14. GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO
14.1 ASPECTOS DE
SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Objetivo: contrarrestar las interrupciones en las actividades
del negocio y proteger sus procesos críticos contra los efectos de fallas
importantes en los sistemas de información o contra desastres, y asegurar su
recuperación oportuna.
Se debería implementar un proceso de gestión de la
continuidad del negocio para minimizar el impacto y la recuperación por la
pérdida de activos de información en la organización (la cual puede ser el
resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y
acciones deliberadas) hasta un nivel aceptable mediante la combinación de
controles preventivos y de recuperación. En este proceso es conveniente identificar
los procesos críticos para el negocio e integrar los requisitos de la gestión
de la seguridad de la información de la continuidad del negocio con otros
requisitos de continuidad relacionados con aspectos tales como operaciones,
personal, materiales, transporte e instalaciones.
Las consecuencias de desastres, fallas de seguridad, pérdida
del servicio y disponibilidad del servicio se deberían someter a un análisis
del impacto en el negocio. Se deberían desarrollar e implementar planes de
continuidad del negocio para garantizar la restauración oportuna de las operaciones
esenciales. La seguridad de la información debería ser una parte integral de
todo el proceso de continuidad del negocio y de otros procesos de gestión en la
organización.
La gestión de la continuidad del negocio debería incluir
controles para identificar y reducir los riesgos, además del proceso general de
evaluación de riesgos, limitar las consecuencias de los incidentes dañinos y
garantizar la disponibilidad de la información requerida para los procesos del
negocio.
14.1.1 Inclusión de
la seguridad de la información en el proceso de gestión de la continuidad del
negocio
Control
Se debería desarrollar y mantener un proceso de gestión para
la continuidad del negocio en toda la organización el cual trate los requisitos
de seguridad de la información necesarios para la continuidad del negocio de la
organización.
Guía de implementación
El proceso debería reunir los siguientes elementos clave
para la gestión de la continuidad del negocio:
a). comprensión de los riesgos que enfrenta la organización
en términos de la probabilidad y el impacto en el tiempo, incluyendo la
identificación y la determinación de la prioridad de los procesos críticos del
negocio (véase el numeral 14.1.2);
b). identificación de todos los activos involucrados en los
procesos críticos del negocio (véase el numeral 7.1.1);
c). comprensión del impacto que puedan tener las interrupciones
causadas por incidentes de seguridad de la información (es importante encontrar
soluciones para manejar los incidentes que producen impactos menores, así como
los incidentes graves que puedan amenazar la viabilidad de la organización), y
establecer los objetivos del negocio para los servicios de procesamiento de
información;
d). consideración de la adquisición de pólizas de seguros
adecuadas que puedan formar parte de todo el proceso de continuidad del negocio
y de la gestión de riesgos operativos;
e). identificación y consideración de la implementación de
controles preventivos y mitigantes adicionales;
f). identificación de recursos financieros, organizacionales,
técnicos y ambientales suficientes para tratar los requisitos identificados de
la seguridad de la información;
g). garantizar la seguridad del personal y la protección de
los servicios de procesamiento de información y de la propiedad de la
organización;
h). formulación y documentación de los planes de continuidad
del negocio que abordan los requisitos de seguridad de la información acorde
con la estrategia acordada de continuidad del negocio (véase el numeral
14.1.3);
i). prueba y actualización regular de los planes y procesos
establecidos (véase el numeral 14.1.5);
j). garantizar que la gestión de la continuidad del negocio
está incorporada en los procesos y la estructura de la organización; la
responsabilidad por el proceso de gestión de la continuidad del negocio se
debería asignar en un nivel apropiado en la organización (véase el numeral
6.1.1).
14.1.2 Continuidad
del negocio y evaluación de riesgos
Control
Se deberían identificar los eventos que pueden ocasionar interrupciones
en los procesos del negocio junto con la probabilidad y el impacto de dichas
interrupciones, así como sus consecuencias para la seguridad de la información.
Guía de
Los aspectos de seguridad de la información en la continuidad
del negocio se deberían basar en la identificación de los eventos (o secuencia
de eventos) que pueden causar interrupciones en los procesos del negocio de la
organización, por ejemplo fallas de los equipos, errores humanos, robo,
desastres naturales y actos terroristas. Se debería continuar con una evaluación
de riesgos para determinar la probabilidad y el impacto de tales
interrupciones, en términos de tiempo, escala de daño y periodo de
recuperación.
Las evaluaciones de riesgos para la continuidad del negocio
se deberían efectuar con la plena participación de los dueños de los recursos y
los procesos del negocio. Estas evaluaciones deberían considerar todos los
procesos del negocio sin limitarse a los servicios de procesamiento de
información, sino incluir los resultados específicos para la seguridad de la información.
Es importante vincular en conjunto todos los aspectos del riesgo para obtener
un panorama completo de los requisitos de continuidad del negocio de la
organización. La evaluación debería identificar, cuantificar y priorizar los
riesgos frente a los criterios y los objetivos pertinentes para la
organización, incluyendo los recursos críticos, impactos de las interrupciones,
duración permitida de corte y prioridades de recuperación.
Dependiendo de los resultados de la evaluación de riesgos,
se debería desarrollar una estrategia de continuidad del negocio para
determinar el enfoque global para la continuidad del negocio. Una vez se ha
creado esta estrategia, la dirección debería aprobarla y se debería crear y
respaldar un plan para la implementación de esta estrategia.
14.1.3 Desarrollo e implementacion de planes de continuidad que incluyan la seguridad de la
información
Control
Se deberían desarrollar e implementar planes para mantener o
recuperar las operaciones y asegurar la disponibilidad de la información en el
grado y la escala de tiempo requerido, después de la interrupción o la falla de
los procesos críticos para el negocio.
Guía de
implementación
En el proceso de planificación de la continuidad del negocio
se deberían considerar los siguientes aspectos:
a).identificar y acordar todas las responsabilidades y los
procedimientos para la continuidad del negocio;
b). identificar la pérdida aceptable de información y
servicios;
c). implementar los procedimientos que permitan recuperar y
restaurar las operaciones del negocio y la disponibilidad de la información en
las escalas de tiempo requeridas; es necesario atender la evaluación de las
dependencias internas y externas del negocio y de los contratos establecidos;
d). procedimientos operativos que se han de seguir en espera
de la terminación de la recuperación y restauración;
e). documentación de procedimientos y procesos acordados;
f). formación apropiada del personal en los procedimientos y
procesos acordados, incluyendo el manejo de las crisis;
g). pruebas y actualización de los planes:
El proceso de planificación se debería centrar en los objetivos
requeridos del negocio, por ejemplo la restauración de servicios de
comunicación específicos para los clientes en un lapso de tiempo aceptable. Los
servicios y recursos que lo facilitan deberían identificarse, incluyendo el
personal, los recursos no relacionados con el procesamiento de información, al
igual que las disposiciones de respaldo para los servicios de procesamiento de
información. Estas disposiciones de respaldo pueden incluir arreglos con terceras
partes en forma de acuerdos recíprocos o servicios de suscripción comercial.
Los planes de continuidad del negocio deberían afrontar las
vulnerabilidades de la organización y, por lo tanto, pueden contener
información sensible que es necesario proteger adecuadamente. Las copias de los
planes de la continuidad del negocio se deberían almacenar en un lugar lejano,
a suficiente distancia para escapar a cualquier daño por algún desastre en la
sede principal. La dirección debería garantizar que las copias de los planes de
continuidad del negocio están actualizadas y protegidas con el mismo nivel de
seguridad que se aplica en la sede principal. De igual modo, el otro material
necesario para ejecutar los planes de continuidad se debería almacenar en un
sitio lejano.
Si se utilizan lugares alternos temporales, el nivel de los
controles de seguridad implementados en estos lugares debería ser equivalente
al de la sede principal.
Información adicional
Es conveniente observar que los planes y las actividades de
la gestión de crisis (véase el numeral 14.1.3.f)) pueden ser diferentes de la
gestión de la continuidad del negocio; es decir, se puede presentar una crisis
que se pueda adaptar con procedimientos de gestión normales.
14.1.4 Estructura
para la planificación de la continuidad del negocio
Control
Se debería mantener una sola estructura de los planes de
continuidad del negocio, para asegurar que todos los planes son consistentes, y
considerar los requisitos de la seguridad de la información de forma
consistente, así como identificar las prioridades para pruebas y mantenimiento.
Cada plan de continuidad del negocio debería describir el
enfoque para la continuidad, por ejemplo el enfoque para garantizar la
disponibilidad y seguridad de la información o del sistema de información.
Igualmente, cada plan debería especificar el plan de escalada y las condiciones
para su activación, así como las personas responsables de ejecutar cada
componente del plan.
Cuando se identifican nuevos requisitos, todos los
procedimientos de emergencia existentes, por ejemplo planes de evacuación o
disposiciones de respaldo, se deberían modificar apropiadamente. Los
procedimientos se deberían incluir en el programa de gestión de cambios de la
organización para garantizar el tratamiento adecuado de los aspectos de la
continuidad el negocio.
Cada plan debería tener un dueño específico. Los
procedimientos de emergencia, los planes de recursos de emergencia manuales y
de reanudación deberían ser responsabilidad de los dueños de los recursos o
procesos apropiados del negocio involucrados. Las disposiciones de respaldo
para los servicios técnicos alternos, como servicios de procesamiento de
información y comunicaciones, usualmente deberían ser responsabilidad de los
proveedores del servicio.
Una estructura para la planificación de la continuidad del
negocio debería abordar los requisitos de seguridad de la información
identificados y considera los siguientes aspectos:
a). las condiciones para la activación de los planes que
describen el proceso a seguir (por ejemplo, la forma de evaluar la situación y
quién se va a involucrar) antes de activar cada plan;
b). los procedimientos de emergencia que describen las
acciones por realizar tras un incidente que ponga en peligro las operaciones
del negocio;
c). los procedimientos de respaldo que describen las
acciones por realizar para desplazar las actividades esenciales del negocio o
los servicios de soporte a lugares temporales alternos y para devolver la
operatividad de los procesos del negocio en los plazos requeridos;
d). los procedimientos operativos temporales por seguir
mientras se terminan la recuperación y la restauración;
e). los procedimientos de reanudación que describen las
acciones por realizar para que las operaciones del negocio vuelvan a la
normalidad;
f). una programación de mantenimiento que especifique cómo y
cuándo se realizarán pruebas al plan y el proceso para el mantenimiento del
plan;
g). actividades de concientización, educación y formación
diseñadas para comprender los procesos de continuidad del negocio y garantizar
que los procesos siguen siendo eficaces;
h). las responsabilidades de las personas, que describan
quién es responsable de la ejecución de cada componente del plan. Si se
requiere, se deberían nombrar suplentes;
i). los activos y recursos críticos necesarios para ejecutar
los procedimientos de emergencia, respaldo y reanudación.
14.1.5 Pruebas,
mantenimiento y reevaluación de los planes de continuidad del negocio
Control
Los planes de continuidad del negocio se deberían someter a
pruebas y revisiones periódicas para asegurar su actualización y su eficacia.
Guía de
implementación
Las pruebas del plan de continuidad del negocio deberían
asegurar que todos los miembros del equipo de recuperación y otro personal
pertinente son conscientes de los planes y sus responsabilidades para la
continuidad del negocio y la seguridad de la información, y conocen su función
cuando se ejecuta un plan.
La programación de las pruebas para los planes de
continuidad del negocio debería indicar cómo y cuándo se va a probar cada
elemento del plan. Cada uno de los elementos se debería probar con frecuencia.
Es conveniente utilizar una variedad de técnicas para
garantizar que los planes funcionarán en condiciones reales. Éstas incluirían:
a). la prueba sobre papel de varios escenarios (analizando
las disposiciones de recuperación con ayuda de ejemplos de interrupciones);
b). las simulaciones (particularmente para la formación del
personal en sus funciones de gestión de crisis / post-incidentes);
c). las pruebas de recuperación técnica (garantizando que
los sistemas de información se pueden restaurar eficazmente);
d). Las pruebas de recuperación en un lugar alterno
(ejecutando procesos del negocio en paralelo con las operaciones de
recuperación fuera de la sede principal);
e). las pruebas de los recursos y servicios del proveedor
(asegurando que los servicios y productos proporcionados externamente cumplirán
el compromiso contraído);
f). los ensayos completos (probando que la organización, el
personal, el equipo, las instalaciones y los procesos pueden hacer frente a las
interrupciones).
Cualquier organización puede utilizar estas técnicas. Éstas
se deberían aplicar de forma pertinente para el plan específico de
recuperación. Se deberían registrar los resultados de las pruebas y, cuando sea
necesario, tomar las acciones para mejorar los planes.
Se debería asignar responsabilidad para las revisiones
regulares de cada plan de continuidad del negocio. La identificación de los
cambios en las disposiciones del negocio que aún no se reflejan en los planes
de continuidad del negocio debería ir seguida de una actualización adecuada del
plan. Este proceso formal de control de cambios debería garantizar la
distribución y el refuerzo de los planes actualizados mediante revisiones
regulares del plan completo.
Los ejemplos de los cambios en donde se debería considerar
la actualización de los planes de continuidad el negocio incluyen la
adquisición de equipos nuevos, la mejora de los sistemas y cambios en:
a). el personal;
b). las direcciones o los números telefónicos;
c). la estrategia del negocio;
d). los lugares, dispositivos y recursos;
e). la legislación;
f). los contratistas, proveedores y clientes principales;
g). los procesos existentes, nuevos o retirados;
h). los riesgos (operativos y financieros).
No hay comentarios:
Publicar un comentario