20090224 Audit BCM ISO27000

Transcripción

Soportando y Auditando
la Gestión de la
Continuidad
del Negocio (BCM)
A partir de los estándares:
ISO/IEC 27002:2005
ISO/IEC 27001:2005
Alejandro Cerezo H.
ISACA Capítulo Monterrey
Agenda
Definición de SGSI (Sistema de Gestión de la Seguridad de la
Información)
Soportando BCM con base en ISO/IEC 27002:2005
o
Que es ISO/IEC 27002
o
Estructura del Estándar
o
Dominio 14. Business Continuity Management
– Alineación de Objetivos de Control con entregables DRP/BCP Integridata
Auditando BCM de acuerdo al ISO/IEC 27001:2005
•
o
Que es ISO/IEC 27001
o
o
Que requiere el estándar en relación al cumplimiento con BCM
o
Que solicitará el auditor para la evaluación de los objetivos de control (A. 14)
Nota: Es importante destacar, que la información aquí contenida es sólo un resumen general de los objetivos de control del
estándar, para un mayor detalle deberá acudir al mismo.
Definición de un SGSI
• Según UNE-ISO/IEC 27001
• “Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI)”
SGSI
Sistema
de
Gestión de la
Seguridad de
la Información:
Es un sistema• de gestión que comprende la política, la
estructura organizativa, los procedimientos, los procesos y
los recursos necesarios para implantar la gestión de la
seguridad de la información. El sistema es la herramienta de
que dispone la Dirección de las organizaciones para llevar a
cabo las políticas y los objetivos de seguridad (integridad,
confidencialidad
y
disponibilidad,
asignación
de
responsabilidad,
autenticación,
etc.).
Proporcionar
mecanismos para la salvaguarda de los activos de
información y de los sistemas que los procesan, en
concordancia con las políticas de seguridad y planes
estratégicos de la organización.
ISMS = Information Security Management System
UNE-ISO/IEC 27002:2005
1- Alcance
ESTRUCTURA DE LA NORMA
0- Introducción
2- Términos y
definiciones
5- Políticas de Seguridad
6- Aspectos organizativos para la Seguridad
7- Clasificación y Control de Activos
3-Análisis y Gestión
del Riesgo
8- Seguridad ligada
al personal
9- Seguridad física
y ambiental
10- Gestión de
Comunicaciones
y operaciones
11- Control de Accesos
13- Gestión de Incidentes de Seguridad
14- Gestión de Continuidad del negocio
15- Conformidad
12- Desarrollo y
Mantenimiento de
Sistemas
UNE-ISO/IEC 27001:2005
0- Introducción
1- Objeto y campo de aplicación
2- Normas para consulta
3- Términos y definiciones
4- SGSI
5- Responsabilidad de la Dirección
6- Auditorias Internas del SGSI
7- Revisión del SGSI por la Dirección
8- Mejora del SGSI
Anexo A (Normativo)
Requisitos Generales
Se “debe” Establecer, implementar, operar, supervisar,
revisar, mantener y mejorar un SGSI documentado :
– Aplicable a los activos a proteger
– Aplicando el enfoque de la organización para gestionar
el riesgo
– El proceso se basa en el modelo PDCA
Requisitos Generales
• Modelo PDCA aplicado al SGSI
PLAN
Establecer SGSI
DO
Implementar
y Operar el
SGSI
Ciclo de Desarrollo,
Mantener
Mantenimiento y
Mejorar
Mejora
Supervisar y
Revisar el
SGSI
CHECK
SGSI
ACT
Modelo PDCA aplicado a los procesos del SGSI
Planificar (creación del
SGSI)
Definir la política, objetivos, procesos y
procedimientos del SGSI relevantes para gestionar
el riesgo y mejorar la seguridad de la información,
con el fin de obtener resultados acordes con las
políticas y objetivos generales de la organización.
Hacer (implementación
y operación del SGSI)
Implementar y operar la política,
procesos y procedimientos del SGSI.
Verificar (supervisión y
revisión del SGSI)
Evaluar y, en su caso, medir el rendimiento del
proceso contra la política, los objetivos y la
experiencia práctica del SGSI, e informar de los
resultados a la Dirección para su revisión.
Actuar (mantenimiento
y mejora del SGSI)
Adoptar medidas correctivas y preventivas, en
función de los resultados de la auditoría interna del
SGSI y de la revisión por parte de la dirección, o de
otras informaciones relevantes, para lograr la
mejora continua del SGSI.
controles,
Compromiso de la Dirección
La dirección debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a través de las siguientes acciones:
o Formulando la política del SGSI
o Velando por el establecimiento de los objetivos y planes del SGSI
o Estableciendo los roles y responsabilidades en materia de seguridad
de la información
o Comunicando a la organización la importancia de cumplir los objetivos
y la política de seguridad de la información, sus responsabilidades
legales y la necesidad de la mejora continua
Compromiso de la Dirección
La dirección debe suministrar evidencias de su compromiso
para crear, implementar, operar, supervisar, revisar, mantener,
y mejorar el SGSI, a través de las siguientes acciones:
o Proporcionando recursos suficientes para crear, implementar, operar,
supervisar, revisar, mantener, y mejorar el SGSI
o Participando en la decisión de los criterios de aceptación de riesgos y
los niveles aceptables de riesgos
o Velando por que se realicen las auditorias internas del SGSI
o Dirigiendo las revisiones del SGSI
• Qué es ISO/IEC 27002:2005 ?
Estándar Internacional que establece las
guías y principios
generales
para comenzar, implementar , mantener y mejorar la
Gestión de la Seguridad en una organización.
Los objetivos brindados por el estándar proveen una guía general sobre las
aceptadas para la Gestión de la
Seguridad de la Información.
metas comúnmente
Estructura del Estándar (1 de 2)
De manera general, el estándar se encuentra distribuido de la siguiente
forma:
Por lo que refiere al propósito del mismo, la parte de mayor interés será la
sección correspondiente al establecimiento de Objetivos de Control y
Controles.
Estructura del Estándar (2 de 2)
El estándar se encuentra compuesto por 11 Secciones de Control, comúnmente
llamadas Dominios, comprendiendo un total de 39 Objetivos de Control y 133
Controles.
o
5. Política de Seguridad
o
6. Organización de la Seguridad de la información
o
7. Gestión de Activos
o
8. Seguridad de Recursos Humanos
o
9. Seguridad Física y Ambiental
o
10. Gestión de Comunicaciones y Operaciones
o
11. Control de Accesos
o
12. Adquisición, desarrollo y mantenimiento de sistemas
o
13. Gestión de incidentes de seguridad de la información
o 14. Gestión de la Continuidad del Negocio
o
15. Cumplimiento.
Dominio 14. Gestión de la Continuidad del Negocio (1 de 11)
14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad
del Negocio
Objetivo:
Contrarestar las interrupciones en las actividades de negocio y proteger sus
procesos críticos contra desastres y fallas mayores en los sistemas de información, así
como de sus efectos. Asegurando su restablecimiento oportuno.
14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión de Continuidad del
Negocio.
14.1.2 Continuidad del Negocio y Análisis de Riesgos.
14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de seguridad
de la información.
14.1.4 Marco Referencial para la Planeación de la Continuidad del Negocio
14.1.5 Prueba, mantenimiento y actualización de los planes de continuidad del negocio.
14.1.1 Incluir la Seguridad de la Información en el proceso de Gestión
de Continuidad del Negocio.
Control:
Se debería instalar en toda la organización un proceso de gestión para el desarrollo y
mantenimiento de la Continuidad del NegocioD
Guía de implementación:
a) Comprender los riesgos de la organización, identificar y priorizar los procesos críticos.
b) Identificar todos los activos implicados en los procesos críticos.
c) Comprender el Impacto que tendrían las interrupciones en el negocio.
d) Considerar la adquisición de seguros adecuados.
e) Identificar y considerar la implementación de controles adicionales de prevención.
f) Identificar los recursos financieros, organizacionales, técnicos y ambientales.
g) Asegurar la seguridad del personal e instalaciones
h) Formular y documentar planes
i) Probar y Actualizar planes
j) Asegurar la incorporación del BCM a los procesos de la organización. Asignar un
Responsable.
Alineación del Objetivo de Control 14.1.1 con entregables
Comunes de una Consultoría
Los entregables listados a continuación, forman parte de los productos
desarrollados por una empresa de consultoría en términos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.1
o Análisis de Riesgos (AR)
o Análisis de Impacto al Negocio (BIA)
o Plan de Acción del DRP
o Pruebas, Metodología de Pruebas
o Mantenimiento, Metodología de Mantenimiento
14.1.2
Continuidad del Negocio y Evaluación de Riesgos
Control:
Los eventos que pueden causar interrupciones en los procesos
de negocio deben ser identificados junto con su probabilidad de
impactoD
a) Identificación de los eventos
b) evaluar el riesgo determinando la probabilidad e impacto del evento
c) Desarrollar un plan estratégico a partir de los resultados de la evaluación del
riesgo
d) Crear una estrategia sólida y respaldada así como un plan para
implementarla
Los entregables listados a continuación, forman parte de los
productos desarrollados por una empresa de consultoría en
términos generales como parte de los proyectos DRP/BCP, estos
entregables satisfacen los requerimientos solicitados por el
Objetivo de Control 14.1.2
o Análisis de Riesgos (AR)
o Estrategia de Recuperación / Continuidad
o Plan de Acción del DRP
14.1.3 Desarrollar Planes de Continuidad del Negocio incluyendo
aspectos de seguridad de la información.
Control:
Se deberían desarrollar planes de mantenimiento y recuperación
de las operaciones del negocioD
a) Identificación de los procedimientos de emergencia y los acuerdos de todas las
responsabilidades
b) La identificación de las pérdidas aceptables de información y servicios.
c) La implementación de los procedimientos que permitan la recuperación y restauración de
las operaciones de negocio, dependencias de negocios externas e internas.
d) Los procedimientos para completar la restauración y recuperación.
e) La documentación de los procedimientos.
f) La formación apropiada del personal en los procedimientos.
g) La prueba y actualización de los planes.
desarrollados por una empresa de consultoría en términos generales
como parte de los proyectos DRP/BCP, estos entregables satisfacen los
requerimientos solicitados por el Objetivo de Control 14.1.3
o Análisis de Impacto al Negocio (BIA)
o Procedimientos Técnicos de Recuperación
o Procedimientos de Operación y Continuidad del Negocio
o Capacitación y Concientización
14.1.4. Marco Referencial para la Planeación de la Continuidad del
Negocio.
Control:
Se deberá mantener un esquema único de planes de continuidad del
negocio para asegurar que dichos planes sean consistentesD
a) Las condiciones para activar los planes y el proceso a seguir antes de dicha activación.
b) Los procedimientos de emergencia que describen las acciones a realizar tras una
contingencia.
c) Los procedimientos de respaldo
d) Procedimientos temporales de operación
e) Los procedimientos de reanudación.
f) El calendario de mantenimiento
g) Actividades de concientización y formación
h) Las responsabilidades de las personas
i) Los activos y recursos críticos necesarios
Alineación del Objetivo de Control 14.1.4 entregables Comunes
de una Consultoría
desarrollados por una empresas de consultoría en términos generales como parte
de los proyectos DRP/BCP, estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.4
o Estrategia de Recuperación
o Procedimientos Técnicos de Recuperación
o Procedimientos de Operación y Continuidad del Negocio
o Grupos de Recuperación
o Capacitación y Concientización
14.1.5 Prueba, mantenimiento y actualización de los planes de
Continuidad del Negocio.
Control:
Los Planes de Continuidad del Negocio se deberán probar regularmente para
asegurarse de su actualización y eficacia.
a) La prueba sobre papel de varios escenarios.
b) La simulación (para entrenar al personal)
c) Las pruebas de Recuperación Técnica
d) Las pruebas de Recuperación en un lugar alternativo
e) Las pruebas de los recursos y servicios del Proveedor
f) Los ensayos completos.
g) La actualización correspondiente
Alineación del Objetivo de Control 14.1.5 entregables Comunes
de una Consultoría
desarrollados por una empresa de consultoría en términos generales como parte de
los proyectos DRP/BCP,
estos entregables satisfacen los requerimientos
solicitados por el Objetivo de Control 14.1.5
o
Capacitación y Concientización
• Qué es ISO/IEC 27001:2005 ?
Es el estándar internacional generado para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI), define los requerimientos que deberán ser cumplidos en la
integración de un SGSI, siendo ésta auditable y certificable.
Una de sus principales áreas de control contempla la Gestión de la Continuidad del
Negocio, especificando los requerimientos de seguridad necesarios para
contrarrestar las interrupciones, fallas y efectos originados por desastres en los
sistemas de información. Contemplados en el Dominio 14. del anexo A de dicho
estándar.
De manera general, el estándar se encuentra distribuido de la siguiente forma:
Que requiere el estándar en relación al cumplimiento con
BCM (1 de 2)
A. 14 Gestión de la Continuidad del Negocio
A.14.1 Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio
Objetivo: Contrarestar las interrupciones en las actividades de negocio y proteger sus procesos
críticos contra desastres y fallas mayores en los sistemas de información, así como de sus efectos.
Asegurando su restablecimiento oportuno.
14.1.1
Incluir la Seguridad de la
Información en el proceso
de Gestión de Continuidad
del Negocio.
Se debería instalar en toda la organización un proceso de
gestión para el desarrollo y mantenimiento de la
Continuidad del NegocioD
14.1.2
Continuidad del Negocio y
Análisis de Riesgos.
Los eventos que pueden causar interrupciones en los
procesos de negocio deben ser identificados junto con su
probabilidad de impactoD
Que requiere el estándar en relación al cumplimiento con BCM
(2 de 2)
Se deberían desarrollar planes de mantenimiento y
recuperación de las operaciones del negocioD
14.1.3
Desarrollar Planes de
Continuidad del Negocio
incluyendo aspectos de
seguridad
de
la
información.
14.1.4
Marco Referencial para la
Planeación
de
la
Continuidad del Negocio
Se deberá mantener un esquema único de planes de
continuidad del negocio para asegurar que dichos planes
sean consistentes...
Prueba, mantenimiento y
actualización
de
los
planes de continuidad del
negocio.
Prueba, mantenimiento y actualización de los planes de
continuidad del negocioD
14.1.5
• Que solicitará el auditor para la evaluación de los objetivos de
control (A. 14)
• El auditor revisará el cumplimiento de esos objetivos de control, basado en su
conocimiento, criterio y experiencia.
Sin embargo !!!!
• El auditor deberá asegurar que los controles sean razonablemente efectivos en
su diseño, desarrollo, implementación y operación.
• Lo que si es seguro es que si enfocamos nuestros esfuerzos basados en
mejores prácticas y entandares de la industria en términos de continuidad y
recuperación indudablemente cumpliremos los requerimientos del Auditor.
Recordemos entonces :
• La metodología y entregables desarrollados por cualquier
empresa de consultoría deben estar alineados y cumplir en
todos los sentidos con los estándares y mejores prácticas de la
industria tales como
BS 25999, BS 25777, DRII, BCI e ISO/IEC 27002:2005
Dominio 14., etc.
Lo cual nos permitirá alcanzar la certificación deseada
D
Auditando
BCM de acuerdo al ISO/IEC 27001:2005
Ejemplo
EJEMPLO
Dudas o comentarios

20090224 Audit BCM ISO27000

Transcripción

Documentos relacionados

Perfil Corporativo - Informática El Corte Inglés