Audit Bcm Iso27000

Soportando y Auditando la Gestión de la

Continuidad del Negocio (BCM)

ISACA Capítulo Monterrey

A partir de los estándares:

ISO/IEC 27002:2005

ISO/IEC 27001:2005

Alejandro Cerezo H.

Agenda

� Definición de SGSI (Sistema de Gestión de la Seguridad de la

Información)

� Soportando BCM con base en ISO/IEC 27002:2005

o Que es ISO/IEC 27002

o Estructura del Estándar

o Dominio 14. Business Continuity Management

– Alineación de Objetivos de Control con entregables DRP/BCP Integridata


– Alineación de Objetivos de Control con entregables DRP/BCP Integridata

� Auditando BCM de acuerdo al ISO/IEC 27001:2005

o Que es ISO/IEC 27001

o Estructura del Estándar

o Que requiere el estándar en relación al cumplimiento con BCM

o Que solicitará el auditor para la evaluación de los objetivos de control (A. 14)

• Nota: Es importante destacar, que la información aquí contenida es sólo un resumen general de los objetivos de control del

estándar, para un mayor detalle deberá acudir al mismo.

• Según UNE-ISO/IEC 27001

• “Especificaciones para los Sistemas de Gestión de la Seguridad de la

Información (SGSI)”

•SGSI

Sistema de

Gestión de la

Seguridad de

Es un sistema de gestión que comprende la política, laestructura organizativa, los procedimientos, los procesos ylos recursos necesarios para implantar la gestión de laseguridad de la información. El sistema es la herramienta deque dispone la Dirección de las organizaciones para llevar acabo las políticas y los objetivos de seguridad (integridad,

Definición de un SGSI


Seguridad de

la Información: cabo las políticas y los objetivos de seguridad (integridad,confidencialidad y disponibilidad, asignación deresponsabilidad, autenticación, etc.). Proporcionarmecanismos para la salvaguarda de los activos deinformación y de los sistemas que los procesan, enconcordancia con las políticas de seguridad y planesestratégicos de la organización.

ISMS == Information Security Management System

0- Introducción

5- Políticas de Seguridad

6- Aspectos organizativos para la Seguridad

7- Clasificación y Control de Activos

10- Gestión de 12- Desarrollo y

1- Alcance

2- Términos y

definiciones

3-Análisis y Gestión

del Riesgo

ESTRUCTURA DE LA NORMA

UNE-ISO/IEC 27002:2005


8- Seguridad ligada

al personal

9- Seguridad física

y ambiental

10- Gestión de

Comunicaciones

y operaciones

12- Desarrollo y

Mantenimiento de

Sistemas

11- Control de Accesos

14- Gestión de Continuidad del negocio

15- Conformidad

13- Gestión de Incidentes de Seguridad

ESTRUCTURA DE LA NORMA

1- Objeto y campo de aplicación

2- Normas para consulta

3- Términos y definiciones

4- SGSI

5- Responsabilidad de la Dirección

0- Introducción

UNE-ISO/IEC 27001:2005


5- Responsabilidad de la Dirección

6- Auditorias Internas del SGSI

7- Revisión del SGSI por la Dirección

8- Mejora del SGSI

Anexo A (Normativo)

� Se “debe” Establecer, implementar, operar, supervisar,

revisar, mantener y mejorar un SGSI documentado :

– Aplicable a los activos a proteger

– Aplicando el enfoque de la organización para gestionar

Requisitos Generales


el riesgo

– El proceso se basa en el modelo PDCA

• Modelo PDCA aplicado al SGSI

PLAN

Implementar

Establecer SGSI

Ciclo de Desarrollo, Mantener

Requisitos Generales


Supervisar y

Revisar el

SGSI

Implementar

y Operar el

SGSI

Ciclo de Desarrollo,

Mantenimiento y

Mejora

DO ACT

CHECK

Mantener

Mejorar

SGSI

Planificar (creación del

SGSI)

Definir la política, objetivos, procesos y

procedimientos del SGSI relevantes para gestionar

el riesgo y mejorar la seguridad de la información,

con el fin de obtener resultados acordes con las

políticas y objetivos generales de la organización.

Hacer (implementación

y operación del SGSI)

Implementar y operar la política, controles,

procesos y procedimientos del SGSI.

Modelo PDCA aplicado a los procesos del SGSI


Verificar (supervisión y

revisión del SGSI)

Evaluar y, en su caso, medir el rendimiento del

proceso contra la política, los objetivos y la

experiencia práctica del SGSI, e informar de los

resultados a la Dirección para su revisión.

Actuar (mantenimiento

y mejora del SGSI)

Adoptar medidas correctivas y preventivas, en

función de los resultados de la auditoría interna del

SGSI y de la revisión por parte de la dirección, o de

otras informaciones relevantes, para lograr la

mejora continua del SGSI.

� La dirección debe suministrar evidencias de su compromiso

para crear, implementar, operar, supervisar, revisar, mantener,

y mejorar el SGSI, a través de las siguientes acciones:

o Formulando la política del SGSI

o Velando por el establecimiento de los objetivos y planes del SGSI

Compromiso de la Dirección


o Estableciendo los roles y responsabilidades en materia de seguridad

de la información

o Comunicando a la organización la importancia de cumplir los objetivos

y la política de seguridad de la información, sus responsabilidades

legales y la necesidad de la mejora continua

� La dirección debe suministrar evidencias de su compromiso

para crear, implementar, operar, supervisar, revisar, mantener,

y mejorar el SGSI, a través de las siguientes acciones:

o Proporcionando recursos suficientes para crear, implementar, operar,

supervisar, revisar, mantener, y mejorar el SGSI

o Participando en la decisión de los criterios de aceptación de riesgos y

Compromiso de la Dirección


o Participando en la decisión de los criterios de aceptación de riesgos y

los niveles aceptables de riesgos

o Velando por que se realicen las auditorias internas del SGSI

o Dirigiendo las revisiones del SGSI

Soportando BCM con base en ISO/IEC 27002:2005

• Qué es ISO/IEC 27002:2005 ?

Estándar Internacional que establece las guías y principios

generales para comenzar, implementar , mantener y mejorar la

Gestión de la Seguridad en una organización.


Los objetivos brindados por el estándar proveen una guía general sobre las

metas comúnmente aceptadas para la Gestión de la

Seguridad de la Información.


Estructura del Estándar (1 de 2)

De manera general, el estándar se encuentra distribuido de la siguiente

forma:


Por lo que refiere al propósito del mismo, la parte de mayor interés será la

sección correspondiente al establecimiento de Objetivos de Control y

Controles.


Estructura del Estándar (2 de 2)

El estándar se encuentra compuesto por 11 Secciones de Control, comúnmente

llamadas Dominios, comprendiendo un total de 39 Objetivos de Control y 133

Controles.

o 5. Política de Seguridad

o 6. Organización de la Seguridad de la información

o 7. Gestión de Activos


o 7. Gestión de Activos

o 8. Seguridad de Recursos Humanos

o 9. Seguridad Física y Ambiental

o 10. Gestión de Comunicaciones y Operaciones

o 11. Control de Accesos

o 12. Adquisición, desarrollo y mantenimiento de sistemas

o 13. Gestión de incidentes de seguridad de la información

o 14. Gestión de la Continuidad del Negocio

o 15. Cumplimiento.


Dominio 14. Gestión de la Continuidad del Negocio (1 de 11)

14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad

del Negocio

Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus

procesos críticos contra desastres y fallas mayores en los sistemas de información, así

como de sus efectos. Asegurando su restablecimiento oportuno.


como de sus efectos. Asegurando su restablecimiento oportuno.

14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del

Negocio.

14.1.2 Continuidad del Negocio y Análisis de Riesgos.

14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad

de la información.

14.1.4 Marco Referencial para la Planeación de la Continuidad del Negocio

14.1.5 Prueba, mantenimiento y actualización de los planes de continuidad del negocio.


14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión

de Continuidad del Negocio.

Control:

Se debería instalar en toda la organización un proceso de gestión para el desarrollo y

mantenimiento de la Continuidad del NegocioD

Guía de implementación:

a) Comprender los riesgos de la organización, identificar y priorizar los procesos críticos.

b) Identificar todos los activos implicados en los procesos críticos.


b) Identificar todos los activos implicados en los procesos críticos.

c) Comprender el Impacto que tendrían las interrupciones en el negocio.

d) Considerar la adquisición de seguros adecuados.

e) Identificar y considerar la implementación de controles adicionales de prevención.

f) Identificar los recursos financieros, organizacionales, técnicos y ambientales.

g) Asegurar la seguridad del personal e instalaciones

h) Formular y documentar planes

i) Probar y Actualizar planes

j) Asegurar la incorporación del BCM a los procesos de la organización. Asignar un

Responsable.


Alineación del Objetivo de Control 14.1.1 con entregables

Comunes de una Consultoría

Los entregables listados a continuación, forman parte de los productos

desarrollados por una empresa de consultoría en términos generales

como parte de los proyectos DRP/BCP, estos entregables satisfacen los

requerimientos solicitados por el Objetivo de Control 14.1.1



o Análisis de Riesgos (AR)

o Análisis de Impacto al Negocio (BIA)

o Plan de Acción del DRP

o Pruebas, Metodología de Pruebas

o Mantenimiento, Metodología de Mantenimiento


14.1.2 Continuidad del Negocio y Evaluación de Riesgos

Control:

Los eventos que pueden causar interrupciones en los procesos

de negocio deben ser identificados junto con su probabilidad de

impactoD



a) Identificación de los eventos

b) evaluar el riesgo determinando la probabilidad e impacto del evento

c) Desarrollar un plan estratégico a partir de los resultados de la evaluación del

riesgo

d) Crear una estrategia sólida y respaldada así como un plan para

implementarla




Los entregables listados a continuación, forman parte de los

productos desarrollados por una empresa de consultoría en

términos generales como parte de los proyectos DRP/BCP, estos

entregables satisfacen los requerimientos solicitados por el


entregables satisfacen los requerimientos solicitados por el

Objetivo de Control 14.1.2

o Análisis de Riesgos (AR)

o Estrategia de Recuperación / Continuidad

o Plan de Acción del DRP


14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo

aspectos de seguridad de la información.

Control:

Se deberían desarrollar planes de mantenimiento y recuperación

de las operaciones del negocioD




a) Identificación de los procedimientos de emergencia y los acuerdos de todas las

responsabilidades

b) La identificación de las pérdidas aceptables de información y servicios.

c) La implementación de los procedimientos que permitan la recuperación y restauración de

las operaciones de negocio, dependencias de negocios externas e internas.

d) Los procedimientos para completar la restauración y recuperación.

e) La documentación de los procedimientos.

f) La formación apropiada del personal en los procedimientos.

g) La prueba y actualización de los planes.





desarrollados por una empresa de consultoría en términos generales

como parte de los proyectos DRP/BCP, estos entregables satisfacen los




o Análisis de Impacto al Negocio (BIA)

o Procedimientos Técnicos de Recuperación

o Procedimientos de Operación y Continuidad del Negocio

o Capacitación y Concientización




14.1.4. Marco Referencial para la Planeación de la Continuidad del

Negocio.

Control:

Se deberá mantener un esquema único de planes de continuidad del

negocio para asegurar que dichos planes sean consistentesD


a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activación.


a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activación.

b) Los procedimientos de emergencia que describen las acciones a realizar tras una

contingencia.

c) Los procedimientos de respaldo

d) Procedimientos temporales de operación

e) Los procedimientos de reanudación.

f) El calendario de mantenimiento

g) Actividades de concientización y formación

h) Las responsabilidades de las personas

i) Los activos y recursos críticos necesarios


Alineación del Objetivo de Control 14.1.4 entregables Comunes

de una Consultoría


desarrollados por una empresas de consultoría en términos generales como parte

de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos

solicitados por el Objetivo de Control 14.1.4


o Estrategia de Recuperación

o Procedimientos Técnicos de Recuperación

o Procedimientos de Operación y Continuidad del Negocio

o Grupos de Recuperación





14.1.5 Prueba, mantenimiento y actualización de los planes de

Continuidad del Negocio.

Control:

Los Planes de Continuidad del Negocio se deberán probar regularmente para

asegurarse de su actualización y eficacia.



a) La prueba sobre papel de varios escenarios.

b) La simulación (para entrenar al personal)

c) Las pruebas de Recuperación Técnica

d) Las pruebas de Recuperación en un lugar alternativo

e) Las pruebas de los recursos y servicios del Proveedor

f) Los ensayos completos.

g) La actualización correspondiente


Alineación del Objetivo de Control 14.1.5 entregables Comunes

de una Consultoría


desarrollados por una empresa de consultoría en términos generales como parte de

los proyectos DRP/BCP, estos entregables satisfacen los requerimientos







Auditando BCM de acuerdo al ISO/IEC 27001:2005

• Qué es ISO/IEC 27001:2005 ?

Es el estándar internacional generado para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la

Información (SGSI), define los requerimientos que deberán ser cumplidos en la

integración de un SGSI, siendo ésta auditable y certificable.

Una de sus principales áreas de control contempla la Gestión de la Continuidad del


Una de sus principales áreas de control contempla la Gestión de la Continuidad del

Negocio, especificando los requerimientos de seguridad necesarios para

contrarrestar las interrupciones, fallas y efectos originados por desastres en los

sistemas de información. Contemplados en el Dominio 14. del anexo A de dicho

estándar.


Estructura del Estándar

De manera general, el estándar se encuentra distribuido de la siguiente forma:



Que requiere el estándar en relación al cumplimiento con

BCM (1 de 2)

A. 14 Gestión de la Continuidad del Negocio

A.14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio

Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos

críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos.


críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos.

Asegurando su restablecimiento oportuno.

14.1.1 Incluir la Seguridad de la

Información en el proceso

de Gestión de Continuidad

del Negocio.

Se debería instalar en toda la organización un proceso de

gestión para el desarrollo y mantenimiento de la

Continuidad del NegocioD

14.1.2 Continuidad del Negocio y

Análisis de Riesgos.

Los eventos que pueden causar interrupciones en los

procesos de negocio deben ser identificados junto con su

probabilidad de impactoD


Que requiere el estándar en relación al cumplimiento con BCM (2 de 2)

14.1.3

Desarrollar Planes de

Continuidad del Negocio

incluyendo aspectos de

seguridad de la

información.

Se deberían desarrollar planes de mantenimiento y

recuperación de las operaciones del negocioD


14.1.4

Marco Referencial para la

Planeación de la

Continuidad del Negocio

Se deberá mantener un esquema único de planes de

continuidad del negocio para asegurar que dichos planes

sean consistentes...

14.1.5

Prueba, mantenimiento y

actualización de los

planes de continuidad del

negocio.

Prueba, mantenimiento y actualización de los planes de

continuidad del negocioD


• Que solicitará el auditor para la evaluación de los objetivos de

control (A. 14)

• El auditor revisará el cumplimiento de esos objetivos de control, basado en su

conocimiento, criterio y experiencia.

• El auditor deberá asegurar que los controles sean razonablemente efectivos enSin embargo !!!!


su diseño, desarrollo, implementación y operación.

• Lo que si es seguro es que si enfocamos nuestros esfuerzos basados en

mejores prácticas y entandares de la industria en términos de continuidad y

recuperación indudablemente cumpliremos los requerimientos del Auditor.

Sin embargo !!!!

• La metodología y entregables desarrollados por cualquier

empresa de consultoría deben estar alineados y cumplir en

todos los sentidos con los estándares y mejores prácticas de la

industria tales como

BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005

Recordemos entonces :



BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005

Dominio 14., etc.

Lo cual nos permitirá alcanzar la certificación deseada

D

EjemploAuditando BCM de acuerdo al ISO/IEC 27001:2005

EJEMPLO


Dudas o comentarios


Documents

Audit Bcm Iso27000