Post on 05-Dec-2014
description
Congreso Internacional de
Infraestructura TIC
Gestión de continuidad de las TIC con el
estándar ISO27031 (antes BS25777)
Por Mario Ureña Cuate, BSI
CISSP, CISA, CISM, CGEIT
BS25999LA, ISO27001LA
12 de Mayo 2011
Agenda
• Introducción
• Planeación (Plan)
• Implementación y operación (Do)
• Monitoreo y revisión (Check)
• Mejora continua (Act)
• Conclusiones
INTRODUCCIÓN
¿Quiénes somos?…
BSI tiene más de 100 años de experiencia liderando el camino del desarrollo de normas para una gran variedad de operaciones de negocio, lo que nos convierte en un organismo líder proveedor de soluciones en capacitación, certificación y software para la normatividad.
Nuestro objetivo…
Nuestro objetivo es crear soluciones integrales y programas de capacitación que mejoren el desempeño de su compañía y le permitan administrar eficientemente sus riesgos.
Lo que hacemos ...
• Establecer estándares
• Proveer toda la información y entrenamiento sobre estandarización
• Apoyar a las organización mejorando la manera en que operan con buenos procesos de gestión y soluciones empresariales
• Probar y verificar independientemente productos y servicios para asegurar que están al nivel requerido, en términos de la especificación de desempeño y seguridad
Estándares renombrados originados por BSI
Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
Soluciones y Servicios de Sistemas de Gestión
DesempeñoCrear ventaja competitiva a través de la mejora en el desempeño
SustentabilidadCrear valor a través de prácticas sustentables
Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo
Introducción
Inundación en Veracruz. 1999
San Juan Ixhuatepec. 1984
México, D.F. 19 de Septiembre de 1985
New York, USA. 11 de Septiembre de 2001
Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008
Fuente: SecureInformationTechnologies
Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Seguridad de la Información - Amenazas
Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011
Continuidad del Negocio
14
Continuidad del Negocio
BS 25999-1
Código de Práctica
BS 25999-2
SGCN
BS 25777
Código de Práctica TIC
Continuidad del Negocio
15
Continuidad del Negocio
BS 25999-1
Código de Práctica
ISO 22301
SGPC
ISO 27031
Código de Práctica TIC
BS 25777 / ISO 27031
16
2006
2007
2008
2011
2011 / 2012
BS 25999-1
BS 25999-2
BS 25777
ISO 27031
ISO 22301*
*Por publicarse. A la fecha de ésta presentación se encuentra en la etapa 40.60 (DIS)
ISO 27031
17
• Guías para la preparación de las tecnologías de información y comunicaciones para la continuidad del negocio.
• Information and communication technologyreadiness for businesscontinuity (IRBC)
ISO 27031
• Aplica a cualquier organización
• Cualquier tamaño
• Eventos e incidentes de TIC que afecten la continuidad de las funciones críticas del negocio
• Permite la medición del desempeño
• Se encuentra estrechamente vinculada con:
Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Servicios de TI
Sistema de Gestión de Continuidad del Negocio
18
Principios de IRBC
• Prevención de incidentes
• Detección de incidentes
• Respuesta
• Recuperación
• Mejora
19
Recuperación
20
PERSONAS
INSTALACIONES
TECNOLOGIA DATOS
PROCESOS
PROVEEDORES
Elementos clave de IRBC
21
Ciclo de mejora continua - PDCA
22
23
ISO 27031
PLANEACIÓN
(PLAN)
Planeación (Plan)
• Establecer los requerimientos de IRBC
• Estrategia
• Recursos
• Competencias del personal
• Definición de requerimientos
Entendimiento de servicios críticos de ICT
Identificar brechas entre IRBC y BC
25
Estrategias – Habilidades y conocimiento
• Documentación de la forma en que los servicios críticos de ICT son ejecutados.
• Entrenamiento en múltiples habilidades del personal y contratistas para asegurar redundancia.
26
Estrategias – Instalaciones
• Instalaciones alternativas dentro de la organización
• Instalaciones alternativas provistas por otras organizaciones
• Instalaciones alternativas provistas por terceras partes especializadas
• Trabajo desde casa u otras localidades remotas
• Otros acuerdos de uso de instalaciones
• Uso de una fuerza de trabajo alterno en un sito establecido
• Instalaciones alternativas móviles
27
Estrategias – Tecnología (consideraciones)
• RTOs y RPOs para servicios críticos
• Localización y distancia entre sitios
• Número de sitios de tecnología
• Acceso remoto a sistemas
• Requerimientos de enfriamiento
• Requerimientos de energía
• Utilizar instalaciones sin personal
• Conectividad y redundancia
• Naturaleza de proceso de activación (manual / automático)
• Nivel de automatización requerido
• Obsolescencia tecnológica
• Conectividad con proveedores y otros externos
28
Estrategias – Datos (Consideraciones)
• Requerimientos RPO
• Seguridad de los datos almacenados
• Distancia, localización, medios de acceso y tiempos para su recuperación
• Procedimientos de almacenamiento
• Complejidad técnica del proceso de restauración
• Requerimientos de usuario y necesidades organizacionales
29
Estrategias – Procesos (Consideraciones)
• Gestión de incidentes
• Seguridad de la Información
• Gestión de la capacidad
• Etc.
• Competencias y habilidades, datos críticos, tecnológicas clave, equipo crítico
30
Estrategias – Proveedores
• Almacenamiento de equipo adicional y copias de software en otra localidad
• Entrega de reemplazos de equipo en corto tiempo
• Reparación rápida y/o reemplazo de partes que presenten fallas y/o malfuncionamiento
• Provisión dual de servicios como energía eléctrica y telecomunicaciones
• Equipo de emergencia
• Identificación de proveedores alternativos / sustitutos
31
IMPLEMENTACIÓN Y
OPERACIÓN
(DO)
Implementación y operación (Do)
• Procedimientos de gestión de incidentes
• Estrategias de IRBC
• Concientización y entrenamiento
• Instalaciones
• Tecnología
• Datos
• Procesos
• Proveedores
• Documentación de planes
33
MONITOREO Y REVISIÓN
(Check)
Monitoreo y revisión (Check)
• Monitoreo, detección y análisis de amenazas
• Pruebas y ejercicios
• Auditoría Interna
• Revisión de la dirección
• Medición del desempeño
35
MEJORA CONTINUA
(Act)
Mejora continua (Act)
• Acciones correctivas
• Acciones preventivas
37
38
ISO 27031
OFERTA DE CAPACITACIÓN
Cursos BSI
• Interpretación
• Implementación
• Auditor Interno
• Auditor Líder*
*Con posibilidad de certificación
mario.urena@secureit.com.mx
www.mariourenacuate.com
@mariourena
@mariourena
Gracias!!
Mario Ureña CuateCISSP, CISA, CISM, CGEIT
ISO27001LA, BS25999LA
42
Contáctenos
Nombre: Informes de Capacitación y Certificación
Dirección: Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41 Suite C
México, Distrito Federal
Teléfono: +52 (55) 5241 1370
Fax: +52 (55) 5241 1371
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
43
Contáctenos
Nombre: Informes de Capacitación y Certificación BSI
Dirección: Oficina Monterrey
Torre Capitel
Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908
Monterrey, Nuevo León
Teléfono: +52 (81) 8155 6100
Fax: +52 (81) 8155 6105
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
44
Contáctenos
Nombre:
Mario Ureña,
CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
Posición: Presidente
Empresa: Secure Information Technologies
Teléfono 1: (5255) 5524 8091 y 5524 7582
Celular: (5255) 1798-8155
Email: mario.urena@secureit.com.mx
Web: www.secureit.com.mx
Blog: www.mariourenacuate.com
Miembro
Associated Consultant Program