la Gestin de la
Continuidad
del Negocio (BCM)
Agenda
Definicin de SGSI (Sistema de Gestin de la Seguridad de la
Informacin)
Soportando BCM con base en ISO/IEC 27002:2005
o
Que solicitar el auditor para la evaluacin de los objetivos de control (A. 14)
Nota: Es importante destacar, que la informacin aqu contenida es slo un resumen general de los objetivos de control del
estndar, para un mayor detalle deber acudir al mismo.
Definicin de un SGSI
Segn UNE-ISO/IEC 27001
Especificaciones para los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI)
SGSI
Sistema
de
Gestin de la
Seguridad de
la Informacin:
UNE-ISO/IEC 27002:2005
1- Alcance
ESTRUCTURA DE LA NORMA
0- Introduccin
2- Trminos y
definiciones
5- Polticas de Seguridad
6- Aspectos organizativos para la Seguridad
7- Clasificacin y Control de Activos
3-Anlisis y Gestin
del Riesgo
8- Seguridad ligada
al personal
9- Seguridad fsica
y ambiental
10- Gestin de
Comunicaciones
y operaciones
12- Desarrollo y
Mantenimiento de
Sistemas
UNE-ISO/IEC 27001:2005
0- Introduccin
1- Objeto y campo de aplicacin
2- Normas para consulta
3- Trminos y definiciones
4- SGSI
5- Responsabilidad de la Direccin
6- Auditorias Internas del SGSI
7- Revisin del SGSI por la Direccin
8- Mejora del SGSI
Anexo A (Normativo)
Requisitos Generales
Se debe Establecer, implementar, operar, supervisar,
revisar, mantener y mejorar un SGSI documentado :
Requisitos Generales
Modelo PDCA aplicado al SGSI
PLAN
Establecer SGSI
DO
Implementar
y Operar el
SGSI
Ciclo de Desarrollo,
Mantener
Mantenimiento y
Mejorar
Mejora
Supervisar y
Revisar el
SGSI
CHECK
ISACA Captulo Monterrey
SGSI
ACT
Hacer (implementacin
y operacin del SGSI)
Verificar (supervisin y
revisin del SGSI)
Actuar (mantenimiento
y mejora del SGSI)
controles,
Compromiso de la Direccin
La direccin debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a travs de las siguientes acciones:
Compromiso de la Direccin
La direccin debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a travs de las siguientes acciones:
guas y principios
generales
Los objetivos brindados por el estndar proveen una gua general sobre las
Por lo que refiere al propsito del mismo, la parte de mayor inters ser la
seccin correspondiente al establecimiento de Objetivos de Control y
Controles.
ISACA Captulo Monterrey
5. Poltica de Seguridad
7. Gestin de Activos
15. Cumplimiento.
Objetivo:
Contrarestar las interrupciones en las actividades de negocio y proteger sus
procesos crticos contra desastres y fallas mayores en los sistemas de informacin, as
como de sus efectos. Asegurando su restablecimiento oportuno.
Control:
Los eventos que pueden causar interrupciones en los procesos
de negocio deben ser identificados junto con su probabilidad de
impactoD
Gua de implementacin:
a) Identificacin de los eventos
b) evaluar el riesgo determinando la probabilidad e impacto del evento
c) Desarrollar un plan estratgico a partir de los resultados de la evaluacin del
riesgo
d) Crear una estrategia slida y respaldada as como un plan para
implementarla
ISACA Captulo Monterrey
Control:
Se deberan desarrollar planes de mantenimiento y recuperacin
de las operaciones del negocioD
Gua de implementacin:
a) Identificacin de los procedimientos de emergencia y los acuerdos de todas las
responsabilidades
b) La identificacin de las prdidas aceptables de informacin y servicios.
c) La implementacin de los procedimientos que permitan la recuperacin y restauracin de
las operaciones de negocio, dependencias de negocios externas e internas.
d) Los procedimientos para completar la restauracin y recuperacin.
e) La documentacin de los procedimientos.
f) La formacin apropiada del personal en los procedimientos.
g) La prueba y actualizacin de los planes.
ISACA Captulo Monterrey
Control:
Los Planes de Continuidad del Negocio se debern probar regularmente para
asegurarse de su actualizacin y eficacia.
Gua de implementacin:
a) La prueba sobre papel de varios escenarios.
b) La simulacin (para entrenar al personal)
c) Las pruebas de Recuperacin Tcnica
d) Las pruebas de Recuperacin en un lugar alternativo
e) Las pruebas de los recursos y servicios del Proveedor
f) Los ensayos completos.
g) La actualizacin correspondiente
ISACA Captulo Monterrey
Capacitacin y Concientizacin
Incluir la Seguridad de la
Informacin en el proceso
de Gestin de Continuidad
del Negocio.
14.1.2
14.1.3
Desarrollar Planes de
Continuidad del Negocio
incluyendo aspectos de
seguridad
de
la
informacin.
14.1.4
Prueba, mantenimiento y
actualizacin
de
los
planes de continuidad del
negocio.
14.1.5
Auditando
BCM de acuerdo al ISO/IEC 27001:2005
Ejemplo
EJEMPLO
Dudas o comentarios