TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
ISO 22301, ISO 31000, TIA 942 e ISO 27005
1. Maestría en Auditoria y Seguridad
de Sistemas de Información
CURCE UASD
GRUPO 4:
Melvin Brian Jáquez
Verenice Javier
Emmanuel Ynoa
ISO 22301
ISO 31000
ISO 27005
TIA 942
Facilitador: ING. Miguel Diaz, PhD
2. Normas a Tratar
• ISO 22301 - Continuidad de Negocio
• ISO 3100 - Gestión de Riesgos
• TIA 942 - Especificaciones para el diseño e
instalación de infraestructuras de Data Centers
• ISO 27005 - Manejo y control de los riesgos en
la seguridad de la información
3. ISO 22301 - Continuidad del Negocio
ISO 22301 identifica los fundamentos de un sistema de gestión de la
continuidad estableciendo el proceso, los principios y la terminología de la
gestión de la continuidad del negocio.
La norma proporciona a las organizaciones un marco para garantizar que
puedan seguir operando durante las circunstancias más difíciles e
inesperadas protegiendo a su personal, preservando su reputación y
ofreciendo la capacidad de seguir operando.
ISO 22301 le ayudará a:
Establecer, implementar, mantener y mejorar sus BCMS,
Cumplir con los requisitos de su política de continuidad de negocio,
Dar confianza a las partes interesadas clave respecto de la conformidad y
su compromiso con las mejores prácticas reconocidas internacionalmente
4. Beneficios ISO 22301
Los principales beneficios para la empresa cuando implantamos
un SGCN eficaz, se pueden resumir en:
Preservar los intereses de los accionistas.
Mejorar el resultado operacional de la empresa:
Reducción de Riesgos, se traduce en una reducción de costes,
reducción del tiempos de inactividad,
mejora en la competitividad
Mayor eficacia operativa: Reingeniería de negocios
Protección de los bienes materiales y el “Know How” del negocio
Mejora en el cumplimiento de las legislaciones de Seguridad y
Salud.
Mejora de la Seguridad Global.
Evita las acciones derivadas de la responsabilidad empresarial.
5. ¿Porqué un plan de continuidad del
Negocio?
La Norma ISO
22301 es una
respuesta a los
imprevistos que
pueden ocurrir en
cualquier momento
y poner en jaque la
continuidad de
cualquier
organización
6. Los planes de recuperación del negocio deben
revisarse y probarse con frecuencia para:
– Incluir y considerar todos los tipos de amenazas
posibles a través del análisis de riesgo
– Analizar las interdependencias de nuestros procesos
– Incluir los factores clave: Telecomunicaciones,
infraestructuras etc.
– Involucrar a toda la empresa teniendo en cuenta la
importancia del apoyo de todos los empleados
7. ¿Por qué se ha desarrollado una
normativa internacional?
Después de los
acontecimientos traumáticos
sufridos por empresas a
nivel global en las últimas
décadas, se ha impulsado
por parte de todas las
organizaciones el desarrollo
de una normativa coherente
a nivel mundial para
promover la toma de
conciencia ante la necesidad
de estar preparados para
superar el posible impacto
de incidentes que puedan
interrumpir la actividad de
una organización.
9. ISO 31000 - Gestión de Riesgos
• La norma denominada ISO 31000:2009, Risk management, tiene
como objetivo ayudar a las organizaciones a gestionar el riesgo con
efectividad.
• Esta Norma Internacional recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de
trabajo o estructura de soporte (framework) cuyo objetivo es integrar
el proceso de gestión de riesgos en el gobierno corporativo de la
organización, planificación y estrategia, gestión, procesos de
información, políticas, valores y cultura.
10. Es un enfoque estructurado para manejar la incertidumbre relativa a una
amenaza.
Efecto de la Incertidumbre sobre los Objetivos:
Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo,
reducir los efectos negativos del riesgo y aceptar algunas o todas las
consecuencias de un riesgo particular.
Los riesgos pueden ser varios dependiendo de los enfoques que
tomes en cuenta, ejemplos:
Riesgos de mercado
Riesgos de liquidez, de créditos
Riesgos de desastres naturales
Riesgos de problemas legales
Entre otros.
GESTIÓN DE RIESGO
11. Principios Básicos para la Gestión de
Riesgos
Características:
o Nos garantiza la aplicación de un sistema eficaz para la
buena gestión de los riesgos.
o Es aplicable a cualquier tipo de organización, grande o
pequeña, pública o privada.
o No sólo se refiere a riesgos TIC sino que se contemplan
todo tipo de riesgos:
Operacionales
Financieros
Información
TIC
Otros …
12. Beneficios ISO 31000
Aumentar la probabilidad de lograr los objetivos
Fomentar la gestión proactiva
Ser conscientes de la necesidad de identificar y tratar el riesgo en
toda la organización
Mejorar en la identificación de oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias pertinentes,
así como las normas internacionales.
Mejorar la información financiera
Mejorar la gobernabilidad
Mejorar la confianza de los grupos de
interés (stakeholder)
13. Establecer un base confiable para la toma de decisiones y la planificación
Mejorar los controles
Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo
Mejorar la eficacia y eficiencia operacional
Mejorar la salud y de seguridad, así como la protección del medio ambiente.
Mejorar la prevención de pérdidas, así como la gestión de incidentes
Minimizar las pérdidas
Mejorar el aprendizaje organizacional
Mejorar capacidad de recuperación de la organización.
Beneficios ISO 31000
14. Breves Antecedentes
La aplicación de la norma AS/NZ
4360 le garantiza a la organización
una base sólida para la aplicación
de cualquier otra norma o
metodología de gestión de riesgos
específica para un determinado
segmento.
La norma ISO 31000:2009 mejora
notablemente las normas COSO y
AS/NZS 4360, ya que esta es
mucho más practica y concreta en
su objetivo de Gestionar los
Riesgos con sólo 34 páginas en
comparación al COSO ERM con sus 125
paginas.
Objetivos
Considera las
actividades de
todos los
niveles de la
organización
EnterpriseRiskManagement(2004)
COSO
16. NORMA APOYO
ISO 73:2009 El vocabulario de gestión de riesgos,
esta norma complementa la norma ISO 31000:2009,
proporcionando una colección de términos y
definiciones relativas a la gestión del riesgo.
17. ISO 31000 vs ISO 22301
Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio
El Análisis de Riesgos podemos decir
que es el corazón de la Norma ISO
22301, la cual concede a este
apartado de análisis y gestión del
riesgo mayor importancia, que su
predecesora la norma BS 25999.
La Norma ISO 31000 como estándar
internacional para analizar y gestionar
los riesgos, está directamente
recomendado por la norma ISO 22301
para realizar este apartado con todas
las garantías.
Sin una correcta gestión de riesgos no
se puede conseguir una mejora en el
impacto de cualquier evento en la
continuidad de un negocio.
La causa de los incidentes, que derivan en una pérdida de operatividad,
aumentando los costes de una organización son siempre los riesgos mal
gestionados.
18. ISO/IEC 27000 - Series
La serie de normas ISO/IEC 27000 son estándares de
seguridad publicados por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica
Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en
Seguridad de la información para desarrollar, implementar y
mantener Especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI)
19. ISO/IEC 27005 - Tecnología de Información / Técnicas de
seguridad / Gestión de Riesgos de Seguridad de Información
Trata la gestión de riesgos en seguridad de la información. Es la que
proporciona recomendaciones y lineamientos de métodos y técnicas
de evaluación de riesgos de Seguridad en la Información.
El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo
para la seguridad de información. Apoya los conceptos generales
especificados en el ISO/IEC 27001 y esta diseñada para asistir a la
implementación adecuada de seguridad de la información basada en
un enfoque de gestión del riesgo.
El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que
intente gestionar sus riesgos que pudieran comprometer la seguridad
de información de la empresa.
20. ISO 27005
No proporciona una metodología concreta de Análisis de Riesgos, sino que
describe a través de su clausulado el proceso recomendado de análisis
incluyendo las fases que lo conforman:
Establecimiento del contexto (Cláusula 7)
Evaluación del riesgo (Cláusula 8)
Tratamiento del riesgo (Cláusula 9)
Aceptación del riesgo (Cláusula 10)
Comunicación del riesgo (Cláusula 11)
Monitorización y revisión del riesgo (Cláusula 12)
21. TIA 942 - Telecomunication Industry Association
• El estándar TIA 942 provee una serie de
recomendaciones y Guide Lines (directrices), para
el diseño e instalación de infraestructuras de Data
Centers (centros de cómputo), que son los lugares
donde se colocan racks, servidores, equipo de
comunicaciones, etc
• Este estándar está aprobado por TIA
(Telecomunications Industry Association) y ANSI
(American National Standards Institute). El
estándar TIA 942 y la categorización de Tiers en
Latinoamérica lleva al replanteamiento de las
necesidades de infraestructura para la instalación
de un Data Center.
22. Historia
• En abril de 2005, la Telecomunication Industry Association publica su
estándar TIA-942 con la intención de unificar criterios en el diseño de
áreas de tecnología y comunicaciones.
• Este estándar que en sus orígenes se basa en una serie de
especificaciones para comunicaciones y cableado estructurado,
avanza sobre los subsistemas de infraestructura generando los
lineamientos que se deben seguir para clasificar estos subsistemas
en función de los distintos grados de disponibilidad que se pretende
alcanzar.
23. Beneficios TIA 942
Las principales ventajas del diseño de centros de datos de
conformidad con la norma TIA 942 incluyen:
La nomenclatura estándar
El funcionamiento a prueba de fallos
Sólida protección contra las catástrofes naturales o
manufacturados.
La fiabilidad a largo plazo
Capacidad de expansión y escalabilidad.
24. Infraestructura de Soporte
Según el estándar TIA-942, la infraestructura de soporte
de un Data Center debe estar compuesto por cuatro
subsistemas como lo son:
Telecomunicaciones
Arquitectura
Sistema Eléctrico
Sistema Mecánico
25. Áreas Funcionales
De acuerdo con la TIA 942 un centro de datos debe incluir las
siguientes áreas funcionales:
Una o mas entradas al cuarto
Área de distribución principal
Una o mas áreas de distribución horizontal
Área de equipo de distribución
Zona de distribución
El cableado horizontal y el backbone
26. Tier
• El concepto de Tier indica el nivel de fiabilidad de un centro
de datos asociados a cuatro niveles de disponibilidad
definidos.
• A mayor número en el Tier, mayor disponibilidad, y por lo
tanto mayores costes asociados en su construcción y más
tiempo para hacerlo.
• En su anexo G y basado en recomendaciones del Uptime
Institute, establece cuatro niveles (tiers) en función de la
redundancia necesaria para alcanzar niveles de
disponibilidad de hasta el 99.995%.
27. Infraestructura de Cableado
• Tier1- nivel I (básico)
• Tier2- nivel II (componentes redundantes)
• Tier3- nivel III (mantenimiento concurrido)
• Tier4- nivel IV (tolerante a errores)
28. Tier I - Nivel I (Básico)
Disponibilidad 99,671%.
Sensible a las interrupciones, tanto planificada como no
planificada.
Un solo paso de la corriente y la distribución aire
acondicionado, sin componentes redundantes.
Puede o no tener un piso elevado.
Generador independiente.
Toma 3 meses implementar.
Tiempo de inactividad anual de 28,8 horas del data centro.
Debe estar cerrado por completo para realizar
mantenimiento preventivo.
29. Tier II- Nivel II (Componentes Redundantes)
Disponibilidad de 99,741%.
Es menor susceptible a la interrupción por actividades
planeadas o no.
Un solo paso para la corriente y la distribución del aire
acondicionado incluye un componente redundante.
Incluye un piso elevado UPS y generador.
Toma de 3 a 6 meses para implementar.
El tiempo de inactividad anual es de 22,0 horas.
Mantenimiento de la trayectoria de alimentación y otras
partes de la infraestructura requieren un cierre de
procesamiento.
30. Tier III - Nivel III (Mantenimiento Concurrido)
99,982 % de disponibilidad.
Permite la actividad planeada sin alterar el funcionamiento
de los equipos, pero eventos no planificados pueden causar
trastornos.
Múltiples pasos de energía y enfriamiento, pero con solo un
camino activo, incluye componentes redundantes ( N + 1 ).
Toma de 15 a 20 meses para aplicar.
El tiempo de inactividad anual es 1.6 hora.
31. Tier IV - Nivel IV (Tolerante a Errores)
99, 995 % de disponibilidad.
La actividad planificada no interrumpe el funcionamiento de
los datos críticos. El centro puede sostener por lo menos un
caso de interrupción no planificado sin impacto critico.
Múltiples pasos de corrientes y rutas de enfriamiento,
incluye componentes redundantes (2(N+1), es decir, 2 UPS
cada uno con redundancia N+1).
Toma de 15 a 20 meses para implementar.
Tiempo de inactividad anual es de 0,4 horas.