//
Archivos

gestión de continuidad del negocio

Esta etiqueta está asociada a 6 entradas

ISO22301: gestión de la continuidad de negocio, un complemento muy valioso de los SGSI

Se publica la nueva norma internacional ISO 22301, una norma que ayudará a las empresas y organizaciones a mantener su actividad en caso de un incidente de seguridad.

La ISO 22301 es una norma internacional enfocada a la Continuidad de Negocio (Business Continuity Management), en adelante BCM (de sus siglas en inglés). La BCM establece un conjunto de medidas y mecanismos con el objetivo de garantizar el mantenimiento de la actividad de una empresa u organización en caso de que suceda un incidente que pueda poner en peligro dicha actividad.

Durante los atentados de las Torres Gemelas en Nueva York en septiembre de 2001, algunas empresas llegaron a desaparecer completamente o se vieron tan afectadas que tardaron meses en volver a retomar su actividad normal, puesto que sus principales activos (información, infraestructura, personas, etc.) se encontraban en su mayoría en las torres, y por otro lado, algunas empresas carecían de medidas y mecanismos para hacer frente a una situación de aquella magnitud.

Lo cierto es que no es necesario que se de un caso tan trágico como aquel para poner en peligro la actividad de una organización. ¿Qué ocurriría si se estropea el ordenador que gestiona toda la contabilidad o la red de comunicaciones deja de funcionar? ¿Durante cuánto tiempo es posible mantener la actividad en caso de un incidente? ¿Es posible recuperarse? ¿En cuánto tiempo sería posible volver a la actividad normal? Estas y otras preguntas son las que trata de responder la BCM.

La nueva norma fue publicada el 16 de mayo de 2012 por el “International Organization of Standardization” (ISO). Esta norma reemplaza a la BS 25999, elaborada por el “Bristish Standards Institution”, una norma fue publicada en dos partes, una en 2006 (BS 25999-1:2006 Parte 1, se trata de un documento orientativo que proporciona las recomendaciones prácticas para las el BCM) y otra en 2007 (BS 25999-2:2007 Parte 2, Establece los requisitos para un Sistema de Gestión de la Continuidad del BCM.

La norma BS 25999 proporcionaba una metodología y un conjunto de principios en torno a la BCM, pero la ISO 22391 va más allá, y además de lo anterior, aporta información práctica y soluciones enfocadas a la BCM ayudando a cualquier organización a prepararse para en caso de un incidente garantizar su actividad, o reduciendo el posible impacto sobre su actividad.

Los BCM están muy relacionados con los SGSI, siglas de Sistemas de Gestión de Continuidad de la Informaciónz. Ambos conceptos hacen referencia a sistemas de gestión enfocados a seguridad, pero los SGSI tienen un ámbito más amplio, dentro del cual puede estar el BCM. En cualquier caso, tanto los SGSI como los BCM, o los DRP (Planes de Recuperación de Desastres) son todos elementos muy importantes que deberían de formar parte de cualquier empresa u organización, adecuándolos a su tamaño, actividad, etc.

La Gestión de la Continuidad de Negocio es una norma de carácter preventivo, aunque en este caso, no se trata de prevenir un incidente, sino de prevenir las posibles consecuencias de un incidente y proporcionar a las organizaciones la capacidad para recuperarse ante desastres y todo tipo de incidentes de seguridad.

Desde INTECO-CERT recomendamos contar tanto con medidas de carácter preventivo para evitar que se produzca un incidente, como aquellas medidas que en caso de incidente podrán mitigar las consecuencias. En definitiva, es importante conocer y aplicar la BCM.

Fuente: Inteco

Anuncios

Conceptos básicos sobre ISO 22301

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.

Relación con BS 25999-2

La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.

¿Cuáles son los beneficios de la continuidad del negocio?

Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.

¿Quién puede implementar esta norma?

Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.

¿Qué es ISO 22301?

Nota: la gestión del riesgo es parte de la gestión corporativa general.

Términos básicos utilizados en la norma

  • Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio.
  • Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo tolerable de interrupción [MTPD]).
  • Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe reanudar una actividad o se deben recuperar recursos.
  • Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida.
  • Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones comerciales.

Contenido de ISO 22301

La norma incluye estas secciones:

Introducción

0.1 General

0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)

0.3 Componentes de PDCA en esta norma internacional

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

4.1 Conocimiento de la organización y de su contexto

4.2 Conocimiento de las necesidades y expectativas de las partes interesadas

4.3 Determinación del alcance del sistema de gestión

4.4 Sistema de gestión de la continuidad del negocio

5 Liderazgo

5.1 General

5.2 Compromiso de la dirección

5.3 Política

5.4 Funciones, responsabilidades y autoridades organizativas

6 Planificación

6.1 Acciones para tratar riesgos y oportunidades

6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos

7 Apoyo

7.1 Recursos

7.2 Competencia

7.3 Concienciación

7.4 Comunicación

7.5 Información documentada

8 Funcionamiento

8.1 Planificación operativa y control

8.2 Análisis de impactos en el negocio y evaluación de riesgos

8.3 Estrategia de la continuidad del negocio

8.4 Establecimiento e implementación de procedimientos de continuidad del negocio

8.5 Prueba y verificación

9 Evaluación de desempeño

9.1 Supervisión, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por parte de la dirección

10 Mejoras

10.1 No conformidades y acciones correctivas

10.2 Mejora continua

Bibliografía

Documentación obligatoria

Si una organización desea implementar esta norma, necesitará la siguiente documentación obligatoria:

  • Lista de requisitos legales, normativos y de otra índole
  • Alcance del SGCN
  • Política de la Continuidad del Negocio
  • Objetivos de la continuidad del negocioes
  • Evidencia de competencias del personal
  • Registros de comunicación con las partes interesadas
  • Análisis del impacto en el negocio
  • Evaluación de riesgos, incluido un perfil de riesgo
  • Estructura de respuesta a incidentes
  • Planes de continuidad del negocio
  • Procedimientos de recuperación
  • Resultados de acciones preventivas
  • Resultados de supervisión y medición
  • Resultados de la auditoría interna
  • Resultados de la revisión por parte de la dirección
  • Resultados de acciones correctivas

Normas relacionadas

Otras normas de ayuda en la implementación de la continuidad del negocio son:

  • ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y comunicación para la continuidad del negocio
  • PAS 200 – Gestión de crisis: orientación y buenas prácticas
  • PD 25666 – Orientación para prueba y verificación de programas de continuidad y contingencia
  • PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
  • ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y comunicación para recuperación de desastres
  • ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad operativa
  • ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos

 Descargar el diagrama de implementacion

 Fuente: Cryptex

http://www.iso27001standard.com/ique-es-iso-22301

Soluciones de seguridad para la empresa: contingencia y continuidad

Sobrevivir a los incidentes de seguridad se ha convertido en una prioridad para las empresas.

En el ámbito de la seguridad TIC, la protección tiene dos vertientes o facetas distintas, por un lado, podemos hablar de la seguridad anterior a un incidente, es decir, medidas de tipo preventivo, destinadas a evitar que se produzca y por otro, seguridad posterior a un incidente, es decir, medidas de contingencia y continuidad, destinadas a conseguir la vuelta a la normalidad.

La faceta de prevención es muy conocida y es la vertiente de la seguridad más extendida y en la cual se centra una buena parte de los esfuerzos que realizan las organizaciones y las empresas, pero en los últimos años se han producido importantes cambios en el mapa de las amenazas relacionado con su número y con su origen. En la práctica, el resultado ha sido, por un lado, un aumento del número de incidentes y del impacto o daño que pueden llegar a producir y por otro, un aumento de la probabilidad de que cualquier empresa u organización sufra un incidente, puesto que la dependencia de la tecnología también ha aumentado y por ende, las amenazas y el posible impacto.

La conclusión es evidente: la prevención no basta, puesto que siempre existe la posibilidad de sufrir un incidente. Esta idea lleva aplicándose muchos años en otros ámbitos y sectores, por eso existen los seguros: “Nadie concibe conducir un vehículo sin un seguro (además de otras medidas de seguridad del propio vehículo, como puede ser un airbag), puesto que cualquier persona es consciente de que puede sufrir un accidente. Las medidas de contingencia y continuidad son el equivalente del seguro de coche o del airbag aplicado al ámbito de la seguridad.

La industria de seguridad centra una buena parte de sus esfuerzos al desarrollo de soluciones que están destinadas a aquellos escenarios en los cuales finalmente se produce un incidente de seguridad. En estas situaciones, hay que hacer frente a dos problemas fundamentales:

  • Contingencia. El primer problema tiene que ver con el impacto que puede tener el incidente si este consigue producirse. Si las medidas de prevención no han funcionado, tienen que existir otras que permitan reducir el impacto de un incidente, por ejemplo, mediante las copias de seguridad. Es decir, las medidas de contingencia están destinadas a hacer posible la recuperación ante un incidente.
  • Continuidad. El segundo problema, tiene que ver con la velocidad a la que es posible recuperarse. No es lo mismo recuperarse de un incendio en el que se han quemado todos los equipos e infraestructuras, que recuperarse de un corte de alimentación que ha estropeado varios ordenadores o de un virus. En cada escenario y en función de muchos factores, variará el tiempo necesario para volver a la normalidad y en cualquier caso, siempre se intentará que sea el mínimo posible.

Entre las soluciones de seguridad relativas a contingencia y continuidad más conocidas se encuentran las copias de seguridad, o las soluciones de rescate o de recuperación de sistemas, que permiten recuperar el sistema completo (sistema operativo y aplicaciones). Entre estas soluciones también están disponibles servicios de consultoría destinados al diseño de planes de contingencia y continuidad, puesto que además de soluciones técnicas, también hay que contemplar aspectos organizativos y jurídicos.

Desde INTECO-CERT, recomendamos la utilización de soluciones de copias de seguridad como primera línea de recuperación ante un incidente de seguridad. Por otro lado, en el Catálogo STIC, están disponibles más de 700 soluciones relacionadas con la contingencia y la continuidad de negocio.

Fuente: Inteco

Necesidad de un plan de contingencia

Una vez conocidas las razones más importantes para la implantación del plan, cualquier empresa cuyo flujo de negocio lo requiera, debería comenzar a estudiar la posibilidad de crear un plan de continuidad de negocio con su plan de contingencia correspondiente.

Este plan debe contemplar los elementos críticos que afectan al funcionamiento normal de la empresa y aquellos que necesitan estar disponibles. De igual modo, no sólo ha de centrarse en los elementos tecnológicos, si no también en los procedimientos y procesos.

Evaluación económica: ¿Cuánto me puede costar?

No existe un precio o porcentaje fijo que indique el coste de implantación de un plan de contingencia. Sin duda, se trata de una de los elementos más importantes que componen el plan de continuidad de negocio y como tal, el coste dependerá en función del tamaño de la empresa, de los elementos a implementar para cumplir el plan, etc.

Desarrollo y mantenimiento del plan

El plan de contingencia sigue un ciclo de vida iterativo denominado PDCA (->Planificar -> hacer -> comprobar -> actuar ->). Este plan nace de un análisis de riesgos donde se identifican las amenazas que pueden afectar a la continuidad de negocio.

Sobre el análisis previo se seleccionan las contramedidas o soluciones más adecuadas reflejándolas en el plan de contingencia junto con los recursos necesarios para implementarlo. Se ha de tener en cuenta que en principio no es necesario contemplar todos los procesos de la empresa, si no los que sean más críticos e impidan el normal funcionamiento del negocio o la falta de servicio.

El plan de contingencia se revisará periódicamente. Generalmente la revisión suele venir acompañada sobre un nuevo análisis de riesgos.

Adicionalmente, el plan de contingencia debe expresar claramente:

  • El personal implicado en el cumplimiento del plan y su rol dentro del mismo
  • Qué recursos materiales y técnicos son necesarios
  • Cómo son los protocolos de actuación que se deben seguir

Impacto sobre el negocio

Los elementos a determinar en el análisis del impacto sobre el negocio incluyen la clasificación de recursos y procesos críticos, y el período de tiempo en el que se debe efectuar la recuperación de los mismos antes de que las pérdidas sean significativas o inaceptables.

Un menor tiempo de recuperación del desastre requerirá un mayor inversión

Obviamente, todo este análisis tiene una repercusión en los costes del plan, por cuanto un menor tiempo de recuperación va a requerir de una mayor inversión para su restablecimiento efectivo.

Plan de recuperación ante desastres

El plan de recuperación de desastres es un procedimiento que se ocupa de la restauración de un sistema (informático o no) después de un incidente no planificado o desastre. Este plan sobre todo trata todo lo relacionado con la parte tecnológica, es decir, restaurar los Sistemas de Información al estado previo al desastre.

El “plan de recuperación” restaura el sistema al estado previo al incidente

El proceso de recuperación puede comprender la restauración de copias de seguridad, reposición de elementos de hardware, desinfección de software malicioso, etc.

Integración en el plan de seguridad

El plan de contingencia es uno de los elementos, si no el más importante que componen el plan de seguridad, y está contenido dentro del plan de continuidad de negocio que a su vez se integra en el Sistema de Gestión de Seguridad de la Información (SGSI – Certificación) o del Plan Director de Seguridad (sin certificación).

Fuente: Inteco

¿Qué es un plan de contingencia?

Cualquier tipo de empresa o compañía debería contar con un mínimo sistema que garantice su operabilidad o servicio ante un desastre o fallo que pueda darse. En ocasiones se cree que únicamente las grandes amenazas o catástrofes son las que pueden incidir de una manera más directa y negativa sobre nuestro negocio. Esta idea es un error.

Es un error pensar que nuestro negocio únicamente se puede ver afectado por grandes catástrofes

Existen multitud de amenazas de menor magnitud como un corte eléctrico, un virus informático, empleados descontentos, etc. que pueden repercutir sobre el servicio y generar desconfianza sobre clientes, proveedores, etc.


Para evitar lo expuesto previamente, es necesario desarrollar el denominado “Plan de Contingencia”. Se trata de una serie de directivas técnicas, humanas y organizativas a implementar que tienen como fin mantener la continuidad del negocio ante un incidente. El plan de contingencia está unido al Plan de Seguridad.

Objetivo

El objetivo principal de un plan de contingencia es definir las acciones que una empresa ha de realizar en caso de que alguna contingencia (incidente) impida su funcionamiento normal, y recuperar, en el periodo más breve de tiempo, las operaciones y servicios que se han definido como críticas para el negocio.

Razones para implantar el plan

Actualmente en España, entre las PYMES, no existe una conciencia clara en relación a la adopción de planes de continuidad de negocio y por ende, de contingencia. Las razones para implantar un plan de contingencia pueden ser muy numerosas en función de los controles a aplicar. A continuación se listan las más importantes:

  • El hecho de tener pérdidas significativas de datos, en muchas empresas supone el cierre de la misma
  • Existen estudios que afirman que el 40% de las empresas que sufren un desastre de importancia y no tienen implantado un plan de contingencia, cesan su negocio
  • Contar con un plan de contingencia asociado a un plan de seguridad, aporta confianza frente a terceros
Fuente: Inteco

La importancia de disponer de un plan ante desastres

La gestión posterior a un incidente de seguridad, es tan importante como la prevención.

Cuando se habla de seguridad TIC, las empresas y organizaciones suelen concentrar una buena parte de sus esfuerzos en aumentar la protección y la prevención, con el objetivo de evitar que se produzcan incidentes. La prevención es una faceta fundamental de la seguridad, y las empresas y organizaciones dedican importantes esfuerzos en este sentido, tratando de luchar contras las posibles amenazas y riesgos de seguridad.

La seguridad al 100% no existe, por lo que finalmente, siempre hay un pequeño porcentaje de las amenazas que pueden terminar materializándose, generando incidentes de seguridad con diversas consecuencias para las empresas y las organizaciones, afectando a su actividad, infraestructuras o activos, o incluso, provocando su desaparición.

La gestión de las consecuencias derivadas de los incidentes de seguridad, ha cobrado fuerza en los últimos años y las organizaciones y las empresas cada vez otorgan mayor importancia a contar con planes de gestión y de recuperación ante desastres ante incidentes de seguridad, de forma que en la actualidad, se ha convertido en una rama más de la seguridad TIC y de la seguridad en general agrupándose bajo el término “Contingencia y Continuidad de Negocio”, precisamente en referencia al objetivo de mantener a toda costa la actividad de la organización y reducir al mínimo el impacto sobre su actividad.

Los planes de contingencia y continuidad de negocio intentan dar respuesta a dos preguntas que se plantean cuando una amenaza finalmente consigue generar un incidente de seguridad:

  • ¿Cómo podemos minimizar las consecuencias? Es necesario contar con medidas y procedimientos que permitan reducir lo más posible las consecuencias de un incidente a todos los niveles. Dichas medidas serán de carácter técnico, organizativo y jurídico. El objetivo es por tanto, minimizar el impacto.
  • ¿Cómo podemos retomar la actividad lo antes posible? Por otro lado, el plan deberá de establecer las medidas y mecanismos que permitan retomar la actividad lo antes posible o devolverla a un estado lo más parecido posible a como se encontraba antes del incidente. Se trata por tanto, de reducir el tiempo de recuperación.

El diseño de planes de contingencia y continuidad de negocio es complejo, y depende del tipo de actividad de la organización, su estructura y organigrama, sus activos, procesos e infraestructura así como de los recursos disponibles y finalmente, de las amenazas potenciales y su impacto.

En este sentido, se debe de tener en cuenta, no sólo amenazas de tipo tecnológico, como el código malicioso o el fallo de un disco duro, sino también aquellas relacionadas por ejemplo, con los desastres naturales, el fuego, o las posibles dependencias de proveedores externos, es decir, amenazas cuyo origen no es necesariamente tecnológico, pero que pueden tener impacto sobre las infraestructuras y los activos de información, y por tanto sobre la organización y su actividad.

Desde INTECO-CERT recomendamos contar con medidas de contingencia y continuidad de negocio, como las copias de seguridad, así como contar con asesoramiento profesional o apoyo en caso de que se produzca un incidente que ponga en peligro la actividad de la organización.

Fuente: Inteco

Estadística del blog

  • 116,239 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: