Seguridad | Norma ISO 27001|Continuidad Negocio | Control A17

By
Orlando Muñiz Arreola
-
0
1776

Estándares y metodologías ISO 27001. ¿Los conocés?

Implementar TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e IMPLEMENTAN adecuadamente estas normas, tal es el caso de los estándares ISO.

Dado que hablamos de seguridad y nos referimos específicamente a la información, estos artículos harán referencia a los Controles de Seguridad bajo el estándar de ISO 27001, y por lo que sucede actualmentes en el mundo, haremos mención al último de los tres controles que deberían ser completa y correctamente implementados en el corto plazo:
control A17. Aspectos de seguridad de la información para la gestión de continuidad del negocio.

A17. Este control basa su diseño en dos premisas fundamentales: primero las redundancias y segundo la continuidad en la seguridad de la información.

ISO 27001 es la Norma encargada de la Gestión de la SEGURIDAD de la Información

Ciertamente este es un tópico actual y más vigente que en el pasado, pues bajo el entorno mundial al que nos enfrentamos, podemos apuntar que la subsistencia de millones de negocios, independientemente de su tamaño, se deberá en gran parte a su capacidad, flexibilidad y AGILIDAD para retomar operaciones posteriores a un evento catastrófico o una intervención humana con fines maliciosos.

  • Control A9 referido al Control de Acceso, Ver Primera Parte
  • Control A12 Seguridad de las operaciones, Ver Segunda Parte
  • Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio, Parte 3 y ultima, tema de este artículo

Un reto que hoy más que nunca, debe ser abordado firme y metodológicamente.

Redundancia.

Relativo a la premisa de “redundancia”, está característica está íntimamente ligada a la fase de concepción y diseño de solución de infraestructura TIC ya sea que tengamos una infraestructura  con un proyecto de actualizarla o inclusive, que exista el plan de adquirir TIC nueva. Para ambas opciones  el punto de partida es siempre un diseño sólido, para en base a este, proceder con una implementación robusta.

Es desde esta fase que se requiere evitar que existan “puntos sencillos de falla”, SPOF por sus siglas en inglés, para lo cual no necesariamente se debe duplicar todo y por lo tanto incrementar por 2 la inversión, pero sí se debe de contemplar que los elementos críticos de la infraestructura siempre tengan características de redundancia, ya sea lógica u operativa, que permitan que, en caso de fallo, el elemento TIC, la vía, el SW, la ruta, la conexión, el arreglo…. redundante entre “al quite” y asuma la carga operativa de manera automática sin afectaciones mayores, salvo tal vez una disminución aceptable en los tiempos de respuesta, en las aplicaciones de negocio clave relacionadas y preferentemente en todo el ambiente operativo.

Control de Seguridad A12: Aspectos de seguridad de la información para la gestión de continuidad del negocio.

Recordemos, este control contiene dos Objetivos:

  1. Redundancia
  2. Continuidad en la Seguridad de la Información.

Por esta razón, no importa en estado actual de la infraestructura TIC, el reto es jerarquizar apropiadamente los sistemas en relación a su valor e impacto al negocio, para definir apropiadamente cuáles elementos deben ser redundantes y actuar en consecuencia.

Continuidad en la Seguridad de la Información

Pasando a la segunda premisa, la cual es parcialmente consecuencia de la primera, la continuidad en la seguridad de la información, nos lleva al análisis de cómo lograr una máxima disponibilidad de acceso a la información contenida en la infraestructura TIC, siendo esto en sí mismo un proyecto complejo y ambicioso, pero en extremo necesario: un plan de continuidad de negocio BCP por sus siglas en inglés, en el cual no sólo es requerida la participación activa de él área TIC, sino que DEBE de ser motivo del involucramiento, participación activa y responsabilidad compartida, de TODAS LAS ÁREAS DIRECTIVAS DE LA EMPRESA.

Una forma de elaborar y ejecutar el BCP se basa en organizar, promover y administrar este proyecto de una manera formal y oficial dentro de la organización. El foco debe ser en el desarrollo de los procesos e interacciones entre los participantes claves para orientarse a obtener los objetivos planteados en el BCP.
El soporte y apoyo activo de la alta dirección es vital para el éxito, tanto en el diseño como en la ejecución, del plan de recuperación en caso de contingencias. Esto se sustenta en el entusiasmo, credibilidad y visibilidad que ellos mismos den al plan, empezando por su grado de involucramiento y soporte al proyecto BCP.

Plan de Contingencia

Un plan de contingencia debe contar, entre otros elementos, con al menos los siguientes apartados:

  • Lanzamiento y comunicación del proyecto BCM.
  • Análisis de el(los) impacto(a) al negocio en caso de desastre.
  • Elaboración de estrategias de prevención y contención.
  • Diseñar, escribir, publicar y comunicar el BCP.
  • Probar el plan vía simulacros y ajustar de ser necesario.
  • Definir responsables para anunciar e iniciar el BCP.

Como hemos podido ver, y basado en los tres artículos de esta serie, la seguridad se ha convertido, aunque antes también pero pasaba “desapercibida” en una disciplina que requiere atención prioritaria y urgente con el objetivo de solidificar el uso de la TIC y por ende, la continuidad de la operación del negocio.
Implementar bajo metodologías probadas, y en este caso bajo el marco ISO 27001, retribuye en beneficios claros y contundentes para maximizar la disponibilidad, seguridad y consistencia de la información, existen socios tecnológicos versados en el tema, vale la pena contactarlos para evaluar la situación particular actual y actuar en consecuencia.

Planear, hacer, verificar, actuar. Ciclo de mejora continua.

En resumen, para alinear nuestra TIC a cumplir diferentes objetivos de negocio, y en este caso particular el de maximizar la disponibilidad y lograr una recuperación exitosa y expedita de nuestros sistemas, es INDISPENSABLE que todo el personal de nuestra empresa sea CORRESPONSABLE en la definición, ejecución, cumplimiento
y MEJORA CONTINUA del plan de seguridad de la información, pues de ella, la información, “vive” nuestra empresa y sin ella estamos a merced de nuestros competidores y de las leyes del mercado.

CLARO, SIMPLE, CONTUNDENTE Y CONGRUENTE.

En SERVICES4iT estamos genuinamente comprometidos en desarrollar soluciones tecnológicas que permitan que las organizaciones como la tuya logren sus objetivos de Negocio utilizando la tecnología correcta.

¿Cómo te Apoyaremos durante esta cuarentena?

Te daremos las mejores recomendaciones para poder llevar la operación de TI de tu Oficina a casa de manera segura:

  • Conexiones VPN Seguras y Telefonía IP (En tu Smartphone o Laptop).
  • Ciberseguridad (Ver artículo “Ciberseguridad en Casa”)
  • Soporte Técnico Remoto (Ver Sitio de Soporte)
  • Servicios de Nube para llevar tus aplicaciones a Nube Pública (IaaS y SaaS)
  • Servicios de Protección en Nube con Servicios de BaaS (Backup as a Service) y Disaster Recovery as a Service (DRaaS). (Ver artículo “¿Que es BaaS y DRaaS?”) y Nuestro Servicio sin costo por 30 días de PROTEGER.MX. Presiona Aquí. 
  • Presiona la siguiente imagen para mayor Información.

Deseándoles Salud y que sus Organizaciones sigan Productivas ayudando a que nuestra economía siga moviéndose.

LEAVE A REPLY

Please enter your comment!
Please enter your name here