Escolar Documentos
Profissional Documentos
Cultura Documentos
INTEGRANTES:
DOCENTE:
INFANTE TAKEY, HENRY ERNESTO
AGOSTO 2019
1
ÍNDICE
INTRODUCCIÓN 3
1. GENERALIDADES 4
2. ISO 27031 5
NEGOCIO 11
8. PRINCIPIOS 15
8.3 RESPUESTA 16
8.4 MEJORA 16
RESUMEN 17
CONCLUSIONES 19
BIBLIOGRAFÍA 20
2
INTRODUCCIÓN
Estos factores, junto con una legislación cada vez más exigente, en lo relacionado a la
confiabilidad y seguridad en la prestación de estos productos y servicios, hacen necesario
en la actualidad que se cuente con una DRP (Disaster Recovery Plan) “Un plan de
recuperación ante desastres” (ISO 27031:2011, ISO 22301:2012), con el objetivo de lograr
una sociedad cada vez más comprometida con la protección del talento humano, de la
disponibilidad de los procesos del negocio, de la información (ISO 27001:2013) y del
conocimiento, de la tecnología, al igual, que con el incremento de la productividad, la
agilidad, la efectividad y la eficiencia.
3
1. GENERALIDADES
Muchas organizaciones luchan por definir el mejor método para cumplir las expectativas
comerciales relacionadas con la recuperación ante desastres de la tecnología de la
información. La ISO 27031 brinda orientación de continuidad de negocio y recuperación
ante desastres TI sobre cómo planificar la continuidad y recuperación TI como parte de un
sistema de gestión de continuidad de negocio. El estándar ayuda al personal de TI a
identificar los requisitos para la tecnología de la información y la comunicación e
implementar estrategias para reducir el riesgo de interrupción, así como reconocer,
responder y recuperarse de una interrupción de las TIC.
Las fallas de los servicios de TIC, incluyendo la ocurrencia de problemas de seguridad tales
como la intrusión de sistemas y las infecciones de código malicioso, puede afectar la
continuidad de las operaciones comerciales. Por lo tanto la gestión de las TIC y la
continuidad y otros aspectos relacionados con la seguridad constituyen una parte clave de
los requisitos de continuidad de negocio. Por otra parte, en la mayoría de los casos, las
funciones críticas del negocio que requieren la continuidad de negocio son por lo general
dependientes de las TIC. Esta dependencia significa que las afectaciones de las TIC
pueden constituir un riesgo estratégico para la reputación de las organizaciones y su
capacidad para operar.
4
2. ISO 27031
La ISO 27031Introduce un enfoque de sistemas de gestión para abordar las TIC apoyado
en un sistema de gestión de continuidad empresarial más amplio, como se describe en la
ISO 22301. La ISO 27031 describe un sistema de gestión para la disponibilidad de TIC y la
continuidad del negocio. Un IRBC es un sistema de gestión centrado en la recuperación de
desastres de TI. IRBC utiliza el mismo modelo de Planificar-Hacer-Verificar-Actuar (PDCA)
que el sistema de gestión de la continuidad del negocio describe en la ISO 22301. El
objetivo es implementar estrategias que reduzcan el riesgo de interrupción de los servicios
TIC, así como responder y recuperarse de una interrupción.
Como norma de orientación, las organizaciones no pueden certificarse en ISO 27031 como
si lo hiciese para la ISO 22301. El siguiente diagrama muestra el sistema de gestión
detallado en ISO 27031:
5
Los planes para recuperar las tecnologías de la información (DRP) durante mucho tiempo,
no tuvieron una guía para unificar criterios para su elaboración, lo cual, complicaba a las
organizaciones ya que era difícil identificar qué proteger, cómo documentarlo, como medirlo
y mantenerlo.
En el 2011 se publicó el estándar ISO 27031 que establece los requerimientos para la
creación de un plan de Continuidad de las tecnologías de la información y comunicaciones
y a su vez ayuda a fortalecer y complementar los sistemas de seguridad de la información,
solucionando el problema que mencionábamos.
Dicha norma sustituye al estándar británico BS 25777 el cuál representaba el primer gran
esfuerzo por estandarizar la práctica.
A pesar de que la publicación del ISO 27031 se realizó en el 2011 es aún desconocido para
la mayoría de las organizaciones, por ello, te presentamos los puntos más importantes que
dicha norma:
6
3. PASOS DEL PLAN DE CONTINUIDAD DE NEGOCIO
La ISO 27031 utiliza el mismo sistema de gestión de PDCA básico utilizado que utiliza la
ISO 22301, pero lo adapta para adaptarse a la naturaleza técnica del plan de continuidad
de negocio. Además de los cambios técnicos en el PDCA, la ISO 27031 también se basa
en las conclusiones del Análisis de Impacto Empresarial (BIA) desarrolladas y aprobadas
como parte de un plan de continuidad más amplio para una organización.
PLAN: La fase Plan crea y actualiza la estructura de gobierno para el sistema general de
gestión IRBC. Los resultados clave de la fase del Plan son una política de Continuidad de
Negocio que aborda adecuadamente la continuidad de la tecnología de información y
comunicación así como las opciones de estrategia que la organización puede implementar
para cumplir con los requisitos del negocio.
Planificar Establecer las políticas, objetivos, metas, procesos y procedimientos para el IRBC
relacionados con el manejo de riesgos y el mejoramiento de la preparación de las TIC
para el logro de resultados de acuerdo con unas políticas y objetivos generales de
continuidad de negocio de la Organización.
Hacer Implementar y operar la política controles, procesos y procedimientos del IRBC.
Verificar Evaluar y, cuando sea aplicable, medir el desempeño del proceso frente a las políticas,
objetivos y experiencia del IRBC, y reportar los resultados a la dirección para su
revisión.
Actuar Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión por
la dirección, para alcanzar la mejora continua del IRBC.
7
Si analizamos más en profundidad cada fase:
Es posible que muchas organizaciones ya realicen algunos de los componentes del "Plan"
de la ISO 27031 como parte de sus programas de recuperación de desastres de tecnología
de la información. La ISO 27031 considera el plan de continuidad TI como un componente
del plan de continuidad de negocio, pero en realidad, existen muy pocas diferencias. En la
fase Planificación, la organización implementa una política para gobernar los procesos y
requisitos del plan de continuidad del negocio. La política establece la estructura de
gobierno para el sistema de gestión de incidentes. El plan de continuidad de negocio utiliza
las aportaciones del BIA de la organización para traducir los requisitos del negocio en
requisitos de rendimiento de las TIC para los servicios de TIC. La fase de Planificación
concluye con la generación de opciones de estrategia de continuidad, que se implementará
en la fase de Hacer (Do).
Para ser eficaz, ISO 27031 establece que las estrategias del plan de continuidad descritas
anteriormente deben incorporar seis componentes en la monitorización, respuesta y
recuperación de las interrupciones de las tecnologías de la información y la comunicación.
HABILIDAD Y CONOCIMIENTO
Las estrategias de recuperación incluyen la consideración de las habilidades técnicas
especializadas y el conocimiento necesario para operar los servicios de TIC antes, durante
y después de una interrupción. Las estrategias que incluyen las habilidades y las
consideraciones de conocimiento se centran en garantizar que ningún individuo posea las
habilidades o conocimientos especializados que serían necesarios para operar los sistemas
de TIC de la organización.
8
INSTALACIONES
Las estrategias de recuperación incluyen un riesgo mitigador asociado con la operación de
sistemas TIC basados en una sola instalación. Las estrategias que incluyen
consideraciones sobre las instalaciones aseguran que los sistemas TIC se puedan operar
incluso si una instalación primaria se vuelve inoperable.
TECNOLOGÍA
Las estrategias de recuperación incluyen la consideración de los requisitos técnicos
necesarios para cumplir con los requisitos de recuperación de la organización,
específicamente el Objetivo de tiempo de recuperación (RTO) y el Punto Objetivo de
Recuperación (RPO). Las estrategias que incluyen consideraciones tecnológicas implican
garantizar que el hardware y las aplicaciones puedan recuperarse dentro del tiempo y la
recuperación de datos requeridos por la organización. Estas consideraciones deben incluir
sistemas de soporte tales como energía, enfriamiento, personal, soporte de proveedores,
conectividad WAN, etc.
DATOS
Las estrategias de recuperación incluyen la consideración de cómo proteger los datos
requeridos por la organización. Las estrategias que incluyen consideraciones de datos
incluyen seguridad, validez y disponibilidad de los datos requeridos por los usuarios finales.
PROCESOS
Las estrategias de recuperación incluyen la consideración de cómo mantener los procesos
necesarios para monitorizar, operar y recuperar los sistemas de TIC con el fin de cumplir
con los requisitos del negocio. Las estrategias que consideran los procesos identifican los
procesos de TIC necesarios antes, durante y después de una interrupción en los sistemas
TIC.
PROVEEDORES
Las estrategias de recuperación incluyen la consideración de cómo informar e involucrar a
los proveedores que se necesitan para recuperar y operar los sistemas TIC. Las estrategias
que incluyen consideraciones del proveedor identifican qué proveedores participaran en la
operación y recuperación de los sistemas TIC antes, durante y después de que se haya
producido una interrupción.
Cada opción de estrategia del plan de continuidad de negocio tendrá en cuenta los seis
componentes y, a menudo, dará lugar a la creación de niveles para clasificar la información
y la tecnología de comunicación que satisfaga las necesidades de la organización.
Durante la fase Hacer (Do), los servicios de TIC se asignarán a un nivel, que permite la
selección de estrategias. Una vez que TI identifica las opciones de estrategia, la
administración de la organización debe considerar la cantidad de riesgo reducido por la
estrategia contra el costo de implementación de la estrategia. En general, el resultado de la
fase del Plan es una lista de estrategias para agregar o actualizar en el catálogo de
servicios, que permite a la organización seleccionar el nivel adecuado de capacidad de
recuperación.
9
5. HACER EL PLAN DE CONTINUIDAD DE NEGOCIO
La fase Do del plan de continuidad de negocio, incluye la implementación de las estrategias
identificadas en la fase de Planificación, la redacción de planes de recuperación para
servicios TIC y la ejecución de actividades de capacitación y sensibilización para garantizar
que el personal involucrado en el plan, esté calificado e informado. El programa implementa
las estrategias apropiadas identificadas en la fase de Planificación para mejorar la
preparación de TIC para los servicios de tecnología de la información y la comunicación
dentro del alcance.
Las estrategias que reducen el riesgo de una interrupción no eliminarán completamente la
posibilidad de una interrupción en la tecnología de la información y la comunicación. El
personal de TI implementa estrategias y proyectos de planes para superar el riesgo residual
cuando los incidentes disruptivos se hacen realidad. La documentación del plan de
respuesta y recuperación es necesaria para garantizar que el personal comprenda las
actividades necesarias para cumplir con las expectativas del negocio. La ISO 27031 incluye
muchas de las mismas consideraciones que se utilizan en la ISO 22301, alguno de estos
puntos comunes son:
10
6. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL
NEGOCIO
11
ISO / IEC 27031: 2011
ISO / IEC 27031 - Directrices para la preparación de TIC para la continuidad del negocio.
Esta norma ha reemplazado a la BS 25777 y describe los conceptos y principios de la
tecnología de información y comunicación (TIC) para la continuidad del negocio y
proporciona un marco de métodos y procesos para identificar y especificar todos los
aspectos para mejorar la disponibilidad de TIC de una organización.
BS 25999-1
La BS 25999-1 proporciona pautas para la implementación de cada elemento de
continuidad del negocio.
ISO 22301
El estándar ISO 22301 ha reemplazado a BS 25999-2, y se considera el estándar de
continuidad empresarial fundamental porque define los conceptos básicos para desarrollar
y administrar el BCMS; este es el único estándar de continuidad empresarial certificable.
Es útil en la fase Do según la norma ISO 27001 para la implementación de los requisitos
dados en su Anexo A Cap. 14 (gestión de la continuidad del negocio).
12
BS 25999-2
Este estándar fue reemplazado por ISO 22301.
BS 25777: 2008
BS 25777: 2008 Gestión de la continuidad de la tecnología de la información y las
comunicaciones. Código de prácticas. Este estándar es reemplazado por ISO 27031.
PD 25111: 2010
PD 25111: 2010 Gestión de continuidad del negocio - Orientación sobre aspectos humanos
de la continuidad del negocio. Proporciona orientación sobre la planificación y desarrollo de
estrategias y políticas de recursos humanos para las fases clave tras una interrupción:
Hacer frente a los efectos inmediatos del incidente Gestión de personas durante el período
de interrupción (la etapa de continuidad), y el personal de apoyo después de la recuperación
de las operaciones normales.
PD 25666: 2010
PD 25666: 2010 Gestión de la continuidad del negocio - Orientación sobre el ejercicio y las
pruebas de continuidad y los programas de contingencia proporciona una orientación
adecuada a todas las organizaciones sobre el ejercicio, incluidas las actividades de prueba,
para los programas de continuidad y de contingencia. Los arreglos para los sistemas de
tecnología de la información (TI) también se incluyen en este.
13
7. COMPARANDO LOS ESTÁNDARES DE CONTINUIDAD DEL NEGOCIO
Una forma popular de comparar estándares y pautas de continuidad de negocios similares
es utilizar "cruces" o una tabla de comparación que alinee los diferentes estándares uno al
lado del otro para que puedan compararse con un conjunto común de criterios. La siguiente
tabla compara los tres estándares actualmente aprobados en el Programa de Preparación
del Sector Público del Departamento de Seguridad Nacional de los EE. UU. (Conocido
como PS-Prep) con los dos estándares más recientes, el ASIS / BSI BCM.01-2010 conjunto
y el ISO 22301.
Todas las organizaciones experimentan cambios a lo largo del tiempo. Algunos cambios
son pequeños, como los cambios en el personal y las funciones del trabajo, mientras que
otros cambios son extremos, como fusiones, adquisiciones, reubicaciones de sitios,
cambios en las aplicaciones y / o sistemas operativos, etc.
El cambio hace que este proceso sea continuamente revisado y examinado. Un plan de
recuperación de desastres es un documento "vivo" que crece en tamaño y alcance a medida
que cambia un negocio.
14
8. PRINCIPIOS
Proceso iterativo:
Prepara las tecnologías de información y comunicación (TIC o ICT) para promover
la resiliencia (capacidad de un sistema de soportar y recuperarse ante desastres y
perturbaciones).
Facilita la identificación de componentes críticos en cada uno de los elementos que
componen el entorno de las TIC.
Justifica recursos y presupuesto para las medidas de resiliencia adecuadas.
Monitorear el rendimiento de las métricas de resiliencia.
Revisión y mejoramiento siguiendo ejercicios, pruebas e incidentes.
Elementos involucrados:
Personas, Instalaciones, Tecnología, Datos, Procesos, Proveedores.
IRBC promueve:
Responder antes que un incidente ocurra, tras la detección de uno o una serie de
eventos relacionados que se convierten en incidentes.
Detecta incidentes lo más rápido posible, minimizando así el impacto a los
servicios; reduce el esfuerzo de recuperación y preserva la calidad del servicio.
La inversión en la detección de incidentes debe estar vinculada a las necesidades
de continuidad de negocio.
Elementos involucrados:
Personas, Instalaciones, Tecnología.
Fallos de Hardware (en servidores, arreglos de discos, dispositivos, etc.)
Redes (interrupciones, intrusiones, etc.)
Software (Fallas en actualizaciones, software no autorizado, malware, etc.)
Datos (Conjunto de datos corruptos o incompletos, etc.)
Procesos (Cambios en sistema, mantenimientos, etc.)
Proveedores (Falla de energía, interrupción de las telecomunicaciones)
15
8.3 RESPUESTA
Contener el incidente:
Recursos directos para gestionar la situación.
Comunicación.
¿Está activo el Administración de Incidentes de la Continuidad del Negocio (BCM)?.
Servir de enlace con resto de la organización.
Activar mecanismos de contingencia pertinentes.
Comunicarse con los grupos de interés.
(No necesariamente un orden cronológico.)
8.4 MEJORA
IRBC promueve la mejora:
Las lecciones aprendidas de los ejercicios.
Evaluación de Audits/Self.
La retroalimentación gracias a los BIAs (Análisis del Impacto al Negocio) y análisis
de riesgos periódicos.
Acciones correctiva siguiendo el incidente.
Acciones preventivas.
16
RESUMEN
La ISO27031 hace posible que una organización pueda medir los parámetros de
rendimiento de forma consistente.
Por un lado, realizar la planificación para las TIC es muy importante a efectos de continuidad
del negocio ya que:
17
La continuidad de su negocio depende de la continuidad de su tecnología.
18
CONCLUSIONES
La ISO27031 proporciona los elementos clave para lograr una adecuada preparación para
la continuidad de la Tecnología de Información y Comunicaciones (TIC´s).
Aseguran que los servicios de las TIC´s son resistentes y adecuados de tal forma que
pueden recuperarse a niveles predeterminados en los plazos requeridos y acordados por
la organización.
19
BIBLIOGRAFÍA
https://ciberseguridad.blog/comparacion-de-algunos-estandares-de-continuidad-
de-negocio/
https://sisteseg.com/blog/2018/11/02/metodologia-drp-irbc-iso-27031/
https://sdr.com.mx/index.php/iso-27031-norma-crear-plan-continuidad-las-
tecnologias-informacion/
20