SlideShare ist ein Scribd-Unternehmen logo

ISO 22301, ISO 31000, TIA 942 e ISO 27005

Als PPTX, PDF herunterladen
M
Melvin Jáquez

ISO 22301, ISO 31000, TIA 942 e ISO 27005

Bildung
1 von 33
Maestría en Auditoria y Seguridad de Sistemas de Información CURCE UASD GRUPO 4: Melvin Brian Jáquez Verenice Javier Emmanuel Ynoa ISO 22301 ISO 31000 ISO 27005 TIA 942 Facilitador: ING. Miguel Diaz, PhD
Normas a Tratar • ISO 22301 - Continuidad de Negocio • ISO 3100 - Gestión de Riesgos • TIA 942 - Especificaciones para el diseño e instalación de infraestructuras de Data Centers • ISO 27005 - Manejo y control de los riesgos en la seguridad de la información
ISO 22301 - Continuidad del Negocio  ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.  La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando. ISO 22301 le ayudará a:  Establecer, implementar, mantener y mejorar sus BCMS,  Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su compromiso con las mejores prácticas reconocidas internacionalmente
Beneficios ISO 22301 Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:  Preservar los intereses de los accionistas.  Mejorar el resultado operacional de la empresa:  Reducción de Riesgos, se traduce en una reducción de costes,  reducción del tiempos de inactividad,  mejora en la competitividad  Mayor eficacia operativa: Reingeniería de negocios  Protección de los bienes materiales y el “Know How” del negocio  Mejora en el cumplimiento de las legislaciones de Seguridad y Salud.  Mejora de la Seguridad Global.  Evita las acciones derivadas de la responsabilidad empresarial.
¿Porqué un plan de continuidad del Negocio? La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización
Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para: – Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo – Analizar las interdependencias de nuestros procesos – Incluir los factores clave: Telecomunicaciones, infraestructuras etc. – Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados
¿Por qué se ha desarrollado una normativa internacional? Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.
Ciclo de Vida de la Continuidad de Negocio:
ISO 31000 - Gestión de Riesgos • La norma denominada ISO 31000:2009, Risk management, tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con efectividad. • Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.
Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza. Efecto de la Incertidumbre sobre los Objetivos: Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. Los riesgos pueden ser varios dependiendo de los enfoques que tomes en cuenta, ejemplos:  Riesgos de mercado  Riesgos de liquidez, de créditos  Riesgos de desastres naturales  Riesgos de problemas legales  Entre otros. GESTIÓN DE RIESGO
Principios Básicos para la Gestión de Riesgos Características: o Nos garantiza la aplicación de un sistema eficaz para la buena gestión de los riesgos. o Es aplicable a cualquier tipo de organización, grande o pequeña, pública o privada. o No sólo se refiere a riesgos TIC sino que se contemplan todo tipo de riesgos: Operacionales Financieros Información TIC Otros …
Beneficios ISO 31000  Aumentar la probabilidad de lograr los objetivos  Fomentar la gestión proactiva  Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización  Mejorar en la identificación de oportunidades y amenazas  Cumplir con las exigencias legales y reglamentarias pertinentes, así como las normas internacionales.  Mejorar la información financiera  Mejorar la gobernabilidad  Mejorar la confianza de los grupos de interés (stakeholder)
 Establecer un base confiable para la toma de decisiones y la planificación  Mejorar los controles  Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operacional  Mejorar la salud y de seguridad, así como la protección del medio ambiente.  Mejorar la prevención de pérdidas, así como la gestión de incidentes  Minimizar las pérdidas  Mejorar el aprendizaje organizacional  Mejorar capacidad de recuperación de la organización. Beneficios ISO 31000
Breves Antecedentes La aplicación de la norma AS/NZ 4360 le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. La norma ISO 31000:2009 mejora notablemente las normas COSO y AS/NZS 4360, ya que esta es mucho más practica y concreta en su objetivo de Gestionar los Riesgos con sólo 34 páginas en comparación al COSO ERM con sus 125 paginas. Objetivos Considera las actividades de todos los niveles de la organización EnterpriseRiskManagement(2004) COSO
Relación de Principios, Marco de Trabajo (framework) y Proceso de Gestión del Riesgo
NORMA APOYO ISO 73:2009 El vocabulario de gestión de riesgos, esta norma complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
ISO 31000 vs ISO 22301 Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio  El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia, que su predecesora la norma BS 25999.  La Norma ISO 31000 como estándar internacional para analizar y gestionar los riesgos, está directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías.  Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio. La causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes de una organización son siempre los riesgos mal gestionados.
ISO/IEC 27000 - Series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 - Tecnología de Información / Técnicas de seguridad / Gestión de Riesgos de Seguridad de Información  Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información.  El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.  El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
ISO 27005 No proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:  Establecimiento del contexto (Cláusula 7)  Evaluación del riesgo (Cláusula 8)  Tratamiento del riesgo (Cláusula 9)  Aceptación del riesgo (Cláusula 10)  Comunicación del riesgo (Cláusula 11)  Monitorización y revisión del riesgo (Cláusula 12)
TIA 942 - Telecomunication Industry Association • El estándar TIA 942 provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo), que son los lugares donde se colocan racks, servidores, equipo de comunicaciones, etc • Este estándar está aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute). El estándar TIA 942 y la categorización de Tiers en Latinoamérica lleva al replanteamiento de las necesidades de infraestructura para la instalación de un Data Center.
Historia • En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. • Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.
Beneficios TIA 942 Las principales ventajas del diseño de centros de datos de conformidad con la norma TIA 942 incluyen:  La nomenclatura estándar  El funcionamiento a prueba de fallos  Sólida protección contra las catástrofes naturales o manufacturados.  La fiabilidad a largo plazo  Capacidad de expansión y escalabilidad.
Infraestructura de Soporte Según el estándar TIA-942, la infraestructura de soporte de un Data Center debe estar compuesto por cuatro subsistemas como lo son:  Telecomunicaciones  Arquitectura  Sistema Eléctrico  Sistema Mecánico
Áreas Funcionales De acuerdo con la TIA 942 un centro de datos debe incluir las siguientes áreas funcionales:  Una o mas entradas al cuarto  Área de distribución principal  Una o mas áreas de distribución horizontal  Área de equipo de distribución  Zona de distribución  El cableado horizontal y el backbone
Tier • El concepto de Tier indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. • A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo. • En su anexo G y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.
Infraestructura de Cableado • Tier1- nivel I (básico) • Tier2- nivel II (componentes redundantes) • Tier3- nivel III (mantenimiento concurrido) • Tier4- nivel IV (tolerante a errores)
Tier I - Nivel I (Básico)  Disponibilidad 99,671%.  Sensible a las interrupciones, tanto planificada como no planificada.  Un solo paso de la corriente y la distribución aire acondicionado, sin componentes redundantes.  Puede o no tener un piso elevado.  Generador independiente.  Toma 3 meses implementar.  Tiempo de inactividad anual de 28,8 horas del data centro.  Debe estar cerrado por completo para realizar mantenimiento preventivo.
Tier II- Nivel II (Componentes Redundantes)  Disponibilidad de 99,741%.  Es menor susceptible a la interrupción por actividades planeadas o no.  Un solo paso para la corriente y la distribución del aire acondicionado incluye un componente redundante.  Incluye un piso elevado UPS y generador.  Toma de 3 a 6 meses para implementar.  El tiempo de inactividad anual es de 22,0 horas.  Mantenimiento de la trayectoria de alimentación y otras partes de la infraestructura requieren un cierre de procesamiento.
Tier III - Nivel III (Mantenimiento Concurrido)  99,982 % de disponibilidad.  Permite la actividad planeada sin alterar el funcionamiento de los equipos, pero eventos no planificados pueden causar trastornos.  Múltiples pasos de energía y enfriamiento, pero con solo un camino activo, incluye componentes redundantes ( N + 1 ).  Toma de 15 a 20 meses para aplicar.  El tiempo de inactividad anual es 1.6 hora.
Tier IV - Nivel IV (Tolerante a Errores)  99, 995 % de disponibilidad.  La actividad planificada no interrumpe el funcionamiento de los datos críticos. El centro puede sostener por lo menos un caso de interrupción no planificado sin impacto critico.  Múltiples pasos de corrientes y rutas de enfriamiento, incluye componentes redundantes (2(N+1), es decir, 2 UPS cada uno con redundancia N+1).  Toma de 15 a 20 meses para implementar.  Tiempo de inactividad anual es de 0,4 horas.
Resumen de los Niveles de Tiers
Gracias!

Empfohlen

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
IDENTIFICACION Y ADMINISTRACION DE RIESGOS
IDENTIFICACION Y ADMINISTRACION DE RIESGOSIDENTIFICACION Y ADMINISTRACION DE RIESGOS
IDENTIFICACION Y ADMINISTRACION DE RIESGOSpaolitasb
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 

Empfohlen

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
IDENTIFICACION Y ADMINISTRACION DE RIESGOS
IDENTIFICACION Y ADMINISTRACION DE RIESGOSIDENTIFICACION Y ADMINISTRACION DE RIESGOS
IDENTIFICACION Y ADMINISTRACION DE RIESGOSpaolitasb
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000ascêndia reingeniería + consultoría
 
Administracion De Riesgos[1]
Administracion De Riesgos[1]Administracion De Riesgos[1]
Administracion De Riesgos[1]guest48e645
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TIDoris Suquilanda
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk managementAlexander Velasque Rimac
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBITluz milagros
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosPrimala Sistema de Gestion
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgoSafety Control Peru
 
Capacitación a gestores de riesgo
Capacitación a gestores de riesgoCapacitación a gestores de riesgo
Capacitación a gestores de riesgoEricka Vanessa pejendino perea
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionPrimala Sistema de Gestion
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Plática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de RiesgosPlática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de RiesgosHoracio Javier Martinez Rivera
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de RiesgosInstitución Univeristaria de Envigado - SGI
 
ISO 27005 - Digital Trust Framework
ISO 27005 - Digital Trust FrameworkISO 27005 - Digital Trust Framework
ISO 27005 - Digital Trust FrameworkMaganathin Veeraragaloo
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 

Weitere ähnliche Inhalte

Was ist angesagt?

Administracion De Riesgos[1]
Administracion De Riesgos[1]Administracion De Riesgos[1]
Administracion De Riesgos[1]guest48e645
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosPrimala Sistema de Gestion
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 

Was ist angesagt? (20)

Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000
 
Administracion De Riesgos[1]
Administracion De Riesgos[1]Administracion De Riesgos[1]
Administracion De Riesgos[1]
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgos
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgo
 
Capacitación a gestores de riesgo
Capacitación a gestores de riesgoCapacitación a gestores de riesgo
Capacitación a gestores de riesgo
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TI
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestion
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Plática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de RiesgosPlática informativa ISO 31000 Gestión de Riesgos
Plática informativa ISO 31000 Gestión de Riesgos
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de Riesgos
 
ISO 27005 - Digital Trust Framework
ISO 27005 - Digital Trust FrameworkISO 27005 - Digital Trust Framework
ISO 27005 - Digital Trust Framework
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 

Ähnlich wie ISO 22301, ISO 31000, TIA 942 e ISO 27005

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
auditoria
auditoriaauditoria
auditoriafrankcq
 
Iso27001
Iso27001Iso27001
Iso27001frankcq
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfDIFESAMU
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 

Ähnlich wie ISO 22301, ISO 31000, TIA 942 e ISO 27005 (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ii
iiii
ii
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
auditoria
auditoriaauditoria
auditoria
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Punteros
PunterosPunteros
Punteros
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 

Mehr von Melvin Jáquez

Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMcAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMelvin Jáquez
 
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousCyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousMelvin Jáquez
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Melvin Jáquez
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5Melvin Jáquez
 

Mehr von Melvin Jáquez (6)

Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)
 
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMcAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
 
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousCyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5
 

Kürzlich hochgeladen

libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicialLorenaSanchez350426
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfsamyarrocha1
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxJUANSIMONPACHIN
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas123yudy
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxEribertoPerezRamirez
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).ppt
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).pptPINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).ppt
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).pptAlberto Rubio
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfDaniel Ángel Corral de la Mata, Ph.D.
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Técnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesTécnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesRaquel Martín Contreras
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 

Kürzlich hochgeladen (20)

libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicial
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).ppt
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).pptPINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).ppt
PINTURA ITALIANA DEL CINQUECENTO (SIGLO XVI).ppt
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
Técnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materialesTécnicas de grabado y estampación : procesos y materiales
Técnicas de grabado y estampación : procesos y materiales
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 

ISO 22301, ISO 31000, TIA 942 e ISO 27005

  • 1. Maestría en Auditoria y Seguridad de Sistemas de Información CURCE UASD GRUPO 4: Melvin Brian Jáquez Verenice Javier Emmanuel Ynoa ISO 22301 ISO 31000 ISO 27005 TIA 942 Facilitador: ING. Miguel Diaz, PhD
  • 2. Normas a Tratar • ISO 22301 - Continuidad de Negocio • ISO 3100 - Gestión de Riesgos • TIA 942 - Especificaciones para el diseño e instalación de infraestructuras de Data Centers • ISO 27005 - Manejo y control de los riesgos en la seguridad de la información
  • 3. ISO 22301 - Continuidad del Negocio  ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.  La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando. ISO 22301 le ayudará a:  Establecer, implementar, mantener y mejorar sus BCMS,  Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su compromiso con las mejores prácticas reconocidas internacionalmente
  • 4. Beneficios ISO 22301 Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:  Preservar los intereses de los accionistas.  Mejorar el resultado operacional de la empresa:  Reducción de Riesgos, se traduce en una reducción de costes,  reducción del tiempos de inactividad,  mejora en la competitividad  Mayor eficacia operativa: Reingeniería de negocios  Protección de los bienes materiales y el “Know How” del negocio  Mejora en el cumplimiento de las legislaciones de Seguridad y Salud.  Mejora de la Seguridad Global.  Evita las acciones derivadas de la responsabilidad empresarial.
  • 5. ¿Porqué un plan de continuidad del Negocio? La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización
  • 6. Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para: – Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo – Analizar las interdependencias de nuestros procesos – Incluir los factores clave: Telecomunicaciones, infraestructuras etc. – Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados
  • 7. ¿Por qué se ha desarrollado una normativa internacional? Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.
  • 8. Ciclo de Vida de la Continuidad de Negocio:
  • 9. ISO 31000 - Gestión de Riesgos • La norma denominada ISO 31000:2009, Risk management, tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con efectividad. • Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.
  • 10. Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza. Efecto de la Incertidumbre sobre los Objetivos: Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. Los riesgos pueden ser varios dependiendo de los enfoques que tomes en cuenta, ejemplos:  Riesgos de mercado  Riesgos de liquidez, de créditos  Riesgos de desastres naturales  Riesgos de problemas legales  Entre otros. GESTIÓN DE RIESGO
  • 11. Principios Básicos para la Gestión de Riesgos Características: o Nos garantiza la aplicación de un sistema eficaz para la buena gestión de los riesgos. o Es aplicable a cualquier tipo de organización, grande o pequeña, pública o privada. o No sólo se refiere a riesgos TIC sino que se contemplan todo tipo de riesgos: Operacionales Financieros Información TIC Otros …
  • 12. Beneficios ISO 31000  Aumentar la probabilidad de lograr los objetivos  Fomentar la gestión proactiva  Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización  Mejorar en la identificación de oportunidades y amenazas  Cumplir con las exigencias legales y reglamentarias pertinentes, así como las normas internacionales.  Mejorar la información financiera  Mejorar la gobernabilidad  Mejorar la confianza de los grupos de interés (stakeholder)
  • 13.  Establecer un base confiable para la toma de decisiones y la planificación  Mejorar los controles  Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operacional  Mejorar la salud y de seguridad, así como la protección del medio ambiente.  Mejorar la prevención de pérdidas, así como la gestión de incidentes  Minimizar las pérdidas  Mejorar el aprendizaje organizacional  Mejorar capacidad de recuperación de la organización. Beneficios ISO 31000
  • 14. Breves Antecedentes La aplicación de la norma AS/NZ 4360 le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. La norma ISO 31000:2009 mejora notablemente las normas COSO y AS/NZS 4360, ya que esta es mucho más practica y concreta en su objetivo de Gestionar los Riesgos con sólo 34 páginas en comparación al COSO ERM con sus 125 paginas. Objetivos Considera las actividades de todos los niveles de la organización EnterpriseRiskManagement(2004) COSO
  • 15. Relación de Principios, Marco de Trabajo (framework) y Proceso de Gestión del Riesgo
  • 16. NORMA APOYO ISO 73:2009 El vocabulario de gestión de riesgos, esta norma complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
  • 17. ISO 31000 vs ISO 22301 Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio  El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia, que su predecesora la norma BS 25999.  La Norma ISO 31000 como estándar internacional para analizar y gestionar los riesgos, está directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías.  Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio. La causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes de una organización son siempre los riesgos mal gestionados.
  • 18. ISO/IEC 27000 - Series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
  • 19. ISO/IEC 27005 - Tecnología de Información / Técnicas de seguridad / Gestión de Riesgos de Seguridad de Información  Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información.  El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.  El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
  • 20. ISO 27005 No proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:  Establecimiento del contexto (Cláusula 7)  Evaluación del riesgo (Cláusula 8)  Tratamiento del riesgo (Cláusula 9)  Aceptación del riesgo (Cláusula 10)  Comunicación del riesgo (Cláusula 11)  Monitorización y revisión del riesgo (Cláusula 12)
  • 21. TIA 942 - Telecomunication Industry Association • El estándar TIA 942 provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo), que son los lugares donde se colocan racks, servidores, equipo de comunicaciones, etc • Este estándar está aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute). El estándar TIA 942 y la categorización de Tiers en Latinoamérica lleva al replanteamiento de las necesidades de infraestructura para la instalación de un Data Center.
  • 22. Historia • En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. • Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.
  • 23. Beneficios TIA 942 Las principales ventajas del diseño de centros de datos de conformidad con la norma TIA 942 incluyen:  La nomenclatura estándar  El funcionamiento a prueba de fallos  Sólida protección contra las catástrofes naturales o manufacturados.  La fiabilidad a largo plazo  Capacidad de expansión y escalabilidad.
  • 24. Infraestructura de Soporte Según el estándar TIA-942, la infraestructura de soporte de un Data Center debe estar compuesto por cuatro subsistemas como lo son:  Telecomunicaciones  Arquitectura  Sistema Eléctrico  Sistema Mecánico
  • 25. Áreas Funcionales De acuerdo con la TIA 942 un centro de datos debe incluir las siguientes áreas funcionales:  Una o mas entradas al cuarto  Área de distribución principal  Una o mas áreas de distribución horizontal  Área de equipo de distribución  Zona de distribución  El cableado horizontal y el backbone
  • 26. Tier • El concepto de Tier indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. • A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo. • En su anexo G y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.
  • 27. Infraestructura de Cableado • Tier1- nivel I (básico) • Tier2- nivel II (componentes redundantes) • Tier3- nivel III (mantenimiento concurrido) • Tier4- nivel IV (tolerante a errores)
  • 28. Tier I - Nivel I (Básico)  Disponibilidad 99,671%.  Sensible a las interrupciones, tanto planificada como no planificada.  Un solo paso de la corriente y la distribución aire acondicionado, sin componentes redundantes.  Puede o no tener un piso elevado.  Generador independiente.  Toma 3 meses implementar.  Tiempo de inactividad anual de 28,8 horas del data centro.  Debe estar cerrado por completo para realizar mantenimiento preventivo.
  • 29. Tier II- Nivel II (Componentes Redundantes)  Disponibilidad de 99,741%.  Es menor susceptible a la interrupción por actividades planeadas o no.  Un solo paso para la corriente y la distribución del aire acondicionado incluye un componente redundante.  Incluye un piso elevado UPS y generador.  Toma de 3 a 6 meses para implementar.  El tiempo de inactividad anual es de 22,0 horas.  Mantenimiento de la trayectoria de alimentación y otras partes de la infraestructura requieren un cierre de procesamiento.
  • 30. Tier III - Nivel III (Mantenimiento Concurrido)  99,982 % de disponibilidad.  Permite la actividad planeada sin alterar el funcionamiento de los equipos, pero eventos no planificados pueden causar trastornos.  Múltiples pasos de energía y enfriamiento, pero con solo un camino activo, incluye componentes redundantes ( N + 1 ).  Toma de 15 a 20 meses para aplicar.  El tiempo de inactividad anual es 1.6 hora.
  • 31. Tier IV - Nivel IV (Tolerante a Errores)  99, 995 % de disponibilidad.  La actividad planificada no interrumpe el funcionamiento de los datos críticos. El centro puede sostener por lo menos un caso de interrupción no planificado sin impacto critico.  Múltiples pasos de corrientes y rutas de enfriamiento, incluye componentes redundantes (2(N+1), es decir, 2 UPS cada uno con redundancia N+1).  Toma de 15 a 20 meses para implementar.  Tiempo de inactividad anual es de 0,4 horas.
  • 32. Resumen de los Niveles de Tiers