La continuidad del negocio dentro de los requisitos de la norma ISO 27001 debe ser tratada como una herramienta para dar respuesta a las amenazar que una organización puede sufrir en cuanto a inundaciones, actos vandálicos, incendios y otras amenazas similares

Se trata de implantar medidas de protección y de recuperación ante posibles desastres de esta naturaleza para minimizar los daños y facilitar el restablecimiento de las operaciones.

Mantener un plan de continuidad o recuperación ante incidentes puede ser la clave de la supervivencia en muchas organizaciones

ISO 27001:2013 incorpora en su nueva versión un capitulo que nos aclara como implantar el plan de continuidad del negocio en una organización enfocándose en los aspectos de la seguridad de la información.

ISO 27001 e ISO 22301

En anteriores versiones quedaba poco claro como implantar un sistema de continuidad del negocio dentro de la norma ISO 27001 máxime cuando ISO saco la norma específica sobre este aspecto: ISO 22301 Gestión de la continuidad del Negocio

Aquí queremos despejar algunas dudas que pueden surgir al respecto de este punto

  • ¿Necesitamos un Sistema de Gestión de Continuidad de Negocio que cumpla con ISO 22301 para obtener la certificación ISO 27001?
  • ¿El certificado ISO 27001 nos garantiza que la organización cuenta con un sistema razonable de gestión de la continuidad del negocio?

Veamos cómo responder a esas cuestiones previas

  • 1. Los únicos elementos sobre la gestión de la continuidad de negocio que deben tenerse en cuenta en ISO 27001 son los específicos de la continuidad del SGSI. Por lo tanto, ISO 27001: 2013 no aspira a una evaluación de la continuidad del Negocio tan amplia como la desarrollada al implantar la norma ISO 22301
  • 2. ISO 2013 en definitiva Reduce el nivel percibido de garantía de cumplimiento de requisitos de continuidad del negocio proporcionados por el certificado ISO 27001, porque la aclaración deja en claro que ISO 27001 no proporciona garantía amplia en los objetivos de continuidad del negocio.
  • 3. Sin embargo para requisitos críticos en materia de Seguridad de la Información, la norma ISO 27001 podrá llegar a niveles aún mayores de exigencia que la norma ISO 22301. (por ejemplo en requisitos para la implantación de sistemas basados en escritorio remoto , aplicaciones y transacciones de datos en la nube (IaaS, PaaS y SaaS)

Veamos una comparativa de requisitos sobre continuidad del Negocio entre ISO 27001:2013 e ISO 27001:2005

  • ISO 27001-2005
    • A14.OBJETIVOS SOBRE CONTINUIDAD DEL NEGOCIO: Para contrarrestar las interrupciones de las actividades comerciales y para proteger los procesos comerciales críticos de los efectos de las principales fallas de los sistemas de información o desastres y para garantizar su reanudación oportuna.
  • ISO 27001-2013
    • A17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA CONTINUIDAD DEL NEGOCIO: la seguridad de la información debe estar integrada en los sistemas de gestión de la continuidad del negocio de la organización.
  • ISO 27001-2005
    • A.14.1.1 – Incluir seguridad de la información en el proceso de gestión de la continuidad del negocio
    • A.14.1.2 – Continuidad del negocio y evaluación del riesgo
    • A.14.1.3 – Desarrollar e implementar planes de continuidad, incluida la seguridad de la información
    • A.14.1.4 – Marco de planificación de la continuidad del negocio
    • A.14.1.5 – Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio
  • ISO 27001-2013
    • A.17.1.1 – Planificación de la continuidad de la seguridad de la información
    • A.17.1.2 – Implementación de la continuidad de la seguridad de la información A
    • A.17.1.2 – Verificar, revisar y evaluar la continuidad de la seguridad de la información

Veamos los controles y el desarrollo punto por punto de los controles a tener en cuenta en ISO 27001:2013

Citando la norma:

Objetivo 1: Continuidad de la seguridad de la información

La continuidad de seguridad del negocio debe estar integrada en los sistemas de gestión de continuidad del negocio de la organización.

  • 17.1.1 Planificación de la continuidad de la seguridad de la información
  • 17.1.2 Implementación de la continuidad de seguridad de la información
  • 17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información

Objetivo 2: Redundancia

Garantizar la disponibilidad de las instalaciones de procesamiento de información

  • 17.2.1 Disponibilidad de las instalaciones de procesamiento de información

Objetivo 1: Continuidad de la seguridad de la información

La continuidad de seguridad del negocio debe estar integrada en los sistemas de gestión de continuidad del negocio de la organización.

PLAN DE CONTINUIDAD DEL NEGOCIO y PLANES DE CONTINGENCIA

Los planes de continuidad van más allá del establecimiento de un plan de contingencias. Los planes de contingencia son una parte de los planes de continuidad donde se establecen las respuestas o tratamiento de las incidencias o contingencias.

Los planes de continuidad contemplan otros aspectos que nos refieren al análisis de las necesidades y riesgos de una organización, la planificación de la respuesta a incidentes y la recuperación ante desastres.

Para ello se establecen los siguientes controles:

17.1.1 Planificación de la continuidad de la seguridad de la información

En este control se nos pide en primer lugar que verifiquemos que tenemos integrados los requisitos de la seguridad de la información en los planes de continuidad del negocio determinando

  • 1. Integrar en los planes de continuidad los requisitos de la seguridad de la información en situaciones de crisis o ante desastres
  • 2. En caso de que la organización no cuente con un plan de continuidad formal deberemos tener en cuenta ante una situación de parada de los distintos servicios (energía, comunicaciones, red, colapso de infraestructuras etc.)
    • Un análisis de los requisitos de la seguridad de la información
    • Un análisis de impacto en los requisitos de seguridad de la información (evalué si las necesidades de la seguridad de la información han de mantenerse en el mismo nivel ante situaciones de emergencia)

CASO PRACTICO:
REQUISITOS DE SEGURIDAD A PROVEEDORES

Si en nuestro plan de continuidad hemos analizado el impacto de un corte de electricidad y para asegurar el suministro eléctrico hemos contemplado sistemas de soporte como UPS, deberemos realizar una evaluación además de su correcto funcionamiento, de cómo esto afectaría a la seguridad de la información. Para ello deberemos tener en cuenta a modo de ejemplo:

  • ¿El sistema de alimentación alternativo cumple con los requisitos de Seguridad de la Información?
  • ¿Cuánto tiempo puede estar el sistema operando sin fuente de alimentación estable?
  • ¿Cómo afectaría un fallo de más tiempo en la seguridad de la información?

No debe pasar por alto

Evite tener que hacer análisis adicionales para el impacto en la seguridad de la información:

  • Integre los requisitos de la seguridad de la información en la gestión de la continuidad del negocio
  • Incluya los aspectos de la seguridad de la información en los análisis de impacto en el negocio
  • Tenga en cuenta la seguridad de la información en los planes de recuperación ante desastres

17.1.2 Implementación de la continuidad de seguridad de la información

Se trata de implementar la gestión de la continuidad de la seguridad de la información ante situaciones de emergencia inesperadas

El objetivo será disponer de un plan con medidas concretas para restablecer la disponibilidad de la información en unos plazos identificados mediante unos planes de respuesta ante emergencias que tengan en cuenta la organización y sus recursos

Los principios de la implementación de un plan de continuidad son:

EL OBJETIVO

Mantener la Seguridad de la Información ante una emergencia o situación adversa

  • Establecer una Estructura de gestión que defina
    • Responsabilidades en la continuidad y recuperación de los sistemas
    • Niveles de competencia necesarios en cada función a desempeñar dentro del plan de continuidad
  • Designar a las personas que van a desempeñar las distintas funciones dentro del plan de continuidad de la seguridad de la información y la recuperación ante desastres.
  • Las funciones de la continuidad son:
    • Gestionar los incidentes de seguridad de la información
    • Mantener los niveles de seguridad de la información ante emergencias
    • Recuperar los sistemas de información
  • Documentación y procedimientos:
    Estas es otra de las funciones de los que forman parte del plan de continuidad de la seguridad de la información aunque la pongamos aparte.

Se trata de un control para que se establezcan procedimientos documentados donde se tenga en cuenta:

  • 1. Como se va a gestionar un evento destructivo para la seguridad de la información
  • 2. Como se va a mantener la seguridad de la información en un nivel mínimo planificado
  • 3. Asegure que se tienen en cuenta los objetivos de la o requisitos mínimos de para la continuidad de la seguridad de la información que hayamos definido en el punto anterior 17.1.1

Importante!

Veamos en que se traduce todo esto en tres puntos prácticos para implementar la continuidad de la seguridad de la información

  • 1. Considere todos los controles para la seguridad de la información dentro de los planes de continuidad de la Información y de recuperación ante desastres
  • 2. Desarrolle un procedimiento para ver que es necesario o cambiar o implementar dentro de la organización para mantener los controles de seguridad de la información durante situaciones de emergencia
  • 3. Explique cómo va a compensar los controles de seguridad que no puedan ser mantenidos en situaciones de emergencia.

En otras palabras, si los controles de seguridad no son capaces de continuar asegurando la información, deberían establecerse controles alternativos para mantener un nivel aceptable de seguridad de la información

Tenga en cuenta también

Involucre a los especialistas en Seguridad de la Información en las tareas de continuidad del negocio de forma que apoyen no solo en la aplicación si no la definición de los controles necesarios.

17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información

Las cláusulas de revisión permiten que un sistema se mantenga vivo en el tiempo. Para ello deberemos revisar periódicamente.

  • La aplicabilidad de los controles
  • El alcance del plan de continuidad en el sentido en que no queden nuevos activos de información fuera del plan de continuidad
  • Revisar la implicación del personal en las tareas de recuperación verificando que todo el mundo esté al tanto de sus responsabilidades al respecto

No debe pasar por alto…

La puesta en marcha de un plan de continuidad del negocio efectivo pasa por atender a este punto con rigurosidad

Tenga en cuenta que…

Solo cuando sucede algo que requiere que el Plan de Continuidad del Negocio se ponga en acción es cuando se detectan verdaderamente los problemas.

Si a la hora de enfrentar una situación real de la materialización de una amenaza nos damos cuenta que:

  • No se ha establecido una cadena de mando clara,
  • La respuesta esperada del equipo de TI no se produce,
  • Las copias de seguridad no tienen los datos esperados
  • El personal y los clientes no están seguros de lo que está sucediendo

Entonces estamos ante un plan de continuidad que más que ayudarnos causara la ruina de nuestro negocio

Un plan de continuidad no tiene porque forzosamente ser algo inasumible en costes y recursos pero puede sin embargo evitar que nuestro negocio naufrague ante la primera dificultad seria a la que nos enfrentemos

Un plan de continuidad creado y revisado por expertos de seguro será una herramienta a la que le sacaremos partido

Si no tiene un plan de continuidad del negocio, le ayudaremos a crearlo y a probarlo.

Objetivo 2: Redundancia

Garantizar la disponibilidad de las instalaciones de procesamiento de información

Se trata de identificar los activos de información que requieran ser dotados de redundancia atendiendo a la exigencia de los procesos en los que están involucrados

17.2.1 Disponibilidad de las instalaciones de procesamiento de información

Como hemos mencionado en la introducción a este objetivo, puede que en nuestra organización tengamos determinados activos de información que requieran una disponibilidad más allá de mantener simples copias de seguridad que requieren de un proceso de recuperación.

En tal caso las exigencias de disponibilidad pueden aconsejar el mantenimiento de sistemas redundantes que nos permitan reaccionar en tiempo real a la caída de sistemas o activos de información estratégicos

En tal caso deberemos realizar los siguientes pasos:

  • Identificar que sistemas de información por su arquitectura no pueden garantizar la disponibilidad exigida por los procesos del negocio sin un sistema de respaldo
  • Analizar la viabilidad de sistemas redundantes
  • Realizar pruebas tanto de buen funcionamiento de los sistemas redundantes como de transición sin interrupciones de un sistema principal a un sistema redundante