Maricarmen García - SecureInformationTechnologies

Integración de Continuidad del Negocio con Seguridad de la Información ISO 27001

PwC

Agenda:

Introducción

El ISO 27001

Integración de Continuidad del Negocio con Seguridad de la Información

Conclusiones

Preguntas

PwC

Introducción

Fuente: SecureInformationTechnologies - ejemplo

PwC

Introducción

Fuente: SecureInformationTechnologies – Ejemplo

PwC

Introducción

"Preservación de la Confidencialidad, integridad y disponibilidad… “

* Fuente: ISO 27002

"El único sistema totalmente seguro es aquel que esta apagado, desconectado, guardado en una caja fuerte de titanio, encerrado en un bunker de concreto,

rodeado por gas venenoso y cuidado por guardias bien armados y pagados. Aún así no apostaría mi vida por él”* Fuente: Eugene H. Spafford

PwC

Introducción

Un Sistema de Gestión de Seguridad de la Información (SGSI), protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.

* Fuente: Maricarmen García

PwC

El ISO 27001

Finca las bases para una implementación de un Sistema de

Gestión de Seguridad de la Información SGSI, así conforme con el

estándar es posible cumplir con los requerimientos en caso de buscar una

certificación.

PwC

Estructura de la norma ISO 27001

PwC

ISO/IEC 27001

Norma ISO/IEC 27001

ISO/IEC 27001:2005 -Requerimientos para la Gestión de Seguridad de la InformaciónParte 1

ISO/IEC 27002Código de Práctica para la Seguridad de la InformaciónParte 2

PwC

Modelo PDCA de ISO/IEC 27001:2005

PwC

ISO/IEC 27002Código de Práctica para la

Seguridad de la Información

0. Introducción

1. Alcance

2. Términos y definiciones

3. Estructura de la Norma

4. Evaluación y tratamiento de riesgo

5. Política de Seguridad

6. Organización de Seguridad de la Información

7. Administración de Activos

8. Seguridad de los Recursos Humanos9. Seguridad física y

del ambiente

10. Administración de las comunicaciones y operaciones

11. Control de Acceso

12. Adquisición, desarrollo y mantenimiento de sistemas de información

13. Administración de incidentes de seguridad de la información

14. Administración de la Continuidad del Negocio

15. Cumplimiento

Bibliografía

Indice

Estructura del ISO 27002

PwC

Estructura de ISO 27002 (clausulas de control)

PwC

Las razones por las que un control como el de Continuidad del Negocio debe ser completamente implementado son:

• Está justificado por la exposición al riesgo• Evalúa anticipadamente las limitantes financieras

y provisiona los recursos necesarios para la continuidad

• Algunas medidas no son técnicamente factibles, pero deben de ser consideradas las alternativas mediante estrategias de continuidad

• Identifica las limitantes sociológicas• Algunos requerimientos no pueden ser

implementados ahora, por lo que deben ser gestionados previamente

PwC

Anexo A.14.1 Continuidad del negocio

A.14.1.1. Incluir a la Seguridad de la Información en el proceso de administración de Continuidad del Negocio

A.14.1.2. Continuidad del Negocio y Análisis de Riesgos

A.14.1.3. Desarrollo e implementación de Planes de Continuidad incluyendo la Seguridad de la Información

A.14.1.4. Marco de trabajo de la planeación de la Continuidad del Negocio

A.14.1.5. Pruebas, mantenimiento y reevaluación de los Planes de Continuidad del Negocio

Integración de Continuidad del Negocio en ISO 27001

PwC Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011

Integración de Continuidad del Negocio en ISO 27001 – Principales Amenazas de seguridad

PwC

Integración de Continuidad del Negocio en ISO 27001

ISO 27001 requiere garantizar la continuidad de los procesos que se protegerán conforme al valor que

aportan en la empresa, por lo que es importante identificar el método de

continuidad que se requiere conforme a dichos procesos.

PwC

Integración de Continuidad del Negocio en ISO 27001

Alternativas para el cumplimiento de A.14.1…

PwC

BS 25999 -1

Fuente: British Standards Institution – BS25999-2:2007

Integración de Continuidad del Negocio en ISO 27001

PwC

Fuente: British Standards Institution – BS25999-2:2007

BS 25999 - 2

Integración de Continuidad del Negocio en ISO 27001

PwC

Integración de Continuidad del Negocio en ISO 27001

ISO 27031

PwC

Beneficios de integración

• Preservar el valor de la organización• Gestionar riesgos relacionados con el uso de

información• Evaluar estrategias de continuidad conforme a

los riesgos de seguridad detectados sin perder de vista el impacto en el negocio

• Asegurar la continuidad operativa• Mejorar el servicio• Mantener y mejorar la imagen de la institución• Mejorar la eficiencia

PwC

Conclusiones:

La implementación exitosa de Seguridad de la

información requiere de un programa de

continuidad detallado y estratégico y sobre todo

requiere que sea ideado y conducido para operar

de forma segura en el momento en que se requiere

activar la continuidad del negocio.

Lo fundamental es que quienes conforman la alta

dirección, tengan completa claridad en cuánto a las

razones de la implementación conforme a mejores

prácticas de continuidad y cuál será el resultado

final.

PwC

CONSULTAS

Maricarmen GarcíaSecureInformationTechnologies |

Directora GeneralPhone : (55) 5524-8091

E-mail : maricarmen.garcia@secureit.com.mx

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication

without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent

permitted by law, PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.

© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of

which is a separate legal entity. |