ASI2 - ISO 27002: Dominio 14 Gestión de la Continuidad del Negocio

Debido a la incertidumbre si habrán clases hoy, El tema seria Gestión de la Continuidad de Negocio

Continuando con los Dominios de la ISO 27002 (Numeral 14) o Anexo A de la ISO 27001 (Anexo A14), hoy vamos a revisar la Gestión de la Continuidad del Negocio. Que dicen la ISO 27001 e ISO 27002? Bien, incluye un objetivo de control:

14.1 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Objetivo: Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna.

Se debería implementar un proceso de gestión de la continuidad del negocio para minimizar el impacto y la recuperación por perdida de activos de información en la organización (la cual puede ser el resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable mediante la combinación de controles preventivos y de recuperación. En este proceso es conveniente identificar los procesos críticos para el negocio e integrar los requisitos de la gestión de la seguridad de la información de la continuidad del negocio con otros requisitos de continuidad relacionados con aspectos tales como operaciones, personal, materiales, transporte e instalaciones.

Las consecuencias de desastres, fallas de seguridad, perdida del servicio y disponibilidad del servicio se deberían someter a un análisis del impacto en el negocio. Se deberían desarrollar e implementar planes de continuidad del negocio para garantizarla restauración oportuna de las operaciones esenciales.

La seguridad de la información debería ser una parte integral de todo el proceso de continuidad del negocio y de otros procesos de gestión en la organización. 

La gestión de la continuidad del negocio deberla incluir controles para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de los incidentes dañinos y garantizar la disponibilidad de la información requerida para los procesos del negocio.

Como se puede interpretar, la Norma busca que la información de la Organización SIEMPRE este disponible, y cuando no pueda estarlo, su tiempo de no disponibilidad sea lo mas reducido posible para no afectar las operaciones, al cliente, etc. Profundicemos en los requisitos:

Para llevar a cabo la gestión de continuidad del negocio en la Organización se debe definir e implementar un proceso para reducir la interrupción causada por desastres naturales, accidentes y fallos de seguridad por medio de la combinación de controles preventivos y de recuperación. 

Para el aseguramiento de la restauración de los servicios y sistemas de procesos manejados en la Organización en plazos requeridos para el aseguramiento de la continuidad del negocio, se deben desarrollar e implementar planes de contingencia, los cuales deben ser probados para que se integren con todos los demás procesos de gestión. 

Las consecuencias causadas por desastres naturales, fallos de seguridad y pérdidas de servicio deben ser analizadas. Se deben definir e implementar normas y controles para la identificación y reducción de riesgos, limitar las consecuencias de incidentes dañinas y asegurar la reanudación, a tiempo, de las operaciones esenciales.

Pero que debería incluir el Plan de Continuidad de Negocio?

Se debe seguir una estrategia de recuperación alineada con los objetivos de negocio, formalmente documentada y con procedimientos perfectamente probados para asegurar la restauración de los procesos críticos del negocio, ante el evento de una contingencia. 

Esta estrategia debe mantener una estructura unificada para asegurar la consistencia de todos los planes y considerar los requisitos de seguridad de la información de forma consistente. Cada Responsable de los procesos de la Organización con el acompañamiento del área del Sistemas debe diseñar, implementar, probar y mantener su Plan de Continuidad. El plan de continuidad debe considerar los siguientes aspectos: 

1.            Procedimientos de contingencia. Los cuales describen las acciones a tomar cuando ocurre un incidente que interrumpe las operaciones del negocio, proporcionando mecanismos alternos y temporales para continuar con el procesamiento.

2.            Procedimientos de recuperación. Los cuales describen las acciones a seguir para trasladar las actividades del negocio a un centro alterno de recuperación.

3.            Procedimientos de retorno. Los cuales describen las acciones a seguir para regresar las operaciones normales a las instalaciones originales.

4.            Programación de pruebas. Las cuales describen la periodicidad en que el plan de continuidad debe ser probado.

5.            Actualización periódica. El plan debe actualizarse cuando cambios realizados en el ambiente operativo impacten su funcionalidad. Un análisis de impacto al negocio debe ser realizado como mínimo una vez al año, con el objeto de determinar la necesidad de la disponibilidad de la información en el grado y escala de tiempo requeridos después de una interrupción de las funciones críticas de la Organización.

6.            Consideraciones de seguridad. Es importante que el plan sea diseñado para mantener los controles de seguridad establecidos por la Organización, aún cuando se opere en modalidad de contingencia. Es responsabilidad de la Coordinación de Seguridad de la Información asegurar que estas consideraciones sean efectivamente contempladas enel plan.

7.            El Plan de Continuidad debe estar alineado con los riesgos identificados que puedan causar interrupción al servicio. Para este caso, se debe tener en cuenta las posibles consecuencias para la seguridad de la información.

Cuando se realicen pruebas, simulacros o se tengan contingencias reales, los resultados y sugerencias deben ser entregadas a los responsables de la información quienes deben actualizar sus planes y mantenerlos al día conforme los riesgos de disponibilidad lo dictaminen. Al menos cada seis meses, se deben realizar ejercicios regulares y diagramados de recuperación del sistema para probar la efectividad del plan de continuidad del negocio.

El objetivo de realizar pruebas de los planes de continuidad, es probar que el plan se encuentre debidamente actualizado, que los procedimientos funcionan adecuadamente y que se obtiene la recuperación requerida en el tiempo programado.

Como se puede observar, idealmente un Plan de Continuidad de Negocios contiene procedimientos de contingencia, de recuperación, de retorno, de pruebas, debe ser actualizado con una periodicidad preestablecido cuando la situación lo amerite, y muy importante, estar alineado con los riesgos que se haya identificado cuya materialización u ocurrencia desemboque en interrupciones de servicio.

Objetivo: Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna.
14.1.1	Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio	Control Se debería desarrollar y mantener un proceso de gestión de la continuidad del negocio en toda la organización, que aborde los requisitos de seguridad de la información necesarios para  la continuidad del negocio de la organización.
14.1.2	Continuidad del negocio y evaluación de riesgos	Control Se debería identificar los eventos que pueden ocasionar interrupciones en los procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información.
14.1.3	Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información	Control Se deberían desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el grado y la escala de tiempo requerido, después de la interrupción o la falla de los procesos críticos para el negocio.
14.1.4	Estructura para la planificación de la continuidad del negocio	Control Se debería mantener una sola estructura de los planes de continuidad del negocio, para asegurar que todos los planes son coherentes, y tratar de forma coherente los requisitos de la seguridad de la información, así como identificar las prioridades para pruebas y mantenimiento.
14.1.5	Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio	Control Los planes de continuidad del negocio deberían ser sometidos a pruebas y actualizarse regularmente para asegurar su actualización y su eficacia.