Seguridad de la informacin

Segn las normas

ISO 27001 e ISO 27002
la informacin y el
conocimiento son los activos
ms importantes de una
organizacin.
ANTES DE EMPEZAR
MOVILES
DESCANSOS
CASOS PRACTICOS
PREGUNTAS
ANTES DE EMPEZAR
MONITOR
JOSE MARIA GILGADO TANCO
CONSULTOR DE TEA-CEGOS
DEPLOYMENT
PRESENTACIONES
ASISTENTES
1. NOMBRE
2. DEPARTAMENTO/FUNCIONES
3. CONOCIMIENTOS PREVIOS
4. EXPECTATIVAS DEL CURSO
1- Introduccin
Seguridad de la informacin
Qu es la informacin?
Conjunto de datos
procesados en poder de
una organizacin e
independientemente de la
forma en que se guarde o
transmita (escrita,
representada mediante
diagramas o impresa en
papel, almacenada
electrnicamente,
proyectada en imgenes,
enviada por fax o correo,
o, incluso, transmitida de
forma oral en una
conversacin presencial o
telefnica),
Por qu es necesaria la seguridad de la informacin?
La informacin y los procesos, sistemas y redes que la
soportan, son importantes activos de negocio. La
definicin, consecucin, mantenimiento, y mejora de la
seguridad de la informacin pueden ser esenciales para
mantener su competitividad, rentabilidad, cumplimiento
con la legislacin, imagen
Las organizaciones y sus sistemas de informacin y redes
se enfrentan, con amenazas de seguridad procedentes de
una amplia variedad de fuentes, incluyendo fraudes
basados en informtica, espionaje, sabotaje, vandalismo,
incendios o inundaciones. Las causas de daos como
ataques por cdigo malicioso, de intrusin y de
denegacin de servicios se estn volviendo cada vez ms
comunes, ambiciosos y sofisticados.
QU PROTEGER? DE QUIN? CMO
PROTEGERLO?
SEGURIDAD DE LA
INFORMACIN
PROTEGIDO POR:
ISO 27001
SISTEMA DE GESTIN DE
SEGURIDAD DE LA
INFORMACIN
1
2
3
4
5
6
7
8
Qu es exactamente la seguridad de la
informacin?
La seguridad de la informacin es la preservacin de la
confidencialidad, integridad y disponibilidad de la misma y de los
sistemas implicados en su tratamiento dentro de una organizacin.
Estos tres factores se definen como:
Confidencialidad: acceso a la informacin por parte nicamente de
quienes estn autorizados.
Integridad: mantenimiento de la exactitud y completitud de la
informacin y sus mtodos de proceso.
Disponibilidad: acceso a la informacin y los sistemas de tratamiento
de la misma por parte de los usuarios autorizados cuando lo requieran
2- Preguntas y respuestas
sobre el SGSI y la norma 27001
Seguridad de la informacin
Qu es un SGSI?
Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin.
Esta gestin debe realizarse mediante un proceso sistemtico,
documentado y conocido por toda la organizacin. Podra
considerarse, por analoga con una norma tan conocida como la ISO
9000, como el sistema de calidad para la seguridad de la informacin.
El propsito de un sistema de gestin de la seguridad de la
informacin no es garantizar la seguridad que nunca podr ser
absoluta- sino garantizar que los riesgos de la seguridad de la
informacin son conocidos, asumidos, gestionados y minimizados por
la organizacin de una forma documentada, sistemtica, estructurada,
continua, repetible, eficiente y adaptada a los cambios que se
produzcan en la organizacin, los riesgos, el entorno y las tecnologas.
Si la seguridad total no existe, qu diferencia
aporta un SGSI?
Un SGSI es el modo ms eficaz de conseguir minimizar los riesgos,
asegurar la continuidad adecuada de las actividades de negocio hasta
en los casos ms extremos y de adaptar la seguridad a los cambios
continuos que se producen en la organizacin y en su entorno.
Aunque nunca logremos la seguridad total, nos acercamos a ella
mediante una mejora continua. Es ms apropiado hablar en trminos
de riesgo asumible en lugar de seguridad total, ya que no sera lgico
que el gasto en seguridad sea mayor que los impactos potenciales de
los riesgos que pretende evitar.
Qu es la norma ISO 27001?
Es un estndar ISO que
proporciona un modelo para
establecer, implementar, utilizar,
monitorizar, revisar, mantener y
mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI).
Se basa en un ciclo de vida PDCA
(Plan-Do-Check-Act; o ciclo de
Deming) de mejora continua, al
igual que otras normas de sistemas
de gestin (ISO 9001 para calidad,
ISO 14001 para medio ambiente,
etc.).
Es un estndar certificable, es decir, cualquier organizacin que tenga
implantado un SGSI segn este modelo puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir
la certificacin en ISO 27001
En qu consiste la gestin del riesgo y el ciclo de
vida PDCA?
Mediante la gestin del riesgo se identifican, evalan y corrigen a
niveles razonables y asumibles en coste todos los riesgos en
seguridad que podran afectar a la informacin.
PDCA son las siglas en ingls del conocido como ciclo de Deming:
Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar).
En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e
impactos. En la fase DO, se seleccionan e implementan los controles
que reduzcan el riesgo a los niveles considerados como aceptables y
en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de
evidencias y readaptacin de los controles segn los nuevos niveles
obtenidos y requeridos.
Es un proceso cclico sin fin que permite la mejor adaptacin de la
seguridad al cambio continuo que se produce en la organizacin y su
entorno.
Cul es el origen de ISO 27001?
Su origen est en la norma de BSI (British Standards Institution)
BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y
ya era un estndar certificable desde entonces. Tras la adaptacin
pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.
Puedo certificar mi organizacin en ISO 17799?
ISO 27002 es un conjunto de buenas prcticas de seguridad de la
informacin que describe 133 controles aplicables. No es certificable,
al igual que su norma antecesora BS 7799-1, y la aplicacin total o
parcial en cada organizacin se realiza de forma totalmente libre y sin
necesidad de una supervisin regular externa.
La norma que s es certificable es ISO 27001, como tambin lo fue su
antecesora BS 7799-2
Qu es un estndar?
Es una publicacin que recoge el trabajo en comn de los comits de
fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones tcnicas y mejores
prcticas en la experiencia profesional con el objeto de ser utilizada
como regulacin, gua o definicin para las necesidades demandadas
por la sociedad y tecnologa.
Los estndares ayudan a aumentar la fiabilidad y efectividad de
materiales, productos, procesos o servicios que utilizan todas las
partes interesadas (productores, vendedores, compradores, usuarios y
reguladores).
En principio, son de uso voluntario, aunque la legislacin y las
reglamentaciones nacionales pueden hacer referencia a ellos.
Es ISO 27001 compatible con ISO 9001?
ISO 27001 ha sido redactada de forma anloga a otros estndares,
como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS
18001 (prevencin de riesgos), con el objetivo, entre otros, de facilitar
a las organizaciones la integracin de todos ellos en un solo sistema
de gestin. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO
14001:2004 y sus semejanzas en la documentacin necesaria para
facilitar la integracin.
Es recomendable integrar los diferentes sistemas, en la medida que
sea posible y prctico. En el caso ideal, es posible llegar a un solo
sistema de gestin y control de la actividad de la organizacin, que se
puede auditar en cada momento desde la perspectiva de la seguridad
de la informacin, la calidad, el medio ambiente o cualquier otra.
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de
numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr
trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar
necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos
tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie,
que tendrn un coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-
2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para
aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO
17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles
enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en
Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros pases donde
tambin est publicada en espaol son, por ejemplo, Colombia , Venezuela y Argentina. El original en
ingls y la traduccin al francs pueden adquirirse en ISO.org.
La serie 27000
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios. La norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida
(previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como ISO 17799) y,
desde 2007, en Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al
francs pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en
una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la
serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de
implantacin.
ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008.
Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y
de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
La serie 27000
ISO 27005: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2008. Consistir en
una gua de tcnicas para la gestin del riesgo de la seguridad de la informacin y servir, por tanto,
de apoyo a la ISO27001 y a la implantacin de un SGSI. Recoger partes de ISO/IEC TR 13335.
ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una
versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan
certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de
auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001
y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se
aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s
misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en
ISO.org.
ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en
una gua de auditora de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en
una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).
La serie 27000
ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en
una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en
una gua relativa a la ciberseguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una
norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes,
escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e
implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO
18028.
ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en
una gua de seguridad en aplicaciones.
ISO 27799: En fase de desarrollo; su fecha prevista de publicacin es 2008. Es un estndar de gestin
de seguridad de la informacin en el sector sanitario aplicando ISO 27002 (actual ISO 27002). Esta
norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico
TC 215
Tengo un firewall, actualizo regularmente el antivirus y realizo copias
de backup. Qu aporta un SGSI a mi organizacin?
Estas medidas no son ms que unos pocos controles tcnicos que,
por s mismos, no significan que se est gestionando la seguridad. Un
SGSI implica que la organizacin ha estudiado los riesgos a los que
est sometida toda su informacin, ha evaluado qu nivel de riesgo
asume, ha implantado controles (no slo tecnolgicos, sino tambin
organizativos) para aquellos riesgos que superan dicho nivel, ha
documentado las polticas y procedimientos relacionados y ha entrado
en un proceso continuo de revisin y mejora de todo el sistema.
El SGSI da as la garanta a la organizacin de que los riesgos que
afectan a su informacin son conocidos y gestionados. No se debe
olvidar, por tanto, que no hay seguridad total sino seguridad
gestionada.
Qu tiene que ver ISO 27001 con ISO 27002?
ISO 27002 es un conjunto de buenas prcticas en seguridad de la
informacin. Contiene 133 controles aplicables (en relacin a la gestin de la
continuidad de negocio, la gestin de incidentes de seguridad, control de
accesos o regulacin de las actividades del personal interno o externo, entre
otros muchos), que ayudarn a la organizacin a implantar medidas que
reduzcan sus riesgos en cuanto a seguridad de la informacin. Su origen est
en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue
publicada por primera vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicacin en el SGSI que implante cada organizacin
(justificando, en el documento denominado Declaracin de Aplicabilidad, los
motivos de exclusin de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relacin de controles necesarios para
garantizar la seguridad de la informacin.
Qu aporta la ISO 27001 a la seguridad de la
informacin de una organizacin?
Ayuda a la organizacin a gestionar de una forma eficaz la seguridad
de la informacin, evitando las inversiones innecesarias, ineficientes
o mal dirigidas que se producen por contrarrestar amenazas sin una
evaluacin previa, por desestimar riesgos, por la falta de
contramedidas, por implantar controles desproporcionados y de un
coste ms elevado del necesario, por el retraso en las medidas de
seguridad en relacin a la dinmica de cambio interno de la propia
organizacin y del entorno, por la falta de claridad en la asignacin de
funciones y responsabilidades sobre los activos de informacin, por la
ausencia de procedimientos que garanticen la respuesta puntual y
adecuada ante incidencias o la propia continuidad del negocio, etc.
ISO 27001 tiene que ver slo con la seguridad
informtica de una organizacin?
La presencia masiva de sistemas informticos en el tratamiento de la informacin lleva
a menudo a centrar la atencin slo en la informtica, dejando as expuesta informacin
esencial para las actividades del negocio.
La evaluacin de riesgos previa a la implantacin de controles debe partir de un
anlisis de los impactos que podra suponer para la organizacin la prdida de la
confidencialidad, la integridad o la disponibilidad de cualquier parte de su informacin.
Esto es un estudio en trminos de negocio, independiente del soporte de la informacin.
La aplicacin posterior de controles considera temas como los aspectos organizativos,
la clasificacin de la informacin, la inclusin de la seguridad en las responsabilidades
laborales, la formacin en seguridad de la informacin, la conformidad con los requisitos
legales o la seguridad fsica, adems de controles propiamente tcnicos.
La informacin crtica de una organizacin est presente en los
sistemas informticos, pero tambin en papel, en diferentes tipos de
archivos y soportes, se transmite a terceros, se muestra en diversos
formatos audiovisuales, se comparte en conversaciones telefnicas
y reuniones y est presente en el propio conocimiento y experiencia
de los trabajadores. ISO 27001 propone un marco de gestin de la
seguridad de toda la informacin de la organizacin.
Quin debe promover la implantacin de ISO
27001 en la organizacin?
La Direccin de la organizacin debe liderar el proceso. Teniendo en
cuenta que los riesgos que se intentan minimizar mediante un SGSI
son, en primera instancia, riesgos para el negocio, es la Direccin
quien debe tomar decisiones. Adems, la implantacin de ISO 27001
implicar cambios de mentalidad, de sensibilizacin, de
procedimientos y tareas, etc., y la Direccin es la nica que puede
introducirlos en la organizacin.
Sin el apoyo decidido de la Direccin, segn la propia ISO 27001
indica, no es posible la implantacin ni la certificacin de la norma en
la organizacin.
Cual es la documentacin del SGSI?
La documentacin del SGSI deber incluir:
Poltica y objetivos de seguridad.
Alcance del SGSI.
Procedimientos y controles que apoyan el
SGSI.
Descripcin de la metodologa de
evaluacin del riesgo.
Informe resultante de la evaluacin del
riesgo.
Plan de tratamiento de riesgos.
Procedimientos de planificacin, manejo
y control de los procesos de seguridad de la
informacin y de medicin de la eficacia de
los controles.
Registros.
Declaracin de aplicabilidad (SOA -
Statement of Applicability-).
Procedimiento de gestin de toda la
documentacin del SGSI
Cuales son los puntos de la ISO 27001?
Evidentemente, el paso previo a intentar la certificacin es la
implantacin en la organizacin del sistema de gestin de seguridad de
la informacin segn ISO 27001. Este sistema deber tener un historial
de funcionamiento demostrable de al menos tres meses antes de
solicitar el proceso formal de auditora para su primera certificacin.
ISO 27001 exige que el SGSI contemple los siguientes puntos:
Implicacin de la Direccin.
Alcance del SGSI y poltica de seguridad.
Inventario de todos los activos de informacin.
Metodologa de evaluacin del riesgo.
Identificacin de amenazas, vulnerabilidades e impactos.
Anlisis y evaluacin de riesgos.
Seleccin de controles para el tratamiento de riesgos.
Aprobacin por parte de la direccin del riesgo residual.
Declaracin de aplicabilidad.
Plan de tratamiento de riesgos.
Implementacin de controles, documentacin de polticas, procedimientos e instrucciones de trabajo.
Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo.
Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal.
Monitorizacin constante y registro de todas las incidencias.
Realizacin de auditorias internas.
Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su
alcance.
Mejora continua del SGSI.
Aporta un retorno de inversin la certificacin en
ISO27001 de la organizacin?
Como cualquier otro proyecto de la organizacin,
la certificacin requiere de una inversin de mayor
o menor importancia en funcin de las prcticas
actuales en seguridad. El retorno de la inversin
es realmente efectivo en el tiempo, considerando,
entre otras razones, que con ISO 27001:
Se aprovecha el hecho comprobado de que el coste de la implementacin de controles apropiados
de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseo e
implantacin de las soluciones de negocio.
Las inversiones en tecnologa se ajustan a unas necesidades y prioridades conocidas de un
entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad
inesperada de productos.
Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se
solucionan con medidas de coste razonable y sin causar daos, y los que finalmente se producen
se solucionan y controlan mediante procedimientos establecidos.
Se asegura la continuidad de negocio en el tiempo mnimo requerido ante cualquier incidencia, por
grave que sea.
Se evita la fuga de informacin esencial a competidores y medios pblicos que pueda perjudicar el
crecimiento, prdida de competitividad y reputacin de la organizacin en el mercado en el que
participa.
Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio.
Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto
nivel de concienciacin en la proteccin de la informacin y conformidad y cumplimento de la
legalidad
Qu tipo de organizaciones se estn certificando
en ISO 27001?
El estndar se puede adoptar por la mayora de los sectores
comerciales, industriales y de servicios de pequeas, medianas o
grandes entidades y organizaciones: finanzas, aseguradoras,
telecomunicaciones, servicios pblicos, minoristas, sectores de
manufactura, industrias de servicios diversos, sector del transporte y
administraciones pblicas entre otros.
En la actualidad destaca su presencia en organizaciones dedicadas a
servicios de tecnologas de la informacin, como prueba del
compromiso con la seguridad de los datos de sus clientes.
Cmo se relaciona ISO 27001 con otros
estndares de seguridad de la informacin?
Ciertamente, existen otros estndares relacionados con seguridad de
la informacin (COBIT, COSO, NIST, ITIL, TickIT, ISO 22.000, etc.),
que la enfocan desde diferentes puntos de vista como a controles de
seguridad, buen gobierno, gestin de servicios TI, seguridad de
producto
La organizacin debera considerar cul es la mejor opcin en
relacin a sus necesidades.
Quiero implantar ISO 27001, por dnde
empiezo?
Si est plantendose abordar ISO 27001 en su organizacin, puede empezar por:
Recopilar informacin en pginas Web y asistir a eventos informativos.
Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://www.iso.org),
AENOR (http://www.aenor.es) en Espaa.
Realizar un curso de formacin, de los muchos que hay en el mercado, de introduccin a la norma,
a su implantacin y su auditora.
Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los controles de ISO
17799. Aunque no sea un anlisis exhaustivo, proporciona una idea aproximada de la distancia que le
separa de la conformidad con la norma y el camino que habr que recorrer.
En muchos casos, es necesario contratar los servicios de una organizacin consultora especializada
que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no
deben ser trasladadas a nadie externo a la organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de poltica,
determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc.
Paralelamente, formar y concienciar a todo el personal.
Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al menos durante
tres meses antes de pasar a la auditora de certificacin. Precisamente, son esas evidencias y
registros histricos los que indican al auditor externo que el sistema de gestin funciona de manera
adecuada.
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades
de certificacin acreditadas para pedir formalmente la visita de auditora (sus tarifas y oferta de
servicios pueden diferir). Ofrecen, adicionalmente, un servicio aadido de pre-auditoria muy
recomendable para afrontar con garantas una primera certificacin en la norma.
Existe algn producto que cubra los principales
aspectos de seguridad de la informacin?
No. Por influencia de la publicidad y las campaas de venta agresivas,
es un error comn pensar que el nivel de seguridad depende
exclusivamente del presupuesto dedicado a la compra de productos
relacionados.
La seguridad exige de un plan de gestin del riesgo continuado,
polticas adecuadas a cada organizacin y una seguridad establecida
en base a mltiples y diferentes barreras. Siempre hay que recordar
que la seguridad no es un producto sino un proceso.
En qu ayuda a las organizaciones la auditora
de certificacin?
Supone la oportunidad de recibir la confirmacin por parte de un
experto ajeno a la organizacin de que se est gestionando
correctamente la seguridad de la informacin.
Aade un factor de tensin y de concentracin en un objetivo a todos
los miembros del proyecto y de la organizacin en general, lo que
redunda en beneficio de la implantacin del sistema. Da una seal al
mercado de que la organizacin en cuestin es confiable y es
gestionada transparentemente.
Es el requisito indispensable para acceder a la certificacin y poder
utilizar el sello de certificacin junto al de la propia organizacin.
Obliga mi certificacin a la de mis organizaciones
de servicio externas (outsourcing)?
No necesariamente. ISO27001 indica los controles a considerar para
servicios de outsourcing desde el mbito de su organizacin
(requisitos contractuales, niveles de servicio, obligaciones legales,
auditora, etc.).
La seguridad de los sistemas de informacin que estn fuera del
mbito es responsabilidad de la organizacin externa, que debe
cumplir regularmente con los compromisos contractuales exigidos por
el cliente
Alguien puede obligarme a certificarme en ISO
27001?
Como obligacin legal, a da de hoy, no. Sin embargo, como en toda
relacin comercial, el cliente puede exigir a su proveedor ciertas
condiciones previas para ser considerado siquiera como opcin de
contratacin.
Hay administraciones pblicas que estn empezando a exigir
certificados de este tipo a las organizaciones que quieran acceder a
concursos pblicos de productos o servicios relacionados con
sistemas de informacin. Igualmente, es previsible que organizaciones
privadas comiencen en algn momento a exigrselo a sus proveedores
siempre que vaya a haber algn tipo actividad relacionada con
informacin sensible.
Cmo es el proceso de certificacin?
El proceso de certificacin puede resumirse en las siguientes fases:
Solicitud por parte del interesado a la entidad de certificacin y
toma de datos por parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora.
Compromiso.
Designacin de auditores, determinacin de fechas y
establecimiento conjunto del plan de auditora.
Pre-auditora: opcionalmente, puede realizarse una auditora
previa que aporte informacin sobre la situacin actual y oriente
mejor sobre las posibilidades de superar la auditora real.
Fase 1 de la auditora: revisin del alcance, poltica de seguridad,
Direccin, anlisis de riesgos, declaracin de aplicabilidad y
procedimientos clave.
Fase 2 de la auditora: revisin de las polticas, auditora de la
implantacin de los controles de seguridad y verificacin de la
efectividad del sistema.
Certificacin: acciones correctivas en caso de no conformidades
graves, revisin y emisin de certificado en caso de informe
favorable.
Auditora de seguimiento: auditora semestral o anual de
mantenimiento.
Auditora de re-certificacin: cada tres aos, una auditora de
certificacin formal completa.
Quin acredita a las entidades certificadoras?
Cada pas tiene una entidad de acreditacin (algunos, varias) que se
encarga de supervisar que las entidades de certificacin (las que,
finalmente, auditan y certifican los sistemas de gestin de las
organizaciones) estn capacitadas para desempear su labor y se
ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad
Nacional de Acreditacin; http://www.enac.es) quien tiene esta misin.
Tambin se da el caso de entidades certificadoras que expiden
certificados bajo esquema de acreditacin de una entidad de
acreditacin extranjera. En ISO 27001, se da frecuentemente el caso
con UKAS (entidad nacional de acreditacin del Reino Unido), por el
origen ingls de la norma y su corta vida an como ISO
Activos.
Evaluacin
y gestin del riesgo
Seguridad de la informacin
1) Identificar los activos dentro del alcance del SGSI, as como los
propietarios de estos activos
2) Identificar las amenazas a estos activos
3) Identificar las vulnerabilidades que podran ser explotadas por las
amenazas
4) Identificar los impactos que pueden tener en los activos, las
prdidas de la confidencialidad, integridad y disponibilidad
Pasos para la Evaluacin y gestin del
riesgo
A) Identificar los riesgos
A1) Gestin de activos
Responsabilidad sobre los activos
Uso aceptable de los activos
Propiedad de los activos
Inventario de activos
Todos los activos deberan ser claramente identificados y
debera prepararse y mantenerse un inventario de todos los
activos importantes.
Toda la informacin y los activos asociados con los
recursos para el tratamiento de la informacin deberan
ser propiedad de una parte designada de la organizacin
Las reglas de uso aceptable de la informacin y de los
activos asociados con los recursos para el tratamiento de
la informacin, deberan ser identificadas, documentadas
e implantadas.
Tipos de activos
Activos de informacin: ficheros y bases de datos, contratos y acuerdos,
documentacin del sistema, informacin de investigacin, manuales de los
usuarios, material de formacin, procedimientos operativos o de soporte,
planes de continuidad, configuracin del soporte de recuperacin, pistas de
auditoria e informacin archivada;
Activos de software: aplicaciones de software, software del sistema,
herramientas y utilidades de desarrollo;
Activos fsicos: equipo informtico, equipo de comunicaciones, medios
desmontables (removible) y otro equipo;
Servicios: servicios informticos y de comunicaciones, utilidades generales,
por ejemplo calefaccin, iluminacin, energa y aire acondicionado;
Personas y sus cualificaciones, perfiles y experiencia;
Intangibles, tales como la reputacin e imagen de la organizacin.
Ejemplo
A1) Gestin de activos
1) valorar los impactos en el negocio de la organizacin que
podran provocar los fallos de seguridad, teniendo en cuenta las
consecuencias de una prdida de confidencialidad, integridad o
disponibilidad de los activos.
2) valorar la posibilidad realista de ocurrencia de fallos de
seguridad a luz de las amenazas y las vulnerabilidades, y los
impactos asociados con los activos y los controles actualmente
implantados.
3) estimar los niveles de riesgo
4) determinar si los riesgos son aceptables o requieren de un
tratamiento, a partir del criterio de aceptacin de riesgos
establecido
Evaluacin y gestin del riesgo
B) Analizar y evaluar los riesgos
Las posibles acciones incluyen:
1) la aplicacin de los controles adecuados;
2) el conocimiento y aceptacin objetiva de los riesgos, que
proporciona una clara conformidad con las polticas de la organizacin
y los criterios de aceptacin de los riesgos
3) el evitar los riesgos; y
4) transferir los riesgos asociados al negocio a otras partes, por
ejemplo a aseguradoras, suministradores.
Evaluacin y gestin del riesgo
C) Identificar y evaluar las opciones de tratamiento de los riesgos
Los objetivos de los controles y los controles deben ser seleccionados e
implantados para cumplir con los requisitos identificados por el anlisis de
riesgo y el proceso de tratamiento del riesgo. Esta seleccin debe tener en
cuenta el criterio de aceptacin de riesgos, as como los requisitos
legales, regulatorios y contractuales.
Los objetivos del control y los controles listados en el Anexo A de la norma
ISO 27001 deben ser seleccionados como parte de este proceso y de una
manera adecuada para cubrir los requisitos identificados.
Los objetivos del control y los controles listados en el Anexo A norma ISO
27001 no tienen carcter exhaustivo, y pueden seleccionarse tambin otros
objetivos del control otros controles listados en el Anexo A.
Evaluacin y gestin del riesgo
D) Seleccionar los objetivos de los controles y los controles para
el tratamiento de los riesgos.
Se debe preparar una declaracin de aplicabilidad que incluya lo siguiente:
1) Los objetivos de control y los controles seleccionados y las razones de esta
seleccin;
2) Los objetivos de control y los controles actualmente implantados la
exclusin de cualquier control objetivo del control y de cualquier control en el anexo A y
la justificacin para dicha exclusin.
NOTA: La declaracin de aplicabilidad proporciona un resumen de las decisiones
relativas al tratamiento del riesgo. La justificacin de las exclusiones proporciona una
comprobacin cruzada de que no se han omitido controles de una manera inadvertida.
Evaluacin y gestin del riesgo
E) La obtencin de la aprobacin por parte de la Direccin de
los riesgos residuales propuestos.
F) La obtencin de la autorizacin por parte de la Direccin
para implantar y poner en marcha el SGSI.
G) La preparacin de una declaracin de aplicabilidad.
Ejemplo
La norma ISO 17799:2005
Seguridad de la informacin
Estructura de la norma ISO 17799:2005
La norma contiene 11 captulos de controles de seguridad que contienen un total
de 39 categoras principales de seguridad y un captulo introductorio sobre
valoracin y tratamiento del riesgo.
Cada categora principal de seguridad contiene:
a) un objetivo del control objetivo que establece que
es lo que se quiere conseguir; y
b) uno o ms controles que pueden ser aplicados
para conseguir el objetivo del control.
En total 133 controles a aplicar
Estructura de la norma ISO 17799:2005
Cada captulo contiene un nmero de Categoras principales de seguridad.
Los once captulos (acompaados del nmero de Categoras principales de seguridad incluidos dentro
de cada captulo) son los siguientes:
a) Poltica de seguridad (1);
b) Organizacin de la seguridad de la informacin (2);
c) Gestin de activos (2);
d) Seguridad ligada a los Recursos Humanos (3);
e) Seguridad fsica y del entorno (2);
f) Gestin de comunicaciones y operaciones (10);
g) Control de acceso (7);
h) Adquisicin de sistemas de informacin. Desarrollo y
mantenimiento (6);
i) Gestin de incidentes de seguridad de la informacin
(2);
j) Gestin de la continuidad del negocio (1);
k) Conformidad (3).
NOTA: El orden de los captulos de
la norma no implica orden de
importancia. En funcin de las
circunstancias, todos los captulos
pueden ser importantes, por lo tanto
cada organizacin que aplique esta
norma debera identificar que
captulos le son aplicables, como
son de importantes y su aplicacin a
cada proceso de negocio. Adems,
el orden de la lista de controles de
esta norma no implica orden de
prioridad salvo cuando as se indica.
Poltica de seguridad
Objetivo: Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo a los requisitos
del negocio y a la legislacin y regulacin aplicables
Definicin: Manual que aporta una serie de recomendaciones y lneas de actuacin para distinguir
entre el uso correcto de los sistemas de informacin y el indebido.
Proceso de autorizacin de recursos para el tratamiento de la
informacin (6.1.4)
Uso aceptable de los activos (7.1.3)
Extraccin de pertenencias (9.2.7)
Derechos de propiedad intelectual (IPR) (15.1.2)
Controles contra el cdigo malicioso (10.4)
Correo electrnico y Envo de mensajes (10.8.4)
Sistemas de informacin del negocio (10.8.5)
Poltica de puesto de trabajo despejado y pantalla limpia (11.3.3)
Poltica de uso de los servicios de red (11.4.1)
Sistema de gestin de contraseas (11.5.3)
Ordenadores y comunicaciones mviles (11.7.1)
Teletrabajo (11.7.2)
Proceso disciplinario (8.2.3)
Seguridad de los equipos fuera de los locales de la organizacin (9.2.5)
Ejemplos del contenido
Poltica de Seguridad de la Informacin
Documento de Poltica de Seguridad de la Informacin
Un documento de poltica de seguridad de la informacin debera ser aprobado por la Direccin y
debera ser publicado y comunicado a todos los empleados y terceras partes.
Revisin de la poltica de seguridad e la informacin
La poltica de seguridad de la informacin se debera
revisar a intervalos planificados o en el caso de que se
produzcan cambios significativos para asegurar la
idoneidad, adecuacin y la eficacia de la continuidad
Cmo?
Polticas de
Seguridad de la
informacin
Ejemplo
6 Organizacin de la seguridad de la
informacin
Organizacin interna
Comisin de gestin de la seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades sobre Seguridad de la Informacin
Proceso de autorizacin de recursos para el tratamiento de la informacin
Acuerdos de confidencialidad
Contactos con grupos de inters especial
Revisin independiente de la seguridad de la informacin
Partes externas
Identificacin de riesgos relativos a partes externas
Direccionamiento de la seguridad en el trato con los clientes
Direccionamiento de la seguridad en contratos con terceros
Coordinacin de la seguridad de la informacin
Las actividades relativas a la seguridad de la informacin deberan
ser coordinadas por representantes de las diferentes partes de la
organizacin con los correspondientes roles y funciones de trabajo
Directivos
Usuarios
Administrativos
Diseadores de aplicaciones
Consultores
Auditores
Personal de seguridad
Seguros
Asuntos legales
Recursos humanos
TI
Gestin del riesgo
Etc.
Cooperacin y colaboracin de:
Nombramiento de un director de seguridad de la
informacin que coordine stas actividades
Cmo?
Asignacin de responsabilidades sobre
Seguridad de la Informacin
Deberan definirse claramente todas las responsabilidades de
seguridad de la informacin.
Organigrama
Manual de funciones o
Perfil de los puestos de trabajo
Proceso de autorizacin de recursos para el
tratamiento de la informacin
Debera definirse e implantarse un proceso de autorizacin para
la gestin de cada nuevo recurso de tratamiento de la
informacin.
Procedimiento
Tabla Recursos/Autorizaciones
Ejemplo Cmo?
Cmo?
Acuerdos de confidencialidad
Deberan identificarse y revisarse de una manera regular los
requisitos de los acuerdos de confidencialidad o no revelacin que
reflejen las necesidades de la organizacin para la proteccin de la
informacin
Acuerdos de confidencialidad Cmo?
Contacto con las autoridades
Deberan mantenerse contactos adecuados con las autoridades
que corresponda
Tabla de autoridades, telfonos y
persona de contacto
Ejemplo
Banco de Espaa
Bomberos
Proveedores
Etc.
Cmo?
Contacto con grupos de inters especial
Se deberan mantener contactos apropiados con grupos de inters
especial u otros foros especialistas en seguridad y asociaciones
profesionales.
Tabla de identificacin de grupos
especiales
Cmo?
Revisin independiente de la seguridad de la
informacin
La gestin de la seguridad de la informacin (por ejemplo objetivos del
control, controles, polticas, procedimientos para seguridad de la
informacin) debera revisarse de una manera independiente a
intervalos planificados
Auditora interna
Revisin por la direccin
Banco de Espaa
Revistas sectoriales
Foros de seguridad
Etc
Cmo?
Identificacin de riesgos relativos a partes
externas
Deberan identificarse los riesgos de la informacin de la
organizacin y de los dispositivos de tratamiento de la informacin as
como la implantacin de los controles adecuados antes de garantizar
el acceso
Procedimiento
Tabla/registro de identificacin,
evaluacin y control de partes externas
Cmo?
Direccionamiento de la seguridad en el trato con los
clientes
Todos los requisitos de seguridad que se hayan identificado deberan
ser dirigidos antes de dar acceso a los clientes a los activos o a la
informacin de la seguridad
Utilizacin de los sistemas
anteriormente descritos
Cmo?
Ejemplo
Gestin de activos
Clasificacin de la informacin
La informacin debera ser clasificada para indicar la
necesidad, las prioridades y el grado esperado de proteccin
cuando se maneja la informacin.
La informacin tiene varios grados de sensibilidad y criticidad.
Algunos puntos pueden requerir un nivel de proteccin adicional
o un manejo especial.
Se debera utilizar un esquema de clasificacin de la
informacin para definir un conjunto adecuado de niveles de
proteccin y comunicar la necesidad de medidas especiales de
tratamiento
Marcado y tratamiento de la informacin
Debera desarrollarse un conjunto adecuado de
procedimientos para marcar y tratar la informacin de
acuerdo con el esquema de clasificacin adoptado por la
organizacin.
Seguridad ligada a los Recursos Humanos
Funciones y responsabilidades
Investigacin de antecedentes
Trminos y condiciones de contratacin
Previo a la contratacin
Durante la contratacin
Finalizacin o cambio de puesto de trabajo
Finalizacin de responsabilidades
Retorno de activos
Retirada de los derechos de acceso
Gestin de responsabilidades
Concienciacin, educacin y formacin en
seguridad de la informacin
Proceso disciplinario
Las funciones y responsabilidades de seguridad para los empleados,
contratista y usuarios de tercera parte deberan ser definidas y
documentadas de acuerdo con la poltica de seguridad de la
informacin de la organizacin.
Referencias
CurriculumVitae
Confirmacin de las certificaciones acadmicas
Comprobaciones crediticias y de antecedentes
Cmo?
Funciones y responsabilidades
Investigacin de antecedentes
La comprobacin de los antecedentes de todos los candidatos al
puesto de trabajo, los contratistas o los usuarios de tercera parte
deberan ser llevadas a cabo de acuerdo con la legislacin
aplicable, las reglamentaciones y ticas y de una manera
proporcional a los requisitos de negocio, la clasificacin de la
informacin a la que se accede y los riesgos considerados.
Cmo?
Manual de funciones o
Perfil de los puestos de trabajo
Seguridad fsica y del entorno
reas seguras
Permetro de seguridad fsica
Controles fsicos de entrada
Seguridad de oficinas, despachos y recursos
Deberan utilizarse permetros de seguridad (barreras tales
como muros, puertas de entrada con control a travs de
tarjeta, o mesas de recepcin tripuladas) para proteger las
reas que contienen la informacin y los recursos de
tratamiento de la informacin.
Las reas seguras deberan estar protegidas por controles de
entrada adecuados para asegurar que nicamente se permite
el acceso al personal autorizado.
Se debera disear y aplicar la seguridad fsica para las
oficinas, despachos y recursos.
Seguridad fsica y del entorno
Proteccin contra las amenazas externas y del entorno
Trabajo en reas seguras
reas de acceso pblico, de carga y descarga
Se deberan disear y aplicar una proteccin fsica
contra el dao por fuego, inundacin, terremoto,
explosin, malestar social y otras formas de
desastres naturales o provocados por el hombre..
Se debera disear e implantar la proteccin fsica y las
directrices para trabajar en las reas seguras.
Deberan controlarse los puntos de acceso tales como las
reas de carga y descarga y otros puntos donde pueda
acceder personal no autorizado, y si es posible, dichos puntos
deberan estar aislados de los recursos de tratamiento de la
informacin para evitar accesos no autorizados.
Seguridad fsica y del entorno
Seguridad de los equipos
Los equipos deberan estar situados o protegidos para reducir
los riesgos de las amenazas y los riesgos del entorno as
como de las oportunidades de accesos no autorizados.
Seguridad del cableado
Instalacin y proteccin de equipos
Instalaciones de suministro
Los equipos deberan estar protegidos de los fallos de
energa y de otras interrupciones causadas por fallos en las
instalaciones de suministro.
El cableado elctrico y de telecomunicaciones que
transmite datos o los servicios de soporte de la informacin
debera estar protegido de interceptacin o dao.
Seguridad fsica y del entorno
Seguridad en la reutilizacin o eliminacin de equipos
Mantenimiento de los equipos
Los equipos deberan ser mantenidos de una manera correcta
para asegurar su contina disponibilidad y su integridad
Seguridad de los equipos fuera de los locales de la organizacin
Se deberan aplicar medidas de seguridad a los equipos fuera
de los locales de la organizacin, tenindose en cuenta los
diferentes riesgos de trabajar fuera de los locales de la
organizacin.
Todos los elementos del equipo que contengan medios de
almacenamiento deberan ser comprobados para asegurar
que todo dato sensible y software bajo licencia se ha borrado
o sobrescrito, previamente a su eliminacin.
Extraccin de pertenencias
Los equipos, la informacin o el software no deberan
sacarse fuera de las instalaciones sin previa autorizacin.
Gestin de incidentes en la seguridad de la
informacin
Notificacin de eventos y puntos dbiles de la seguridad de
la informacin
Los eventos de seguridad de la informacin deberan
comunicarse mediante canales adecuados de gestin lo antes
posible.
Comunicacin de los eventos de seguridad de la informacin
Comunicacin de puntos dbiles de seguridad
Todos los trabajadores, contratistas y usuarios de terceros de
los sistemas y servicios de informacin deberan estar
obligados a anotar y comunicar cualquier punto dbil que
hayan observado o que sospechen que exista en los sistemas
o servicios.
Cumplimiento
Cumplimiento de los requisitos legales
Objetivo: Evitar quebrantamientos de las leyes o incumplimientos de cualquier
obligacin legal, reglamentaria o contractual o de cualquier requisito de
seguridad.
Identificacin de la legislacin aplicable
Todos los requisitos pertinentes, tanto legales como reglamentarios o
contractuales, y el enfoque de la organizacin para cumplirlos deberan definirse
explcitamente, documentarse y mantenerse actualizados para cada sistema de
informacin y la organizacin.
Derechos de propiedad intelectual (IPR)
Deberan implementarse procedimientos adecuados para garantizar el
cumplimiento de los requisitos legales, reglamentarios y contractuales acerca del
uso de materiales con respecto a los cuales puedan existir derechos de
propiedad intelectual y acerca del uso de productos de software exclusivo.
Cumplimiento
Proteccin de los registros de la organizacin
Los registros importantes deberan estar protegidos contra la prdida, destruccin
y falsificacin de acuerdo con los requisitos legales, reglamentarios, contractuales
y empresariales.
Proteccin de datos y privacidad de la informacin personal
Debera garantizarse la proteccin de datos y la privacidad segn se requiera en
la legislacin, las normativas y, si fuera aplicable, las clusulas contractuales
pertinentes.
X- Continuidad
del Negocio
Seguridad de la informacin RSI
Gestin de la continuidad del negocio
Aspectos de seguridad de la informacin en la gestin de la continuidad
del negocio
Objetivo: Reaccionar a la interrupcin de las actividades empresariales y proteger los
procesos crticos de negocio de los efectos de desastres o de fallos importantes de los
sistemas de informacin, as como garantizar su oportuna reanudacin.
Debera implementarse un proceso de gestin de la continuidad del negocio para minimizar
los efectos sobre la organizacin y poder recuperarse de prdidas de activos de informacin
(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos y
acciones intencionadas) hasta un nivel aceptable mediante una combinacin de controles
preventivos y de recuperacin. Este proceso debera identificar los procesos crticos de
negocio e integrar los requisitos de gestin de seguridad de la informacin para la
continuidad del negocio con otros requisitos de continuidad relacionados con aspectos tales
como las actividades, el personal, los materiales, el transporte y las instalaciones.
Gestin de la continuidad del negocio
Inclusin de la seguridad de la informacin en el proceso de gestin de
la continuidad del negocio
Debera desarrollarse y mantenerse un proceso controlado para la continuidad del negocio
en toda la organizacin que trate los requisitos de seguridad de la informacin necesarios
para la continuidad del negocio de la organizacin.
Continuidad del negocio y evaluacin de riesgos
Deberan identificarse los eventos que provocan interrupciones en los procesos de negocio,
as como la probabilidad y los efectos de dichas interrupciones y sus consecuencias con
respecto a la seguridad de la informacin.
Desarrollo e implementacin de planes de continuidad que incluyan
seguridad de la informacin
Deberan desarrollarse e implementarse planes para mantener o restaurar las actividades y
garantizar la disponibilidad de la informacin en el nivel y la escala temporal requeridos
despus de una interrupcin o un fallo de los procesos crticos de negocio.
Gestin de la continuidad del negocio
Marco de referencia para la planificacin de la continuidad del negocio
Se debera mantener un nico marco de referencia para los planes de
continuidad del negocio para asegurar que todos los planes son consistentes,
para dirigir de una manera coherente los requisitos de seguridad de la
informacin, y para identificar prioridades para las pruebas y el mantenimiento.
Pruebas, mantenimiento y reevaluacin de los planes de continuidad del
negocio
Los planes de continuidad del negocio deberan probarse y actualizarse
peridicamente para garantizar que estn al da y que son efectivos.
GESTIN DE LA CONTINUIDAD DE NEGOCIO
Comit de Seguridad
Es
significativo?
No S
S
No
Implantar procedimientos
de continuidad
8
Implantar procedimientos
de continuidad
8
Formar al personal en
caso necesario
10
Formar al personal en
caso necesario
10
Identificar y
priorizar procesos
cr ticos
1
Identificar y
priorizar procesos
cr ticos
11
Incidente que ha
provocado
interrupci n
13
Incidente que ha
provocado
interrupci n
13 13
Todo el personal
Elaborar Plan de
continuidad
6
Elaborar Plan de
continuidad
6
Identificar los activos que
intervienen en los
procesos 2
Identificar los activos que
intervienen en los
procesos 2
Identificar eventos que
puedan provocar
interrupciones 3
Identificar eventos que
puedan provocar
interrupciones 3
Evaluar probabilidad e
impacto
4
Evaluar probabilidad e
impacto
4
Existe plan
de
contingencia?
Implantar controles
preventivos
7
Implantar controles
preventivos
7
Aprobar Plan de
continuidad
9
Aprobar Plan de
continuidad
9
Distribuir Plan de
Continuidad
11
Distribuir Plan de
Continuidad
11
Mantener bajo control
5
Mantener bajo control
55
Propietario del Plan de Continuidad
Solucionar incidente
14
Solucionar incidente
14
Actuar segn plan
continuidad
15
Actuar segn plan
continuidad
15
mantenimiento y
12
Realizar pruebas,
mantenimiento y
reevaluacin de los planes
12 12
UN CASO REAL
INCENDIO DEL
EDIFICIO WINDSOR
La Gaceta de
los Negocios
Y SI MAANA NOS
PASARA A NOSOTROS?
Objetivo:
Reaccionar a las posibles interrupciones de las actividades empresariales y proteger los
procesos crticos de negocio de los efectos de desastres o de fallos importantes de los
sistemas de informacin, as como garantizar su oportuna reanudacin.
CONTINUIDAD DEL NEGOCIO
+ =
+ =
P
L
A
N
+
Qu hacer:
Implementar un proceso de gestin de la continuidad del negocio para minimizar los
efectos sobre la organizacin y poder recuperarse de prdidas de activos de informacin
(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos y
acciones intencionadas) hasta un nivel aceptable mediante una combinacin de controles
preventivos y de recuperacin.
QU CONTIENE
PLAN
Identificados los procesos crticos de negocio
Identificados los activos que participan en
estos procesos
Evaluados los riesgos en base a las posibles
amenazas
Definidos controles preventivos
Definido Plan de actuacin en caso de
ocurrencia
TRMINOS
PROCESO CRTICO
Proceso que forma parte de la cadena de valor de la Organizacin
y cuya realizacin es base del xito y supervivencia de la misma.
Proceso que dando soporte a uno varios procesos crticos, la
interrupcin de su ejecucin provoque la interrupcin de uno o varios
de ellos
ACTIVO
Recurso del sistema de informacin o relacionado con ste,
necesario para que la organizacin funcione correctamente y alcance
los objetivos propuestos por su direccin
PLAN
Objetivo:
El objetivo de nuestra metodologa, no es realizar un Plan de Contingencias que contemple
todos los posibles eventos que puedan interrumpir la actividad de la empresa, sino
centrarnos en las actividades y recursos ms crticos de cara a optimizar los recursos
destinados a la elaboracin y mantenimiento del Plan de Continuidad del Negocio
METODOLOGA
Metodologa:
4 etapas en la realizacin de un Plan de Continuidad del Negocio
Identificar y valorar
los procesos
crticos de negocio
Identificar y valorar
los activos
relacionados con
los procesos crticos
Identificar y valorar
los eventos
sobre los activos
ms crticos
Elaborar planes de
contingencia para
los eventos ms
significativos
PASO 1:
Identificar y valorar los procesos crticos de negocio
Conocer la estructura de la empresa Conocer sus procesos de negocio, su
Mapa de Procesos
Seleccionar aquellos procesos cuya realizacin compone la cadena de valor de la
empresa, o aquellos que les dan soporte de forma muy directa y cuya interrupcin
supone la interrupcin inmediata de los primeros
Valorar estos procesos segn tres aspectos: impacto en cliente, coste asociado a
su inactividad y probabilidad de ocurrencia de eventos que provoquen su
interrupcin
METODOLOGA
EJEMPLO
Ejemplo:
Identificacin y valoracin de procesos crticos
4 5 1 20 7,69% 6
5 5 1 25 9,62% 5
2 5 3 30 11,54% 3
3 5 2 30 11,54% 3
2 5 2 20 7,69% 6
4 5 3 60 23,08% 2
5 5 3 75 28,85% 1
P
e
s
o
O
r
d
e
n

I
m
p
o
r
t
a
n
c
i
a
1. MINIMO/A
2. LEVE
3. MODERADO/A
4. ALTO/A
5. CRITICO/A
I
m
p
a
c
t
o

e
n

e
l

c
l
i
e
n
t
e
C
o
s
t
e

a
s
o
c
i
a
d
o

a

i
n
a
c
t
i
v
i
d
a
d
P
r
o
b
a
b
i
l
i
d
a
d

d
e

o
c
u
r
r
e
n
c
i
a

d
e

e
v
e
n
t
o
s
T
o
t
a
l
Custodia
Facturacin
Control sobre prestamos
Proceso crtico
Recogida de archivos
Devolucin de archivos
Inventario de Archivos
Destruccin de archivos
PASO 2:
Identificar y valorar los activos relacionados con los procesos crticos
Conocer los procesos crticos y los activos que intervienen en los mismos
Valorar el grado de relacin de cada uno de los activos especificados con cada
uno de los procesos crticos de la empresa
Identificar la importancia que tiene cada uno de los activos en base a la relacin
del mismo con los procesos crticos y a la valoracin obtenida para estos ltimos
METODOLOGA
EJEMPLO

Factor
Proceso crtico
1 1 1 1 1 3 1 1 9 1 1 9 1 4 5 1 20 7,69% 6
1 1 1 1 1 3 1 1 9 1 1 9 1 5 5 1 25 9,62% 5
9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 3 30 11,54% 3
1 1 1 1 1 1 1 1 9 1 1 9 1 3 5 2 30 11,54% 3
9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 2 20 7,69% 6
9 9 1 1 9 3 1 1 9 9 1 1 1 4 5 3 60 23,08% 2
9 1 1 1 1 1 1 1 9 1 1 1 1 5 5 3 75 28,85% 1
O
r
d
e
n

I
m
p
o
r
t
a
n
c
i
a
I
m
p
a
c
t
o

e
n

e
l

c
l
i
e
n
t
e
C
o
s
t
e

a
s
o
c
i
a
d
o

a

i
n
a
c
t
i
v
i
d
a
d
P
r
o
b
a
b
i
l
i
d
a
d

d
e

o
c
u
r
r
e
n
c
i
a

d
e

e
v
e
n
t
o
s
T
o
t
a
l
S
e
r
v
i
d
o
r
Recogida de archivos
Devolucin de archivos
P
e
s
o
M
e
d
i
o
s

e
x
t
r
a

b
l
e
s

(
H
D

p
o
r
t

t
i
l
e
s
,

P
e
n
s
,

e
t
c
.
)
S
i
s
t
e
m
a
s

d
e

a
l
i
m
e
n
t
a
c
i

n

i
n
i
n
t
e
r
r
u
m
p
i
d
a
Control sobre prestamos
E
q
u
i
p
o

P
u
e
s
t
o

d
e

t
r
a
b
a
j
o
T
e
l

f
o
n
o
s

m

v
i
l
e
s
E
n
r
u
t
a
d
o
r
e
s
Inventario de Archivos
Destruccin de archivos
Custodia
Facturacin
1
1. MINIMO/A
2. LEVE
3. MODERADO/A
4. ALTO/A
5. CRITICO/A
M
o
b
i
l
i
a
r
i
o
0 Sin relacin
1 Relacin dbil
3 Relacin media
9 Relacin fuerte
I
n
s
t
a
l
a
c
i
o
n
e
s
O
f
i
c
i
n
a
s
I
m
p
r
e
s
o
r
a
s
E
s
c
a
n
e
r
F
u
r
g
o
n
e
t
a
s
P
e
r
s
o
n
a
l

A
r
c
h
i
v
o

(
8
)
E
q
u
i
p
o
s

d
e

f
a
x
1 2,5385 4,3846 1,8077 VALORACIN PONDERADA
ORDEN DE CRITICIDAD DEL ACTIVO
6,6923 4,3846 2,54 9 2,85 1 3,31 1
10 5 10 6 1 7 10 2 3 10 7 3 9
Ejemplo:
Identificacin y valoracin de procesos crticos y activos relacionados
PASO 3:
Identificar y valorar los eventos sobre los activos ms crticos
Partiendo de los activos ms crticos, identificar posibles eventos que puedan
producir una afeccin grave sobre los mismos causando la interrupcin de los
procesos en los que toman parte
Valorar estos eventos en base a su probabilidad de ocurrencia, su impacto
econmico y su grado de recuperacin
Priorizar as los eventos sobre los que deberamos realizar un Plan de
Contingencias
METODOLOGA
EJEMPLO
1

v
e
z

a
l

a

o
1

v
e
z

e
l

m
e
s
1

v
e
z

a

l
a

s
e
m
a
n
a
M
e
n
o
s

d
e

6
0
0

D
e

6
0
0

a

6
0
0
0

M
a
s

d
e

6
0
0
0

B
a
j
a
M
e
d
i
a
G
r
a
v
e
Eventos 1 2 3 1 2 3 1 2 3
1- Incendio en Instalaciones 1 3 3 9 3
2- Borrado de BBDD 2 2 1 4 6
3- Cada Servidor 1 1 1 1 10
5- Corte suministro de luz 1 1 3 3 9
6- Corte de comunicaciones 1 2 2 4 6
7- Robo o extravo archivo personal 2 3 3 18 2
8- Accidente transporte 2 2 2 8 5
9- Avera transporte 2 1 2 4 6
10- Inundacin Instalaciones 1 3 3 9 3
11- Falta de espacio 3 3 3 27 1
Total N
Probabilidad Impacto econmico Periodo de recuperacin
Ejemplo:
Identificacin y valoracin de eventos sobre los activos crticos
PASO 4:
Elaborar Planes de Contingencia para los eventos ms significativos
Partiendo de los eventos ms significativos identificados en la etapa anterior, se
documenta para cada uno los siguientes aspectos:
Descripcin del evento
Propietario de la gestin y ejecucin del Plan
Condiciones para su activacin
Controles preventivos
Plan de contingencias
Elementos o aspectos a comprobar
METODOLOGA
EJEMPLO
Ejemplo:
Ficha de Plan de Contingencia de un evento
Campo Explicacin
1 Evento Nombre del evento o suceso
2
Propietario de gestin
del plan
Responsable de la documentacin, implantacin, revisin y mejora
del mismo
3
Condiciones para su
activacin
Criterios que determinarn cuando es apropiado poner en
funcionamiento el plan o procedimiento de recuperacin
4 Controles Preventivos
Controles tcnicos u organizativos o medios humanos que se van a
destinar para prevenir que suceda el evento o, en caso de que
ocurra, para detectar su ocurrencia y paliar los resultados del mismo
5 Plan de contingencias
Procedimientos que permitan la recuperacin y restauracin de las
actividades empresariales, as como la disponibilidad de la
informacin en las escalas temporales requeridas
6 Qu comprobar Elementos de deteccin, proteccin y/o actuacin

Gracias por vuestra atencin
J OS MARA GILGADO TANCO
jmgilgado@deployment.org
Para ms informacin:
FIN
Telfonos
971 910 940
616 63 03 89
Para poder mejorar:
Rellenar los
cuestionarios