Este documento presenta una introducción a la integración de la continuidad del negocio con la seguridad de la información conforme al estándar ISO 27001. Explica los requisitos clave de ISO 27001 y 27002 relacionados con la continuidad del negocio. También describe los beneficios de integrar ambos enfoques, como preservar el valor de la organización y asegurar la continuidad operativa.
5. PwC
Introducción
"Preservación de la Confidencialidad,
integridad y disponibilidad… “
* Fuente: ISO 27002
"El único sistema totalmente seguro es aquel que
esta apagado, desconectado, guardado en una
caja fuerte de titanio, encerrado en un bunker de
concreto, rodeado por gas venenoso y cuidado
por guardias bien armados y pagados.
Aún así no apostaría mi vida por él”
* Fuente: Eugene H. Spafford
6. PwC
Introducción
Un Sistema de Gestión de Seguridad de la
Información (SGSI), protege a los activos de
información más valiosos de las empresas
mediante la gestión adecuada de riesgos de
seguridad de la información, con el objeto
de implementar controles que garanticen la
adecuada protección de los mismos.
* Fuente: Maricarmen García
7. PwC
El ISO 27001
Finca las bases para una implementación de
un Sistema de Gestión de Seguridad de la
Información SGSI, así conforme con el
estándar es posible cumplir con los
requerimientos en caso de buscar una
certificación.
9. PwC
ISO/IEC 27001
Norma ISO/IEC 27001
ISO/IEC
27001:2005 -
Requerimientos
para la Gestión de
Seguridad de la
Información
Parte 1
ISO/IEC 27002
Código de
Práctica para la
Seguridad de la
Información
Parte 2
11. PwC
ISO/IEC 27002
Código de Práctica para la
Seguridad de la
Información
0. Introducción
1. Alcance
2. Términos y
definiciones
3. Estructura de la Norma
4. Evaluación y tratamiento de riesgo
5. Política de
Seguridad
6. Organización de Seguridad
de la Información
7. Administración de Activos
8. Seguridad de los
Recursos Humanos9. Seguridad física y
del ambiente
10. Administración de las
comunicaciones y operaciones
11. Control de Acceso
12. Adquisición, desarrollo y
mantenimiento de sistemas de
información
13. Administración de incidentes de
seguridad de la información
14. Administración de la
Continuidad del Negocio
15. Cumplimiento
Bibliografía
Indice
Estructura del ISO 27002
13. PwC
Las razones por las que un control como el
de Continuidad del Negocio debe ser
completamente implementado son:
• Está justificado por la exposición al riesgo
• Evalúa anticipadamente las limitantes financieras y
provisiona los recursos necesarios para la continuidad
• Algunas medidas no son técnicamente factibles, pero
deben de ser consideradas las alternativas mediante
estrategias de continuidad
• Identifica las limitantes sociológicas
• Algunos requerimientos no pueden ser implementados
ahora, por lo que deben ser gestionados previamente
14. PwC
Anexo A.14.1 Continuidad del negocio
A.14.1.1. Incluir a la Seguridad de la Información en el
proceso de administración de Continuidad del Negocio
A.14.1.2. Continuidad del Negocio y Análisis de Riesgos
A.14.1.3. Desarrollo e implementación de Planes de
Continuidad incluyendo la Seguridad de la Información
A.14.1.4. Marco de trabajo de la planeación de la
Continuidad del Negocio
A.14.1.5. Pruebas, mantenimiento y reevaluación de los
Planes de Continuidad del Negocio
Integración de Continuidad del Negocio en ISO
27001
15. PwC Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011
Integración de Continuidad del Negocio en ISO
27001 – Principales Amenazas de seguridad
16. PwC
Integración de Continuidad del Negocio en ISO
27001
ISO 27001 requiere garantizar la
continuidad de los procesos que se
protegerán conforme al valor que aportan en
la empresa, por lo que es importante
identificar el método de continuidad que se
requiere conforme a dichos procesos.
21. PwC
Beneficios de integración
• Preservar el valor de la organización
• Gestionar riesgos relacionados con el uso de información
• Evaluar estrategias de continuidad conforme a los riesgos
de seguridad detectados sin perder de vista el impacto en
el negocio
• Asegurar la continuidad operativa
• Mejorar el servicio
• Mantener y mejorar la imagen de la institución
• Mejorar la eficiencia
22. PwC
Conclusiones:
La implementación exitosa de Seguridad de la información
requiere de un programa de continuidad detallado y
estratégico y sobre todo requiere que sea ideado y
conducido para operar de forma segura en el momento en
que se requiere activar la continuidad del negocio.
Lo fundamental es que quienes conforman la alta
dirección, tengan completa claridad en cuánto a las razones
de la implementación conforme a mejores prácticas de
continuidad y cuál será el resultado final.
So as an existing client, how do you make the transition once the British standard is published?
Well existing BSI OHSAS clients will automatically be transitioned to the new British standard following the normal BSI transition process.
BSI’s policy for the transition is to include it as part of the normal CAV process so no additional time or money. Your client manager will work with you to ensure that the differences are addressed. We will provide a transition checklist to help identify and address the changes.
The transition period will be determined when the standard is published but is likely to be between 18 to 24 months from the date of publication.
So as an existing client, how do you make the transition once the British standard is published?
Well existing BSI OHSAS clients will automatically be transitioned to the new British standard following the normal BSI transition process.
BSI’s policy for the transition is to include it as part of the normal CAV process so no additional time or money. Your client manager will work with you to ensure that the differences are addressed. We will provide a transition checklist to help identify and address the changes.
The transition period will be determined when the standard is published but is likely to be between 18 to 24 months from the date of publication.
So as an existing client, how do you make the transition once the British standard is published?
Well existing BSI OHSAS clients will automatically be transitioned to the new British standard following the normal BSI transition process.
BSI’s policy for the transition is to include it as part of the normal CAV process so no additional time or money. Your client manager will work with you to ensure that the differences are addressed. We will provide a transition checklist to help identify and address the changes.
The transition period will be determined when the standard is published but is likely to be between 18 to 24 months from the date of publication.