Congreso Internacional de

Infraestructura TIC

Gestión de continuidad de las TIC con el

estándar ISO27031 (antes BS25777)

Por Mario Ureña Cuate, BSI

CISSP, CISA, CISM, CGEIT

BS25999LA, ISO27001LA

12 de Mayo 2011

Agenda

• Introducción

• Planeación (Plan)

• Implementación y operación (Do)

• Monitoreo y revisión (Check)

• Mejora continua (Act)

• Conclusiones

INTRODUCCIÓN

¿Quiénes somos?…

BSI tiene más de 100 años de experiencia liderando el camino del desarrollo de normas para una gran variedad de operaciones de negocio, lo que nos convierte en un organismo líder proveedor de soluciones en capacitación, certificación y software para la normatividad.

Nuestro objetivo…

Nuestro objetivo es crear soluciones integrales y programas de capacitación que mejoren el desempeño de su compañía y le permitan administrar eficientemente sus riesgos.

Lo que hacemos ...

• Establecer estándares

• Proveer toda la información y entrenamiento sobre estandarización

• Apoyar a las organización mejorando la manera en que operan con buenos procesos de gestión y soluciones empresariales

• Probar y verificar independientemente productos y servicios para asegurar que están al nivel requerido, en términos de la especificación de desempeño y seguridad

Estándares renombrados originados por BSI

Pionero en el desarrollo de:

1979 BS 5750 ISO 9001 (Calidad)

1992 BS 7750 ISO 14001 (Medioambiente)

1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)

1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)

2000 BS 8600 ISO 10002 (Satisfacción de Clientes)

2002 BS 15000 ISO/IEC 20000 (Servicios de TI)

2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)

2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)

2009 BS 10012 (Protección de Datos Personales)

Soluciones y Servicios de Sistemas de Gestión

DesempeñoCrear ventaja competitiva a través de la mejora en el desempeño

SustentabilidadCrear valor a través de prácticas sustentables

Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo

Introducción

Inundación en Veracruz. 1999

San Juan Ixhuatepec. 1984

México, D.F. 19 de Septiembre de 1985

New York, USA. 11 de Septiembre de 2001

Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008

Fuente: SecureInformationTechnologies

Introducción

Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto

Introducción

Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto

Introducción

Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto

Seguridad de la Información - Amenazas

Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011

Continuidad del Negocio

14

Continuidad del Negocio

BS 25999-1

Código de Práctica

BS 25999-2

SGCN

BS 25777

Código de Práctica TIC

Continuidad del Negocio

15

Continuidad del Negocio

BS 25999-1

Código de Práctica

ISO 22301

SGPC

ISO 27031

Código de Práctica TIC

BS 25777 / ISO 27031

16

2006

2007

2008

2011

2011 / 2012

BS 25999-1

BS 25999-2

BS 25777

ISO 27031

ISO 22301*

*Por publicarse. A la fecha de ésta presentación se encuentra en la etapa 40.60 (DIS)

ISO 27031

17

• Guías para la preparación de las tecnologías de información y comunicaciones para la continuidad del negocio.

• Information and communication technologyreadiness for businesscontinuity (IRBC)

ISO 27031

• Aplica a cualquier organización

• Cualquier tamaño

• Eventos e incidentes de TIC que afecten la continuidad de las funciones críticas del negocio

• Permite la medición del desempeño

• Se encuentra estrechamente vinculada con:

Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Servicios de TI

Sistema de Gestión de Continuidad del Negocio

18

Principios de IRBC

• Prevención de incidentes

• Detección de incidentes

• Respuesta

• Recuperación

• Mejora

19

Recuperación

20

PERSONAS

INSTALACIONES

TECNOLOGIA DATOS

PROCESOS

PROVEEDORES

Elementos clave de IRBC

21

Ciclo de mejora continua - PDCA

22

23

ISO 27031

PLANEACIÓN

(PLAN)

Planeación (Plan)

• Establecer los requerimientos de IRBC

• Estrategia

• Recursos

• Competencias del personal

• Definición de requerimientos

Entendimiento de servicios críticos de ICT

Identificar brechas entre IRBC y BC

25

Estrategias – Habilidades y conocimiento

• Documentación de la forma en que los servicios críticos de ICT son ejecutados.

• Entrenamiento en múltiples habilidades del personal y contratistas para asegurar redundancia.

26

Estrategias – Instalaciones

• Instalaciones alternativas dentro de la organización

• Instalaciones alternativas provistas por otras organizaciones

• Instalaciones alternativas provistas por terceras partes especializadas

• Trabajo desde casa u otras localidades remotas

• Otros acuerdos de uso de instalaciones

• Uso de una fuerza de trabajo alterno en un sito establecido

• Instalaciones alternativas móviles

27

Estrategias – Tecnología (consideraciones)

• RTOs y RPOs para servicios críticos

• Localización y distancia entre sitios

• Número de sitios de tecnología

• Acceso remoto a sistemas

• Requerimientos de enfriamiento

• Requerimientos de energía

• Utilizar instalaciones sin personal

• Conectividad y redundancia

• Naturaleza de proceso de activación (manual / automático)

• Nivel de automatización requerido

• Obsolescencia tecnológica

• Conectividad con proveedores y otros externos

28

Estrategias – Datos (Consideraciones)

• Requerimientos RPO

• Seguridad de los datos almacenados

• Distancia, localización, medios de acceso y tiempos para su recuperación

• Procedimientos de almacenamiento

• Complejidad técnica del proceso de restauración

• Requerimientos de usuario y necesidades organizacionales

29

Estrategias – Procesos (Consideraciones)

• Gestión de incidentes

• Seguridad de la Información

• Gestión de la capacidad

• Etc.

• Competencias y habilidades, datos críticos, tecnológicas clave, equipo crítico

30

Estrategias – Proveedores

• Almacenamiento de equipo adicional y copias de software en otra localidad

• Entrega de reemplazos de equipo en corto tiempo

• Reparación rápida y/o reemplazo de partes que presenten fallas y/o malfuncionamiento

• Provisión dual de servicios como energía eléctrica y telecomunicaciones

• Equipo de emergencia

• Identificación de proveedores alternativos / sustitutos

31

IMPLEMENTACIÓN Y

OPERACIÓN

(DO)

Implementación y operación (Do)

• Procedimientos de gestión de incidentes

• Estrategias de IRBC

• Concientización y entrenamiento

• Instalaciones

• Tecnología

• Datos

• Procesos

• Proveedores

• Documentación de planes

33

MONITOREO Y REVISIÓN

(Check)

Monitoreo y revisión (Check)

• Monitoreo, detección y análisis de amenazas

• Pruebas y ejercicios

• Auditoría Interna

• Revisión de la dirección

• Medición del desempeño

35

MEJORA CONTINUA

(Act)

Mejora continua (Act)

• Acciones correctivas

• Acciones preventivas

37

38

ISO 27031

OFERTA DE CAPACITACIÓN

Cursos BSI

• Interpretación

• Implementación

• Auditor Interno

• Auditor Líder*

*Con posibilidad de certificación

mario.urena@secureit.com.mx

www.mariourenacuate.com

@mariourena

@mariourena

Gracias!!

Mario Ureña CuateCISSP, CISA, CISM, CGEIT

ISO27001LA, BS25999LA

42

Contáctenos

Nombre: Informes de Capacitación y Certificación

Dirección: Oficina Ciudad de México

Torre Mayor

Paseo de la Reforma No.505 Piso 41 Suite C

México, Distrito Federal

Teléfono: +52 (55) 5241 1370

Fax: +52 (55) 5241 1371

Email: informacion.msmexico@bsigroup.com

Links: www.bsigroup.com.mx

43

Contáctenos

Nombre: Informes de Capacitación y Certificación BSI

Dirección: Oficina Monterrey

Torre Capitel

Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908

Monterrey, Nuevo León

Teléfono: +52 (81) 8155 6100

Fax: +52 (81) 8155 6105

Email: informacion.msmexico@bsigroup.com

Links: www.bsigroup.com.mx

44

Contáctenos

Nombre:

Mario Ureña,

CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA

Posición: Presidente

Empresa: Secure Information Technologies

Teléfono 1: (5255) 5524 8091 y 5524 7582

Celular: (5255) 1798-8155

Email: mario.urena@secureit.com.mx

Web: www.secureit.com.mx

Blog: www.mariourenacuate.com

Miembro

Associated Consultant Program