La identificacin de las prdidas aceptables de informacin y servicios.
c) La implementacin de los procedimientos que permitan la recuperacin y restauracin de
las operaciones de negocio, dependencias de negocios externas e internas.
d) Los procedimientos para completar la restauracin y recuperacin.
e) La documentacin de los procedimientos.
f) La formacin apropiada del personal en los procedimientos.
g) La prueba y actualizacin de los planes.
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Alineacin del Objetivo de Control 14.1.3 con entregables

Comunes de una Consultora
Los entregables listados a continuacin, forman parte de los productos
desarrollados por una empresa de consultora en trminos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.3
o Anlisis de Impacto al Negocio (BIA)
o Procedimientos Tcnicos de Recuperacin
o Procedimientos de Operacin y Continuidad del Negocio
o Capacitacin y Concientizacin
o Pruebas, Metodologa de Pruebas
o Mantenimiento, Metodologa de Mantenimiento
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

14.1.4. Marco Referencial para la Planeacin de la Continuidad del
Negocio.
Control:
Se deber mantener un esquema nico de planes de continuidad del
negocio para asegurar que dichos planes sean consistentesD
Gua de implementacin:
a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activacin.
b) Los procedimientos de emergencia que describen las acciones a realizar tras una
contingencia.
c) Los procedimientos de respaldo
d) Procedimientos temporales de operacin
e) Los procedimientos de reanudacin.
f) El calendario de mantenimiento
g) Actividades de concientizacin y formacin
h) Las responsabilidades de las personas
i) Los activos y recursos crticos necesarios
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Alineacin del Objetivo de Control 14.1.4 entregables Comunes
de una Consultora
Los entregables listados a continuacin, forman parte de los productos
desarrollados por una empresas de consultora en trminos generales como parte
de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.4
o Estrategia de Recuperacin
o Procedimientos Tcnicos de Recuperacin
o Procedimientos de Operacin y Continuidad del Negocio
o Grupos de Recuperacin
o Capacitacin y Concientizacin
o Pruebas, Metodologa de Pruebas
o Mantenimiento, Metodologa de Mantenimiento
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

14.1.5 Prueba, mantenimiento y actualizacin de los planes de
Continuidad del Negocio.

Control:
Los Planes de Continuidad del Negocio se debern probar regularmente para
asegurarse de su actualizacin y eficacia.

Gua de implementacin:
a) La prueba sobre papel de varios escenarios.
b) La simulacin (para entrenar al personal)
c) Las pruebas de Recuperacin Tcnica
d) Las pruebas de Recuperacin en un lugar alternativo
e) Las pruebas de los recursos y servicios del Proveedor
f) Los ensayos completos.
g) La actualizacin correspondiente
ISACA Captulo Monterrey

Soportando BCM con base en ISO/IEC 27002:2005

Alineacin del Objetivo de Control 14.1.5 entregables Comunes

de una Consultora
Los entregables listados a continuacin, forman parte de los productos
desarrollados por una empresa de consultora en trminos generales como parte de
los proyectos DRP/BCP,
estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.5

Capacitacin y Concientizacin

o Pruebas, Metodologa de Pruebas

o Mantenimiento, Metodologa de Mantenimiento

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Qu es ISO/IEC 27001:2005 ?
Es el estndar internacional generado para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la

Informacin (SGSI), define los requerimientos que debern ser cumplidos en la

integracin de un SGSI, siendo sta auditable y certificable.
Una de sus principales reas de control contempla la Gestin de la Continuidad del
Negocio, especificando los requerimientos de seguridad necesarios para
contrarrestar las interrupciones, fallas y efectos originados por desastres en los
sistemas de informacin. Contemplados en el Dominio 14. del anexo A de dicho
estndar.

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Estructura del Estndar
De manera general, el estndar se encuentra distribuido de la siguiente forma:

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Que requiere el estndar en relacin al cumplimiento con
BCM (1 de 2)
A. 14 Gestin de la Continuidad del Negocio
A.14.1 Aspectos de Seguridad de la Informacin de la Gestin de la Continuidad del Negocio
Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos
crticos contra desastres y fallas mayores en los sistemas de informacin, as como de sus efectos.
Asegurando su restablecimiento oportuno.
14.1.1

Incluir la Seguridad de la
Informacin en el proceso
de Gestin de Continuidad
del Negocio.

Se debera instalar en toda la organizacin un proceso de

gestin para el desarrollo y mantenimiento de la
Continuidad del NegocioD

14.1.2

Continuidad del Negocio y

Anlisis de Riesgos.

Los eventos que pueden causar interrupciones en los

procesos de negocio deben ser identificados junto con su
probabilidad de impactoD

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Que requiere el estndar en relacin al cumplimiento con BCM
(2 de 2)

Se deberan desarrollar planes de mantenimiento y

recuperacin de las operaciones del negocioD

14.1.3

Desarrollar Planes de
Continuidad del Negocio
incluyendo aspectos de
seguridad
de
la
informacin.

14.1.4

Marco Referencial para la

Planeacin
de
la
Continuidad del Negocio

Se deber mantener un esquema nico de planes de

continuidad del negocio para asegurar que dichos planes
sean consistentes...

Prueba, mantenimiento y
actualizacin
de
los
planes de continuidad del
negocio.

Prueba, mantenimiento y actualizacin de los planes de

continuidad del negocioD

14.1.5

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Que solicitar el auditor para la evaluacin de los objetivos de
control (A. 14)
El auditor revisar el cumplimiento de esos objetivos de control, basado en su
conocimiento, criterio y experiencia.

Sin embargo !!!!

El auditor deber asegurar que los controles sean razonablemente efectivos en

su diseo, desarrollo, implementacin y operacin.

Lo que si es seguro es que si enfocamos nuestros esfuerzos basados en

mejores prcticas y entandares de la industria en trminos de continuidad y
recuperacin indudablemente cumpliremos los requerimientos del Auditor.

ISACA Captulo Monterrey

Auditando BCM de acuerdo al ISO/IEC 27001:2005

Recordemos entonces :
La metodologa y entregables desarrollados por cualquier
empresa de consultora deben estar alineados y cumplir en
todos los sentidos con los estndares y mejores prcticas de la
industria tales como

BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005

Dominio 14., etc.
Lo cual nos permitir alcanzar la certificacin deseada
D

ISACA Captulo Monterrey

Auditando
BCM de acuerdo al ISO/IEC 27001:2005
Ejemplo
EJEMPLO

ISACA Captulo Monterrey

Dudas o comentarios

ISACA Captulo Monterrey