UNIVERSIDAD PERUANA DE LAS AMÉRICAS

FACULTAD DE CIENCIAS EMPRESARIALES

ESCUELA PROFESIONAL DE ADMINISTRACIÓN Y

GESTIÓN DE EMPRESAS

CURSO: SISTEMAS DE INFORMACIÓN GERENCIAL

TEMA: NORMA ISO 27031

INTEGRANTES:

 ROMAN YARANGA CELIZ

 URTEAGA NAVARRO LOURDES
 CHRIS LEVANO HUAMAN

DOCENTE:
INFANTE TAKEY, HENRY ERNESTO

AGOSTO 2019

1
 ÍNDICE

INTRODUCCIÓN 3

1. GENERALIDADES 4

2. ISO 27031 5

3. PASOS DEL PLAN DE CONTINUIDAD DE NEGOCIO 7

4. PLANIFICAR EL PLAN DE CONTINUIDAD DE NEGOCIO 8

5. HACER EL PLAN DE CONTINUIDAD DE NEGOCIO 10

6. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL

NEGOCIO 11

7. COMPARANDO LOS ESTÁNDARES DE CONTINUIDAD DEL NEGOCIO 14

8. PRINCIPIOS 15

8.1 PREVENCIÓN DE INCIDENTES 15

8.2 DETECCIÓN DE INCIDENTES 15

8.3 RESPUESTA 16

8.4 MEJORA 16

RESUMEN 17

CONCLUSIONES 19

BIBLIOGRAFÍA 20

2
 INTRODUCCIÓN

Con los años, la tecnología de la información y la comunicación (TIC) se ha convertido en

parte integral de muchas de las actividades que componen la infraestructura crítica en todos
los sectores de la organización, ya sea público, privado o sin ánimo de lucro. La proliferación
de la Internet y de otros servicios de redes electrónicas, así como las capacidades actuales
de los sistemas y aplicaciones, también ha significado que las organizaciones se hayan
convertido en cada vez más dependientes de la confiabilidad, seguridad y protección de las
infraestructuras de las TIC y en los últimos años, algunas entidades a lo largo del territorio
nacional, han concedido una importancia creciente a la implementación de planes,
procedimientos y estructuras que garanticen la continuidad de sus productos y servicios
críticos del negocio ante incidentes de diversas categorías y diferentes niveles de impacto.

Estos factores, junto con una legislación cada vez más exigente, en lo relacionado a la
confiabilidad y seguridad en la prestación de estos productos y servicios, hacen necesario
en la actualidad que se cuente con una DRP (Disaster Recovery Plan) “Un plan de
recuperación ante desastres” (ISO 27031:2011, ISO 22301:2012), con el objetivo de lograr
una sociedad cada vez más comprometida con la protección del talento humano, de la
disponibilidad de los procesos del negocio, de la información (ISO 27001:2013) y del
conocimiento, de la tecnología, al igual, que con el incremento de la productividad, la
agilidad, la efectividad y la eficiencia.

Mientras tanto, la necesidad de una gestión de continuidad de negocio (BCM), incluyendo

la preparación para la atención de incidentes, la planificación de la recuperación de
desastres y de respuesta a emergencias y la gestión, han sido reconocidas y soportadas
con dominios específicos de conocimiento, experiencia y normas elaboradas y promulgadas
en los últimos años, incluyendo la norma internacional BCM desarrollado por ISO / TC 223
(ahora ISO/TC 292).

3
 1. GENERALIDADES

Muchas organizaciones luchan por definir el mejor método para cumplir las expectativas
comerciales relacionadas con la recuperación ante desastres de la tecnología de la
información. La ISO 27031 brinda orientación de continuidad de negocio y recuperación
ante desastres TI sobre cómo planificar la continuidad y recuperación TI como parte de un
sistema de gestión de continuidad de negocio. El estándar ayuda al personal de TI a
identificar los requisitos para la tecnología de la información y la comunicación e
implementar estrategias para reducir el riesgo de interrupción, así como reconocer,
responder y recuperarse de una interrupción de las TIC.

Las fallas de los servicios de TIC, incluyendo la ocurrencia de problemas de seguridad tales
como la intrusión de sistemas y las infecciones de código malicioso, puede afectar la
continuidad de las operaciones comerciales. Por lo tanto la gestión de las TIC y la
continuidad y otros aspectos relacionados con la seguridad constituyen una parte clave de
los requisitos de continuidad de negocio. Por otra parte, en la mayoría de los casos, las
funciones críticas del negocio que requieren la continuidad de negocio son por lo general
dependientes de las TIC. Esta dependencia significa que las afectaciones de las TIC
pueden constituir un riesgo estratégico para la reputación de las organizaciones y su
capacidad para operar.

La preparación de las TIC es un aspecto esencial para muchas organizaciones en la

implementación de la gestión de la continuidad de negocio y la gestión de seguridad de la
información. Como parte de la implementación y operación de un sistema de información
de gestión de seguridad (SGSI) especificado en la norma NTC-ISO/IEC 27001 y para el
Sistema de Gestión de la continuidad de negocio (BCMS), respectivamente, es fundamental
desarrollar e implementar un plan de preparación para los servicios de las TIC con el fin de
ayudar a asegurar la continuidad de negocio.

Como resultado, un BCM eficaz es frecuentemente dependiente de una efectiva

preparación de las TIC orientada a asegurar que los objetivos de la organización pueden
seguirse cumpliendo en el momento de una interrupción. Esto es particularmente
importante ya que las consecuencias de las afectaciones de las TIC a menudo tienen
adicionalmente la complicación de ser invisibles y/o difíciles de detectar. Para que una
organización logre la preparación de las TIC para la Continuidad de Negocio (IRBC), es
necesario poner en marcha un proceso sistemático destinado a prevenir, predecir y
gestionar la interrupción o incidentes de las TIC que tengan la posibilidad de interrumpir los
servicios de TIC. La mejor forma de alcanzarlo puede ser la utilización del ciclo PHVA
(Planear, hacer, verificar y actuar), como parte de un sistema de gestión en TIC IRBC. De
esta manera el IRBC apoya el BCM, asegurando que los servicios de las TIC son tan
resistentes como adecuados y se pueden recuperar a niveles prestablecidos en los plazos
requeridos y acordados por la organización.

4
 2. ISO 27031

NORMA PARA CREAR UN PLAN DE CONTINUIDAD DE LAS TECNOLOGÍAS DE

INFORMACIÓN

La ISO 27031Introduce un enfoque de sistemas de gestión para abordar las TIC apoyado
en un sistema de gestión de continuidad empresarial más amplio, como se describe en la
ISO 22301. La ISO 27031 describe un sistema de gestión para la disponibilidad de TIC y la
continuidad del negocio. Un IRBC es un sistema de gestión centrado en la recuperación de
desastres de TI. IRBC utiliza el mismo modelo de Planificar-Hacer-Verificar-Actuar (PDCA)
que el sistema de gestión de la continuidad del negocio describe en la ISO 22301. El
objetivo es implementar estrategias que reduzcan el riesgo de interrupción de los servicios
TIC, así como responder y recuperarse de una interrupción.

Como norma de orientación, las organizaciones no pueden certificarse en ISO 27031 como
si lo hiciese para la ISO 22301. El siguiente diagrama muestra el sistema de gestión
detallado en ISO 27031:

5
Los planes para recuperar las tecnologías de la información (DRP) durante mucho tiempo,
no tuvieron una guía para unificar criterios para su elaboración, lo cual, complicaba a las
organizaciones ya que era difícil identificar qué proteger, cómo documentarlo, como medirlo
y mantenerlo.

En el 2011 se publicó el estándar ISO 27031 que establece los requerimientos para la
creación de un plan de Continuidad de las tecnologías de la información y comunicaciones
y a su vez ayuda a fortalecer y complementar los sistemas de seguridad de la información,
solucionando el problema que mencionábamos.

Dicha norma sustituye al estándar británico BS 25777 el cuál representaba el primer gran
esfuerzo por estandarizar la práctica.

A pesar de que la publicación del ISO 27031 se realizó en el 2011 es aún desconocido para
la mayoría de las organizaciones, por ello, te presentamos los puntos más importantes que
dicha norma:

 El estándar busca alinear las estrategias de Continuidad de Negocio con la

tecnología, buscando una recuperación integral evitando que la priorización de la
tecnología se realice de forma aislada.
 Solicita acciones para cada momento definiéndolas puntualmente en las siguientes
etapas: prevención, detección, respuesta, recuperación y mejora.
 Solicita estrategias para cada uno de los componentes que participan del
funcionamiento de las tecnologías de la información y comunicaciones como son:
personas, instalaciones, hardware y software, datos, procesos y proveedores.
En conclusión podemos decir que si la organización basa la elaboración de sus Planes de
Continuidad de Tecnologías de la información y comunicaciones contará con beneficios
como:

 Claridad en la determinación de la tecnología crítica y la información a proteger.

 Procedimientos documentados y ordenados.
 Conocer los riesgos a los que está sujeta la tecnología, así como los impactos de
sus interrupciones.
 Alinear la disponibilidad de la tecnología con las necesidades del negocio.
 Asegurar la disponibilidad de los proveedores críticos.
 Dar a conocer las mejores soluciones para una implementación exitosa.
 Contar con un mantenimiento adecuado tanto para la tecnología como para el
programa.
 Contar un programa auditable y medible.

6
 3. PASOS DEL PLAN DE CONTINUIDAD DE NEGOCIO

La ISO 27031 utiliza el mismo sistema de gestión de PDCA básico utilizado que utiliza la
ISO 22301, pero lo adapta para adaptarse a la naturaleza técnica del plan de continuidad
de negocio. Además de los cambios técnicos en el PDCA, la ISO 27031 también se basa
en las conclusiones del Análisis de Impacto Empresarial (BIA) desarrolladas y aprobadas
como parte de un plan de continuidad más amplio para una organización.

En el plan de continuidad de negocio, el sistema de gestión de PDCA se desglosa de la

siguiente manera:

PLAN: La fase Plan crea y actualiza la estructura de gobierno para el sistema general de
gestión IRBC. Los resultados clave de la fase del Plan son una política de Continuidad de
Negocio que aborda adecuadamente la continuidad de la tecnología de información y
comunicación así como las opciones de estrategia que la organización puede implementar
para cumplir con los requisitos del negocio.

HACER: La fase Do se centra en realizar actividades e implementar soluciones que

permitan a la organización monitorizar, responder y recuperarse de una interrupción en los
servicios TIC. Los productos clave para la fase Do son la implementación de estrategias, la
generación de planes y la ejecución de actividades de capacitación y sensibilización para
promover la continuidad de los servicios de TIC.

VERIFICACIÓN: La fase de verificación incluye la revisión y evaluación del rendimiento del

sistema de gestión de continuidad de negocio. Los principales resultados de la fase de
verificación incluyen la monitorización continua de las tecnologías de información y
comunicación sobre las interrupciones y los niveles de rendimiento, así como revisiones
periódicas de la capacidad de respuesta y recuperación de las TIC.

ACTUAR: La fase de actuar, brinda a la administración la oportunidad de revisar el

desempeño del esfuerzo del plan de continuidad de negocio, así como dirigir la
implementación de acciones correctivas que mejorarán el desempeño del sistema de
gestión y / o reducirán el riesgo de futuras interrupciones en los servicios TIC.

Planificar Establecer las políticas, objetivos, metas, procesos y procedimientos para el IRBC
relacionados con el manejo de riesgos y el mejoramiento de la preparación de las TIC
para el logro de resultados de acuerdo con unas políticas y objetivos generales de
continuidad de negocio de la Organización.
Hacer Implementar y operar la política controles, procesos y procedimientos del IRBC.
Verificar Evaluar y, cuando sea aplicable, medir el desempeño del proceso frente a las políticas,
objetivos y experiencia del IRBC, y reportar los resultados a la dirección para su
revisión.
Actuar Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión por
la dirección, para alcanzar la mejora continua del IRBC.

7
Si analizamos más en profundidad cada fase:

4. PLANIFICAR EL PLAN DE CONTINUIDAD DE NEGOCIO

Es posible que muchas organizaciones ya realicen algunos de los componentes del "Plan"
de la ISO 27031 como parte de sus programas de recuperación de desastres de tecnología
de la información. La ISO 27031 considera el plan de continuidad TI como un componente
del plan de continuidad de negocio, pero en realidad, existen muy pocas diferencias. En la
fase Planificación, la organización implementa una política para gobernar los procesos y
requisitos del plan de continuidad del negocio. La política establece la estructura de
gobierno para el sistema de gestión de incidentes. El plan de continuidad de negocio utiliza
las aportaciones del BIA de la organización para traducir los requisitos del negocio en
requisitos de rendimiento de las TIC para los servicios de TIC. La fase de Planificación
concluye con la generación de opciones de estrategia de continuidad, que se implementará
en la fase de Hacer (Do).

Formular la estrategia significa esencialmente la creación de ofertas de servicios de TI que

el personal de TIC incluirá en el catálogo de servicios o, más genéricamente, como opciones
para la consideración y selección de negocios. Por ejemplo, una organización con una
entrada de catálogo de servicios para un servidor virtual agregaría entradas para abordar
la capacidad de recuperación de un servidor virtual a través de una variedad de medios
para abordar un rango de objetivos de recuperación. La organización puede elegir
proporcionar dos estrategias de recuperación para la recuperación de una máquina virtual
con diferentes tiempos de recuperación para cumplir con los requisitos comerciales
identificados a través de la BIA. Esas dos estrategias de recuperación se incorporaran en
el catálogo de servicios de la organización como entradas separadas o incorporadas a las
entradas existentes del catálogo de servicios.

Para ser eficaz, ISO 27031 establece que las estrategias del plan de continuidad descritas
anteriormente deben incorporar seis componentes en la monitorización, respuesta y
recuperación de las interrupciones de las tecnologías de la información y la comunicación.

Los seis componentes son:

HABILIDAD Y CONOCIMIENTO
Las estrategias de recuperación incluyen la consideración de las habilidades técnicas
especializadas y el conocimiento necesario para operar los servicios de TIC antes, durante
y después de una interrupción. Las estrategias que incluyen las habilidades y las
consideraciones de conocimiento se centran en garantizar que ningún individuo posea las
habilidades o conocimientos especializados que serían necesarios para operar los sistemas
de TIC de la organización.

8
INSTALACIONES
Las estrategias de recuperación incluyen un riesgo mitigador asociado con la operación de
sistemas TIC basados en una sola instalación. Las estrategias que incluyen
consideraciones sobre las instalaciones aseguran que los sistemas TIC se puedan operar
incluso si una instalación primaria se vuelve inoperable.

TECNOLOGÍA
Las estrategias de recuperación incluyen la consideración de los requisitos técnicos
necesarios para cumplir con los requisitos de recuperación de la organización,
específicamente el Objetivo de tiempo de recuperación (RTO) y el Punto Objetivo de
Recuperación (RPO). Las estrategias que incluyen consideraciones tecnológicas implican
garantizar que el hardware y las aplicaciones puedan recuperarse dentro del tiempo y la
recuperación de datos requeridos por la organización. Estas consideraciones deben incluir
sistemas de soporte tales como energía, enfriamiento, personal, soporte de proveedores,
conectividad WAN, etc.
DATOS
Las estrategias de recuperación incluyen la consideración de cómo proteger los datos
requeridos por la organización. Las estrategias que incluyen consideraciones de datos
incluyen seguridad, validez y disponibilidad de los datos requeridos por los usuarios finales.

PROCESOS
Las estrategias de recuperación incluyen la consideración de cómo mantener los procesos
necesarios para monitorizar, operar y recuperar los sistemas de TIC con el fin de cumplir
con los requisitos del negocio. Las estrategias que consideran los procesos identifican los
procesos de TIC necesarios antes, durante y después de una interrupción en los sistemas
TIC.

PROVEEDORES
Las estrategias de recuperación incluyen la consideración de cómo informar e involucrar a
los proveedores que se necesitan para recuperar y operar los sistemas TIC. Las estrategias
que incluyen consideraciones del proveedor identifican qué proveedores participaran en la
operación y recuperación de los sistemas TIC antes, durante y después de que se haya
producido una interrupción.
Cada opción de estrategia del plan de continuidad de negocio tendrá en cuenta los seis
componentes y, a menudo, dará lugar a la creación de niveles para clasificar la información
y la tecnología de comunicación que satisfaga las necesidades de la organización.
Durante la fase Hacer (Do), los servicios de TIC se asignarán a un nivel, que permite la
selección de estrategias. Una vez que TI identifica las opciones de estrategia, la
administración de la organización debe considerar la cantidad de riesgo reducido por la
estrategia contra el costo de implementación de la estrategia. En general, el resultado de la
fase del Plan es una lista de estrategias para agregar o actualizar en el catálogo de
servicios, que permite a la organización seleccionar el nivel adecuado de capacidad de
recuperación.

9
 5. HACER EL PLAN DE CONTINUIDAD DE NEGOCIO
La fase Do del plan de continuidad de negocio, incluye la implementación de las estrategias
identificadas en la fase de Planificación, la redacción de planes de recuperación para
servicios TIC y la ejecución de actividades de capacitación y sensibilización para garantizar
que el personal involucrado en el plan, esté calificado e informado. El programa implementa
las estrategias apropiadas identificadas en la fase de Planificación para mejorar la
preparación de TIC para los servicios de tecnología de la información y la comunicación
dentro del alcance.
Las estrategias que reducen el riesgo de una interrupción no eliminarán completamente la
posibilidad de una interrupción en la tecnología de la información y la comunicación. El
personal de TI implementa estrategias y proyectos de planes para superar el riesgo residual
cuando los incidentes disruptivos se hacen realidad. La documentación del plan de
respuesta y recuperación es necesaria para garantizar que el personal comprenda las
actividades necesarias para cumplir con las expectativas del negocio. La ISO 27031 incluye
muchas de las mismas consideraciones que se utilizan en la ISO 22301, alguno de estos
puntos comunes son:

 Propósito y alcance del plan.

 Funciones y responsabilidades definidas.
 Personal alterno.
 Criterios de invocación del plan.
 Información de contacto.

La parte final de la fase Do es realizar actividades de capacitación y sensibilización para

garantizar que el personal involucrado en el sistema de gestión del plan de continuidad de
negocio (incluidos aquellos con roles en los planes de respuesta y recuperación) conozcan
sus responsabilidades antes, durante y después de una interrupción.

VERIFICAR EL PLAN DE CONTINUIDAD DE NEGOCIO

La fase de verificación del sistema de gestión incluye las actividades típicas asociadas con
la fase de verificación del sistema del plan de continuidad, incluida la revisión de la gestión,
las pruebas y el ejercicio. La fase Check también agrega actividades continuas que
supervisan la interrupción de los servicios TIC y miden el rendimiento relacionado con la
preparación para las TIC.

ACTUAR EN EL PLAN DE CONTINUIDAD DE NEGOCIO

La fase del Actuar incorpora la revisión de la gestión del programa de preparación de las
TIC para la continuidad de negocio, que incluye el rendimiento del programa, el rendimiento
de preparación de las TIC y la asignación de recursos. Además de la revisión de la
administración, el programa implementa acciones correctivas que se identificaron durante
otras fases del sistema de gestión. El objetivo de las acciones correctivas es inculcar una
cultura de mejora continua en la organización e involucrar a la gerencia con la priorización
de la mejora continua.

10
 6. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL
NEGOCIO

ISO / IEC 27001

El estándar ISO 27001 se considera el estándar de seguridad de la información fundamental
porque define los conceptos básicos de "construcción" y control de un SGSI; esta es la
única norma de seguridad de la información certificable.

ISO / IEC 27002

ISO / IEC 27002 (anteriormente ISO / IEC 17799): esta norma proporciona una descripción
más detallada de la implementación de controles, y se aplica principalmente en la fase Do
(implementación) de ISO 27001.

ISO / IEC 27003

ISO / IEC 27003: 2010 se centra en los aspectos críticos necesarios para el diseño e
implementación exitosos de un Sistema de gestión de seguridad de la información (ISMS)
de acuerdo con ISO / IEC 27001: 2005.

ISO / IEC 27004

ISO / IEC 27004: 2009 proporciona orientación sobre el desarrollo y uso de medidas y
mediciones para evaluar la efectividad de un sistema de gestión de la seguridad de la
información (ISMS) implementado y controles o grupos de controles, como se especifica en
ISO / IEC 27001.

ISO / IEC 27005

ISO / IEC 27005 especifica métodos para la evaluación y el tratamiento del riesgo de la
información, y es útil en la fase del plan de acuerdo con ISO 27001.

ISO / IEC TR 27008: 2011

ISO / IEC TR 27008: 2011 proporciona orientación sobre la revisión de la implementación
y operación de controles, incluida la verificación de cumplimiento técnico de los controles
del sistema de información, de conformidad con los estándares de seguridad de la
información establecidos por una organización.

ISO / IEC 24762: 2008

ISO / IEC 24762: 2008 Tecnología de información - Técnicas de seguridad - Pautas para
servicios de recuperación de desastres de tecnología de información y comunicaciones es
el estándar internacional que ofrece pautas sobre la provisión de servicios de recuperación
de desastres de TIC como parte de la gestión de continuidad de negocio (BCM).

11
ISO / IEC 27031: 2011
ISO / IEC 27031 - Directrices para la preparación de TIC para la continuidad del negocio.
Esta norma ha reemplazado a la BS 25777 y describe los conceptos y principios de la
tecnología de información y comunicación (TIC) para la continuidad del negocio y
proporciona un marco de métodos y procesos para identificar y especificar todos los
aspectos para mejorar la disponibilidad de TIC de una organización.

ISO / IEC 27035

Normas de sistemas de gestión ISO / IEC 27035 - Seguridad de la información - Gestión de
incidentes de seguridad de la información

ISO 31000: 2009

Norma de gestión de riesgos ISO 31000: 2009: ISO 31000 proporciona principios de alto
nivel y directrices genéricas para la gestión de riesgos.

ISO / IEC 38500: 2008

ISO / IEC 38500: 2008 Gobierno corporativo de la tecnología de la información: esta norma
proporciona principios rectores para los directores de las organizaciones sobre el uso
eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus
organizaciones. Se aplica al gobierno de los procesos de gestión (y decisiones)
relacionados con los servicios de información y comunicación utilizados por una
organización. Estos procesos podrían ser controlados por especialistas de TI dentro de la
organización o proveedores de servicios externos, o por unidades de negocios dentro de la
organización.

BS 7858: 2006 + A2: 2009

BS 7858: 2006 + Enmienda 2: 2009 Evaluación de seguridad de las personas empleadas
en un entorno de seguridad - Código de prácticas. BS 7858 es un estándar de seguridad
clave que le indica cómo examinar al personal antes de emplearlo. La BS 7858 brinda
recomendaciones para el examen de seguridad de las personas que se emplearán en un
entorno en el que la seguridad y protección de las personas, bienes o propiedades es de
extrema importancia. También se aplica cuando hay un requisito de las operaciones de la
organización empleadora y / o cuando dicho examen de seguridad es de interés público.

BS 25999-1
La BS 25999-1 proporciona pautas para la implementación de cada elemento de
continuidad del negocio.

ISO 22301
El estándar ISO 22301 ha reemplazado a BS 25999-2, y se considera el estándar de
continuidad empresarial fundamental porque define los conceptos básicos para desarrollar
y administrar el BCMS; este es el único estándar de continuidad empresarial certificable.
Es útil en la fase Do según la norma ISO 27001 para la implementación de los requisitos
dados en su Anexo A Cap. 14 (gestión de la continuidad del negocio).

12
BS 25999-2
Este estándar fue reemplazado por ISO 22301.

BS 25777: 2008
BS 25777: 2008 Gestión de la continuidad de la tecnología de la información y las
comunicaciones. Código de prácticas. Este estándar es reemplazado por ISO 27031.

PD 25111: 2010
PD 25111: 2010 Gestión de continuidad del negocio - Orientación sobre aspectos humanos
de la continuidad del negocio. Proporciona orientación sobre la planificación y desarrollo de
estrategias y políticas de recursos humanos para las fases clave tras una interrupción:
Hacer frente a los efectos inmediatos del incidente Gestión de personas durante el período
de interrupción (la etapa de continuidad), y el personal de apoyo después de la recuperación
de las operaciones normales.

PD 25666: 2010
PD 25666: 2010 Gestión de la continuidad del negocio - Orientación sobre el ejercicio y las
pruebas de continuidad y los programas de contingencia proporciona una orientación
adecuada a todas las organizaciones sobre el ejercicio, incluidas las actividades de prueba,
para los programas de continuidad y de contingencia. Los arreglos para los sistemas de
tecnología de la información (TI) también se incluyen en este.

13
 7. COMPARANDO LOS ESTÁNDARES DE CONTINUIDAD DEL NEGOCIO
Una forma popular de comparar estándares y pautas de continuidad de negocios similares
es utilizar "cruces" o una tabla de comparación que alinee los diferentes estándares uno al
lado del otro para que puedan compararse con un conjunto común de criterios. La siguiente
tabla compara los tres estándares actualmente aprobados en el Programa de Preparación
del Sector Público del Departamento de Seguridad Nacional de los EE. UU. (Conocido
como PS-Prep) con los dos estándares más recientes, el ASIS / BSI BCM.01-2010 conjunto
y el ISO 22301.

La columna de la izquierda enumera los componentes comúnmente observados en los

estándares de continuidad de negocio. Las columnas de cada estándar describen dónde se
puede encontrar la información para cada categoría.

La mayoría de los estándares son preceptivos describiendo lo que se debe hacer. No

describen cómo se implementará cada actividad, esto generalmente compete a la
organización. La tabla es un punto de partida en el proceso de selección de un estándar.
La tabla señala que, esencialmente, cualquier estándar de continuidad de negocio se puede
usar en una organización.

Todas las organizaciones experimentan cambios a lo largo del tiempo. Algunos cambios
son pequeños, como los cambios en el personal y las funciones del trabajo, mientras que
otros cambios son extremos, como fusiones, adquisiciones, reubicaciones de sitios,
cambios en las aplicaciones y / o sistemas operativos, etc.

El cambio hace que este proceso sea continuamente revisado y examinado. Un plan de
recuperación de desastres es un documento "vivo" que crece en tamaño y alcance a medida
que cambia un negocio.

En caso de desastre, el tiempo y el esfuerzo que una organización invirtió en su plan

ayudarán a asegurar la continuidad de las operaciones del negocio y la estabilidad futura
de sus partes interesadas.

14
 8. PRINCIPIOS

8.1 PREVENCIÓN DE INCIDENTES

Proceso iterativo:
 Prepara las tecnologías de información y comunicación (TIC o ICT) para promover
la resiliencia (capacidad de un sistema de soportar y recuperarse ante desastres y
perturbaciones).
 Facilita la identificación de componentes críticos en cada uno de los elementos que
componen el entorno de las TIC.
 Justifica recursos y presupuesto para las medidas de resiliencia adecuadas.
 Monitorear el rendimiento de las métricas de resiliencia.
 Revisión y mejoramiento siguiendo ejercicios, pruebas e incidentes.
Elementos involucrados:
Personas, Instalaciones, Tecnología, Datos, Procesos, Proveedores.

8.2 DETECCIÓN DE INCIDENTES

IRBC promueve:
 Responder antes que un incidente ocurra, tras la detección de uno o una serie de
eventos relacionados que se convierten en incidentes.
 Detecta incidentes lo más rápido posible, minimizando así el impacto a los
servicios; reduce el esfuerzo de recuperación y preserva la calidad del servicio.
 La inversión en la detección de incidentes debe estar vinculada a las necesidades
de continuidad de negocio.

Elementos involucrados:
 Personas, Instalaciones, Tecnología.
 Fallos de Hardware (en servidores, arreglos de discos, dispositivos, etc.)
 Redes (interrupciones, intrusiones, etc.)
 Software (Fallas en actualizaciones, software no autorizado, malware, etc.)
 Datos (Conjunto de datos corruptos o incompletos, etc.)
 Procesos (Cambios en sistema, mantenimientos, etc.)
 Proveedores (Falla de energía, interrupción de las telecomunicaciones)

15
 8.3 RESPUESTA

IRBC promueve las buenas prácticas existentes:

 Confirmar la naturaleza y el alcance del incidente.
 Adquirir información.
 Evaluar.
 ¿Cómo afecta a los elementos del entorno de las TIC?
 ¿Cómo podría esto afectar a los usuarios del servicio y las actividades críticas de la
organización?
 Toma el control de la situación.
 ¿Failover manual o automático?
 Determinar prioridades para la mitigación de incidentes.
 Determinar los recursos requeridos.
 Comunicación.

Contener el incidente:
 Recursos directos para gestionar la situación.
 Comunicación.
 ¿Está activo el Administración de Incidentes de la Continuidad del Negocio (BCM)?.
 Servir de enlace con resto de la organización.
 Activar mecanismos de contingencia pertinentes.
 Comunicarse con los grupos de interés.
 (No necesariamente un orden cronológico.)

Planes técnicos de recuperación:

 En conjunto con los planes de continuidad de negocio de la organización.
 Tolerancia a fallos de inmediato (time-critical systems).
 Recuperación en menos tiempo (time-sensitive systems).
 Administrar el proceso de recuperación.
 Horas, días, semanas.

8.4 MEJORA
IRBC promueve la mejora:
 Las lecciones aprendidas de los ejercicios.
 Evaluación de Audits/Self.
 La retroalimentación gracias a los BIAs (Análisis del Impacto al Negocio) y análisis
de riesgos periódicos.
 Acciones correctiva siguiendo el incidente.
 Acciones preventivas.

16
 RESUMEN

El estándar ISO 27031 explica los principios y conceptos de la tecnología de información y

comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los
procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan
para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la
continuidad del negocio.

Se puede llevar a cabo en cualquier organización independientemente de su tamaño y del

sector al que pertenezca, incluso que sea privada, gubernamental o no gubernamental.
El ámbito de aplicación de dicha norma incluye cada uno de los eventos o incidentes,
también los que están asociados con la seguridad, que pueden tener un impacto en los
sistemas de TIC y en las infraestructuras. Además, se amplía a las prácticas de información
de seguridad de manejo de gestión, de incidentes, servicios de planificación y preparación
para las TIC.

La ISO27031 hace posible que una organización pueda medir los parámetros de
rendimiento de forma consistente.
Por un lado, realizar la planificación para las TIC es muy importante a efectos de continuidad
del negocio ya que:

 Las TIC son muy habituales y numerosas empresas dependen de estas.

 Las TIC refuerzan la continuidad del negocio, la respuesta de emergencia y los
procesos de gestión asociados.
 La planificación de la continuidad se considerará incompleta si no se tienen en
cuenta que hay que proteger la disponibilidad y la continuidad de las TIC.
 Por otro lado, la preparación para las TIC abarca:
 Preparación de las empresas, es decir, hablamos de la infraestructura de TI, las
aplicaciones y el funcionamiento. Además, de preparar los procesos y las personas
relacionadas, en contra de sucesos imprevisibles que pueden producir un cambio
en el entorno del riesgo y en la continuidad del negocio.
 Racionalizar todos los recursos para la continuidad del negocio.
 La preparación para las TIC debería de tener una consecuencia muy positiva la cual
es la reducción del impacto, es decir, estamos hablando del alcance, de la duración,
de las consecuencias de los incidentes de seguridad de la información en la
empresa.
 La Plataforma Tecnológica, ISOTools, facilita a las organizaciones la adopción, la
automatización y la evaluación de la norma ISO-27031.

17
La continuidad de su negocio depende de la continuidad de su tecnología.

Tener implantado un Sistema de Gestión de Continuidad Tecnológica (SGCT) basado en

el estándar internacional ISO 27031 le permitirá tener las máximas garantías de que sus
actividades no se verán interrumpidas por posibles caídas de sus sistemas de información.
En las organizaciones actuales la continuidad tecnológica es un elemento estratégico que
debe ser desarrollada como un objetivo de negocio de primer nivel.

¿Qué aporta ISO 27031 a su compañía?

 Mejora en la imagen de su organización

 Mejora en la respuesta ante incidentes en los sistemas de información que puedan
derivar en la parada de procesos.
 Mayor calidad de sus servicios.
 Satisfacción de sus clientes Disponibilidad de sus procesos tecnológicos.
 Menos coste por ocurrencia de incidentes o desastres.

18
 CONCLUSIONES

La ISO27031 proporciona los elementos clave para lograr una adecuada preparación para
la continuidad de la Tecnología de Información y Comunicaciones (TIC´s).

Identifica criterios de rendimiento, diseño y detalles de implementación, para mejorar la

preparación de las TIC´s dentro de los Sistemas de Gestión de Seguridad de la Información
en las organizaciones.

Asegura la continuidad del negocio sin descuidar la seguridad de la información.

Aseguran que los servicios de las TIC´s son resistentes y adecuados de tal forma que
pueden recuperarse a niveles predeterminados en los plazos requeridos y acordados por
la organización.

19
 BIBLIOGRAFÍA

 https://ciberseguridad.blog/comparacion-de-algunos-estandares-de-continuidad-
de-negocio/

 https://sisteseg.com/blog/2018/11/02/metodologia-drp-irbc-iso-27031/

 https://sdr.com.mx/index.php/iso-27031-norma-crear-plan-continuidad-las-
tecnologias-informacion/

 Guía técnica gtc-iso/iec colombiana 27031

20