Gestion de continuidad de las Tecnologias de informacion y comunicaciones utilizando el estándar ISO 27031 (antes BS 25777) presentada por Mario Ureña Cuate en el Congreso Internacional de Infraestructura TIC 2011.
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
1. Congreso Internacional de
Infraestructura TIC
12 de Mayo 2011
Gestión de continuidad de las TIC con el
estándar ISO27031 (antes BS25777)
Por Mario Ureña Cuate, BSI
CISSP, CISA, CISM, CGEIT
BS25999LA, ISO27001LA
4. ¿Quiénes somos?…
BSI tiene más de 100 años de experiencia liderando el
camino del desarrollo de normas para una gran variedad
de operaciones de negocio, lo que nos convierte en un
organismo líder proveedor de soluciones en capacitación,
certificación y software para la normatividad.
Nuestro objetivo…
Nuestro objetivo es crear soluciones integrales y
programas de capacitación que mejoren el desempeño
de su compañía y le permitan administrar
eficientemente sus riesgos.
5. Lo que hacemos ...
• Establecer estándares
• Proveer toda la información y entrenamiento sobre
estandarización
• Apoyar a las organización mejorando la manera en
que operan con buenos procesos de gestión y
soluciones empresariales
• Probar y verificar independientemente productos y
servicios para asegurar que están al nivel requerido,
en términos de la especificación de desempeño y
seguridad
6. Estándares renombrados
originados por BSI
Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
7. Soluciones y Servicios de Sistemas de Gestión
Riesgo
Reducir interrupciones a través de una efectiva gestión de
riesgo
Sustentabilidad
Crear valor a través de prácticas sustentables
Desempeño
Crear ventaja competitiva a través de la mejora en el
desempeño
8. Introducción
San Juan Ixhuatepec. 1984
México, D.F. 19 de Septiembre de 1985
Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008
Fuente: SecureInformationTechnologies
New York, USA. 11 de Septiembre de 2001
Inundación en Veracruz. 1999
9. Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
10. Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
11. Introducción
Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
12. Seguridad de la Información - Amenazas
Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011
13. 14
Continuidad del Negocio
BS 25999-2
SGCN
BS 25999-1 BS 25777
Código de Código de
Práctica Práctica TIC
Continuidad
del Negocio
14. 15
Continuidad del Negocio
ISO 22301
SGPC
BS 25999-1 ISO 27031
Código de Código de
Práctica Práctica TIC
Continuidad
del Negocio
15. 16
BS 25777 / ISO 27031
2011 / 2012
2011
2008 ISO 22301*
ISO 27031
2007 BS 25777
BS 25999-2
2006
BS 25999-1
*Por publicarse. A la fecha de ésta presentación se encuentra en la etapa 40.60 (DIS)
16. 17
ISO 27031
• Guías para la preparación de
las tecnologías de
información y
comunicaciones para la
continuidad del negocio.
• Information and
communication technology
readiness for business
continuity (IRBC)
17. 18
ISO 27031
• Aplica a cualquier organización
• Cualquier tamaño
• Eventos e incidentes de TIC que afecten la
continuidad de las funciones críticas del negocio
• Permite la medición del desempeño
• Se encuentra estrechamente vinculada con:
Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Servicios de TI
Sistema de Gestión de Continuidad del Negocio
18. 19
Principios de IRBC
• Prevención de incidentes
• Detección de incidentes
• Respuesta
• Recuperación
• Mejora
24. 25
Planeación (Plan)
• Establecer los requerimientos de IRBC
• Estrategia
• Recursos
• Competencias del personal
• Definición de requerimientos
Entendimiento de servicios críticos de ICT
Identificar brechas entre IRBC y BC
25. 26
Estrategias – Habilidades y conocimiento
• Documentación de la forma en que los servicios
críticos de ICT son ejecutados.
• Entrenamiento en múltiples habilidades del
personal y contratistas para asegurar redundancia.
26. 27
Estrategias – Instalaciones
• Instalaciones alternativas dentro de la organización
• Instalaciones alternativas provistas por otras
organizaciones
• Instalaciones alternativas provistas por terceras
partes especializadas
• Trabajo desde casa u otras localidades remotas
• Otros acuerdos de uso de instalaciones
• Uso de una fuerza de trabajo alterno en un sito
establecido
• Instalaciones alternativas móviles
27. 28
Estrategias – Tecnología (consideraciones)
• RTOs y RPOs para servicios críticos
• Localización y distancia entre sitios
• Número de sitios de tecnología
• Acceso remoto a sistemas
• Requerimientos de enfriamiento
• Requerimientos de energía
• Utilizar instalaciones sin personal
• Conectividad y redundancia
• Naturaleza de proceso de activación (manual / automático)
• Nivel de automatización requerido
• Obsolescencia tecnológica
• Conectividad con proveedores y otros externos
28. 29
Estrategias – Datos (Consideraciones)
• Requerimientos RPO
• Seguridad de los datos almacenados
• Distancia, localización, medios de acceso y
tiempos para su recuperación
• Procedimientos de almacenamiento
• Complejidad técnica del proceso de restauración
• Requerimientos de usuario y necesidades
organizacionales
29. 30
Estrategias – Procesos (Consideraciones)
• Gestión de incidentes
• Seguridad de la Información
• Gestión de la capacidad
• Etc.
• Competencias y habilidades, datos críticos,
tecnológicas clave, equipo crítico
30. 31
Estrategias – Proveedores
• Almacenamiento de equipo adicional y copias de
software en otra localidad
• Entrega de reemplazos de equipo en corto tiempo
• Reparación rápida y/o reemplazo de partes que
presenten fallas y/o malfuncionamiento
• Provisión dual de servicios como energía eléctrica
y telecomunicaciones
• Equipo de emergencia
• Identificación de proveedores alternativos /
sustitutos
32. 33
Implementación y operación (Do)
• Procedimientos de gestión de incidentes
• Estrategias de IRBC
• Concientización y entrenamiento
• Instalaciones
• Tecnología
• Datos
• Procesos
• Proveedores
• Documentación de planes
34. 35
Monitoreo y revisión (Check)
• Monitoreo, detección y análisis de
amenazas
• Pruebas y ejercicios
• Auditoría Interna
• Revisión de la dirección
• Medición del desempeño
41. 42
Contáctenos
Nombre: Informes de Capacitación y Certificación
Dirección: Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41 Suite C
México, Distrito Federal
Teléfono: +52 (55) 5241 1370
Fax: +52 (55) 5241 1371
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
42. 43
Contáctenos
Nombre: Informes de Capacitación y Certificación BSI
Dirección: Oficina Monterrey
Torre Capitel
Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908
Monterrey, Nuevo León
Teléfono: +52 (81) 8155 6100
Fax: +52 (81) 8155 6105
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
43. 44
Contáctenos
Miembro
Mario Ureña,
Nombre: CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
Posición: Presidente
Associated Consultant Program Empresa: Secure Information Technologies
Teléfono 1: (5255) 5524 8091 y 5524 7582
Celular: (5255) 1798-8155
Email: mario.urena@secureit.com.mx
Web: www.secureit.com.mx
Blog: www.mariourenacuate.com