Control A17, Continuidad del Negocio, ISO 27001

por | Jun 10, 2021 | Controles ISO 27001, Gestión de la Seguridad, Implementando ISO 27001

Parte 3. Conociendo en implementando aspectos de seguridad de la información en la gestión de la continuidad del negocio bajo estándares y metodologías de la Norma ISO 27001. Control A17.

Administrar infraestructura TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e implementan adecuadamente estas normas, tal es el caso de los estándares ISO y en particular de la Norma ISO 27001 relativa a Gestión de la Seguridad de la Información.

En estos tiempos de distanciamiento social por la Pandemia, nos encontramosrealizamos Home office o Teletrabajo y por ello debemos de poner especial foco y análisis sobre las amenazas globales a nuestra infraestructura TIC, incluyendo la que utilizamos en casa y por supuesto a nuestra Información empresarial en ella contenida.

Hacerlo de esta forma da el valor a la adecuada toma de decisiones estratégicas, la cual está en riesgo continuo de ser bloqueada o inhabilitada por factores y acciones naturales o humanas, y, por lo tanto, de quedar fuera de operaciones con las desastrosas consecuencias que traería al negocio.

Continuidad del Negocio durante la Pandemia COVID-19

Dado que hablamos de seguridad y nos referimos específicamente a la información, esta serie de artículos harán referencia a los Controles de Seguridad, Norma 27001.

Debido a la situación mundial actual en términos de Ciberseguridad, mencionaremos tres de ellos que deberían ser completa y correctamente implementados en el corto plazo, dado su alto impacto negativo a las operaciones y por lo común de su incidencia en ambientes TIC:

  • Control A9 referido al Control de Acceso, Parte 1.
  • Control A12 Seguridad de las operaciones, ISO 27001. Parte 2
  • Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio. Motivo de este artículo.

Si deseas conocer el grado de madurez en términos de la Seguridad de la Información, realiza un Cuestionario ISO 27001 en línea sin costo.

Como ya definimos, y dada nuestra realidad y las tendencias informáticas de ciberseguridad para este año 2021, iniciamos con el primero de ellos.

Control A17. Gestión de continuidad del negocio

Este control basa su diseño en dos premisas fundamentales: primero las redundancias diseñadas desde el proceso de arquitectura TIC, y segundo, la continuidad en la seguridad de la información.

“Ciertamente este es un tópico actual y más vigente que en el pasado pues bajo el entorno mundial al que nos enfrentamos”

Podemos apuntar que la subsistencia de millones de negocios, independientemente de su tamaño, se deberá en gran parte a su Capacidad, Flexibilidad y Agilidad para retomar operaciones posteriores a un evento natural catastrófico o a una intervención humana con fines maliciosos.

Un reto que hoy más que nunca, debe ser abordado firme y metodológicamente.

Redundancia en la Continuidad del Negocio

Relativo a la premisa de “redundancia”, está característica está íntimamente ligada a la fase de concepción y diseño de solución de infraestructura TIC, ya sea que tengamos una infraestructura operando, que tengamos el proyecto de actualizarla, o inclusive, que exista el plan de adquirir toda una TIC nueva.

En todos los casos, el punto de partida es siempre un diseño apropiado y robusto, para en base a este, proceder con una implementación que contemple una contingencia operativa.

Es desde esta fase que se requiere evitar que existan “puntos sencillos de falla”, SPOF (No Single Point of Failure) por sus siglas en inglés, para lo cual no necesariamente se debe duplicar todo y por lo tanto incrementar por dos la inversión.

Sin embargo, se debe de contemplar que los elementos críticos de la infraestructura siempre tengan características de redundancia, ya sea lógica u operativa, que permita que, en caso de fallo, el elemento TIC, la vía, el SW, la ruta, la conexión, el arreglo…. redundante entre “en modo contingencia” y asuma la carga operativa de manera automática sin afectaciones mayores.

Tal vez, salvo tal vez una disminución aceptable en los tiempos de respuesta con foco en las aplicaciones de negocio clave relacionadas y preferentemente en todo el ambiente operativo.

Por esta razón, no importa el estado actual de la infraestructura TIC, el reto es jerarquizar apropiadamente los sistemas y TODOS sus componentes en relación con su valor e impacto al negocio, para definir apropiadamente cuáles elementos deben ser redundantes y actuar en consecuencia.

Continuidad en la Seguridad de la Información

Pasando a la segunda premisa, la cual es parcialmente consecuencia de la primera, la continuidad en la seguridad de la información nos lleva al análisis de cómo lograr una máxima disponibilidad de acceso a la información.

¿Cómo lograr maximizar la disponibilidad de la información contenida en la infraestructura TIC?

Es en sí mismo un proyecto complejo y ambicioso, pero en extremo necesario.

“Un plan de continuidad de negocio o BCP por sus siglas en inglés, en el cual no sólo es requerida la participación del área TIC, sino que DEBE de ser motivo del involucramiento, participación y responsabilidad compartida, de TODAS LAS ÁREAS DIRECTIVAS DE LA EMPRESA”

Cómo elaborar un BCP

Una forma de elaborar y ejecutar el BCP se basa en organizar, promover y administrar este proyecto de una manera formal y oficial dentro de la organización.

El foco debe ser en el desarrollo de los procesos e interacciones entre los participantes claves para orientarse a obtener los objetivos planteados en el BCP. El soporte y apoyo activo de la alta dirección es vital para el éxito, tanto en el diseño como en la ejecución, del plan de recuperación en caso de contingencias. Esto se sustenta en el entusiasmo, credibilidad y visibilidad que ellos mismos den al plan, empezando por su grado de involucramiento y soporte al proyecto BCP.

Componentes de un Plan de Contingencia

Un plan de contingencia basado en la Norma ISO 27001 debe contar, entre otros elementos, con al menos los siguientes apartados:

  • Lanzamiento y comunicación del proyecto BCP.
  • Análisis del(los) impacto(a) al negocio en caso de desastre.
  • Elaboración de estrategias de prevención y contención.
  • Diseñar, escribir, publicar y comunicar el BCP.
  • Probar el plan vía simulacros y ajustar de ser necesario.
  • Definir responsables para anunciar e iniciar el BCP.

Como hemos podido ver, la seguridad se ha convertido, aunque antes también, pero pasaba “desapercibida”, en una disciplina que requiere atención FORMAL, prioritaria y urgente con el objetivo de solidificar el uso de la TIC y, por ende, la continuidad de la operación del negocio.

Implementar bajo metodologías probadas, y en este caso bajo el marco ISO 27001, retribuye en beneficios claros y contundentes para maximizar la disponibilidad, seguridad y consistencia de la información.

Al tomar el cuestionario en línea de ISO 27001, podrás evaluar la situación particular actual y actuar en consecuencia.

Planear, hacer, verificar, actuar.

Ciclo de mejora continua.

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos