Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 1 SISTEMA DE GESTION DE SEGURIDAD INFORMÁTICA MOMENTO 3 GUÍA DE ACTIVIDADES UNIDAD NO.2 PRESENTADO POR: GILBERT JAIR SANCHEZ AVILA GRUPO 233003_7 PRESENTADO A: MSC. ALEXANDER LARRAHONDO N. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGIA E INGENIERIA ESPECIALIZACION EN SEGURIDAD INFORMATICA OCTUBRE 2015 D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 2 CONTENIDO Página: 1.INTRODUCCION ................................................................................................................... 3 2.OBJETIVOS ........................................................................................................................... 4 3. NORMA ISO 27001: 2013 .................................................................................................... 5 4. DECLARACIÓN DE APLICABILIDAD ................................................................................. 8 5. PLAN DE CONTINGENCIA EMPRESA XXX S.A ................................................................. 9 6.PLAN DE CONTINUIDAD DEL NEGOCIO EMPRESA XXX S.A ....................................... 15 7. APLICACIÓN FASES PLAN DE CONTINUIDAD DE NEGOCIO EMPRESA XXX S.A .... 23 8.CONCLUSIONES . .............................................................................................................. 30 9.REFERENCIAS . ................................................................................................................. 31 Anexo 1:DECLARACION DE APLICABILIDAD (SOA) .......................................................... 33 Anexo 2:FORMATOS AUTOEVULUACION GRUPAL........................................................... 52 D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 3 1. INTRODUCCION Las organizaciones consideran su información como un factor vital o podría definirse como su activo más importante. Sin embargo y aunque la organización tuviera a su alcance recursos ilimitados procurando garantizar un nivel de protección total de la información, esta es una tarea virtualmente imposible, puesto que la información se encuentra expuesta a innumerables amenazas que atentan contra su integridad. Por tal razón y a través del conocimiento y experiencia de muchas organizaciones y personas a través del tiempo se han documentado todos los procesos que han surgido al interior de las organizaciones a través de diversas situaciones y se han propuesto normativas internacionales que permiten unificar los procedimientos de construcción, manejo, almacenamiento y transmisión de la información, para reducir los riesgos y proponer las medidas necesarias contra los mismos. La empresa XXXX S.A. es una mediana empresa de capital privado, dedicada al desarrollo, comercialización y mantenimiento de aplicaciones bancarias, que se basa en tecnologías Web y Criptográficas. La arquitectura de las aplicaciones ofrecidas a los clientes está basada en tecnologías web y siguen la estructura de aplicaciones de 3 capas. La empresa XXXX S.A. requiere la implantación de un sistema de gestión de la seguridad de la información que permita gestionar sus riesgos preservando los tres pilares de la información: su integridad, confidencialidad y disponibilidad. La norma ISO 27001proporciona una metodología que permite implementar la gestión de la seguridad de la información en cualquier tipo de empresa u organización. La revisión más reciente de la normativa fue publicada en 2013 bajo el nombre de ISO/IEC 27001:2013. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 4 2. OBJETIVOS Objetivo general: Aplicar la norma ISO/EIC 27001:2013 y plan de continuidad del negocio profundizando en los temas propios de SGSI en la empresa ficticia xxxx.S.A. Objetivos específicos: ➢ Reconocer la norma ISO/EIC 27001:2013 para implementarla en el SGSI. ➢ Identificar los capítulos que contiene la norma ISO/EIC 27001:2013 ➢ Aplicar la declaración de aplicabilidad (SOA Statement Of Applicability) ➢ Realizar el plan de continuidad del negocio D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 5 3. NORMA ISO 27001: 2013 La norma ISO 27001: 2013 aplica una estructura de alto nivel ISO/IEC esto implica que se manejan los mismos apartados y términos comunes. Los numerales o capítulos en los cuales se divide la norma son los siguientes: 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planeación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 6 Figura 1. Norma ISO/EIC 27001:2013 Fuente. http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20- %20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 7 Dominios ISO 27001 La siguiente tabla muestra la diferencia entre la norma ISO 27001:2005 y la norma ISO 27001:2013 D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 8 4. DECLARACIÓN DE APLICABILIDAD ¿Qué es una Declaración de Aplicabilidad? SoA se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad).1 Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos: •Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. •Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (aveces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada. •Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza2 Veamos la Declaración de Aplicabilidad empresa XXX S.A (Anexo No.1) 1Miguel Ángel Mendoza. Que es una declaración de aplicabilidad.[en linea]<http://www.welivesecurity.com/laes/2015/04/01/que-es-declaracion-de-aplicabilidad-soa />[citado 7 octubre del 2015] 2 Dejan Kosutic. La importancia de la Declaración de aplicabilidad para la norma ISO 27001. [en linea]: <http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la- norma-iso-27001 /> [citado 7 octubre del 2015] http://www.welivesecurity.com/laes/2015/04/01/que-es-declaracion-de-aplicabilidad-soa%20/ http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001%20/ http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001%20/ D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 9 5. PLAN DE CONTINGENCIA EMPRESA XXX S.A Sirve para dar respuesta de manera planificada y organizada a eventos en este caso los riesgos, amenazas y fallas en las tecnologías de información que puedan interrumpir o perjudicar el normal funcionamiento de una organización, dotándola de capacidad para restablecer operaciones en el ámbito de las tecnologías de la información y del negocio , para esto se usan medidas técnicas , administrativas y de personal para garantizar la continuidad de un negocio , es un componente más del plan de negocio de una organización. Podemos establecer medidas preventivas resumiéndolas para los riesgos más comunes, vamos a ver algunos ejemplos: MEDIDAS PREVENTIVAS 1. SEGURIDAD CONTRA INCENDIOS RIESGO: Incendio o fuego RESPONSABLE: departamento de cómputo MEDIDAS TECNICAS: En los centros de datos y lugares donde se cuentan con equipos de Computación, deberán usar archivadores de material ignifugo para proteger los equipos y documentación crítica. También Realizar un mantenimiento periódico a las instalaciones eléctricas, de por lo menos dos veces al año, que permitan prevenir cortos circuitos, tener los equipos ventiladores en especial los servidores ,configurar la BIOS de los equipos para que funcionen a una temperatura adecuada. .MEDIDAS ADMINISTRATIVAS: Prohibir fumar dentro del centro de cómputo, también contar con los números de emergencia de los bomberos, tener copias de seguridad a la mano, contar con salidas de emergencia. MEDIDAS HUMANAS: capacitar al personal en el uso extintor. 2. SEGURIDAD DESASTRES NATURALES RIESGO: desastres naturales como terremoto o inundación RESPONSABLE: departamento de cómputo MEDIDAS TECNICAS: usar discos duros hotswap de extracción en caliente, estos discos se pueden quitar si el computador esta prendido, esto en caso de algún movimiento anormal, tener copias de seguridad o backup en un sitio seguro y realizar constantemente esta labor de copias de seguridad. MEDIDAS ADMINISTRATIVAS: etiquetar los computadores con una cinta de colores según su prioridad a la hora de ser movidos de un sitio a otro en un eventual plan de evacuación, por ejemplo etiqueta roja los que tiene la información más crítica de la empresa como los servidores, amarilla a las CPU donde esta almacenada información contable, corporativa o de BD y verde a los equipos con contenido normal MEDIDAS HUMANAS: capacitar al personal en primeros auxilios, contar con salidas de emergencia y explicarles o hacer un simulacro de evacuación de instalaciones. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 10 3. SEGURIDAD FISICA RIESGO: Acceso no autorizado y Manipulación de la configuración (A.11, A.4)y Robo (A.25) RESPONSABLE: Departamento de computo MEDIDAS TECNICAS: en el caso del software realizar un inventario de este y en que equipos se ha instalado, configurado y cuando ha sido dado de baja , tener un inventarios de los códigos fuentes de los aplicativos almacenado en un sitio seguro, también usar materiales ignifugo para almacenar la documentación ,software y medios electrónicos importantes ,en el caso del hardware contar con un sistema de alarmas de detección de apertura de puertas y roturas ventanas que funcione autónomamente, también realizar un inventario de activos hardware cada 3 meses. MEDIDAS ADMINISTRATIVAS: contar con una póliza de seguro para este tipo de incidente, establecer políticas de acceso a las instalaciones y políticas en el uso de los equipos MEDIDAS HUMANAS: que el personal cuente con sus tarjetas de identificación a todo momento, capacitar al personal en el uso de los equipos informáticos 4. GESTION DE CAMBIO EN LOS SISTEMAS DE INFORMACION RIESGO: Errores en la configuración, Errores del administrador (E.4, E.2), Acceso no autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto (A.7). RESPONSABLE: Departamento de computo MEDIDAS TECNICAS: Tener un log de auditoría para verificar que personas acceden a los sistema de manera no autorizada, establecer privilegios de acceso a los aplicativos , también establecer mecanismos de contraseñas. MEDIDAS ADMINISTRATIVAS: Tener un registro de las características del software que tienen y sus actualizaciones registrando fecha, hora y responsable, también solo el personal autorizado podrá hacer modificaciones al software MEDIDAS HUMANAS: capacitar al usuario en el uso de aplicativos y sistema operativo, capacitar al usuario en aspectos de seguridad informática. 5. OPERABILIDAD SISTEMAS DE INFORMACION RIESGO: Avería de Origen físico o lógico de los equipos (I.5), Caída del sistema por agotamiento de recursos informáticos (E.24), Difusión de software dañino (E.8), Errores en la configuración, Errores del administrador (E.4, E.2),Acceso no autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto (A.7). RESPONSABLE: Departamento de cómputo D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 11 MEDIDAS TECNICAS: El software deberá tener algún mecanismo de rollback para volver a su estado original en caso de que las modificaciones adicionales le produzcan daños en su configuración y parámetros, tener versiones previas de este en caso de que las nuevas versiones no funcionen adecuadamente, disponer de un mecanismo que monitoree los cambios y problemas en los sistemas de información. MEDIDAS ADMINISTRATIVAS: Disponer de procedimientos documentados de los sistemas críticos de la empresa como: bases de datos, servidor de aplicaciones, servidor de correo, servidor web, copias de seguridad y respaldo de datos e información, también tener a la mano los números de teléfono del personal de soporte esto en caso deuna emergencia. MEDIDAS HUMANAS: solamente el personal autorizado realizará las modificaciones pertinentes al software 6. SEPARACION DE AMBIENTES DE DESARROLLO Y AMBIENTE DE PRODUCCION RIESGO: Errores en la configuración, Errores del administrador (E.4, E.2), Acceso no autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto (A.7). RESPONSABLE: Departamento de computo MEDIDAS TECNICAS: realizar pruebas al software antes de pasarlo a producción , revisando su código fuente , revisando que tenga medidas de seguridad como contraseñas , revisando si aparece algún bug o error de máquina , probarlo con datos ficticios y si ejecuta el resultado según lo planeado. MEDIDAS ADMINISTRATIVAS: se deben crear políticas y documentación de los códigos fuentes, establecer procedimientos de control para que todos los movimientos o transacciones rechazados por el sistema que ayuden a comprobar que los datos erróneos para el sistema sean registrados, corregidos, alimentados correctamente y actualizados). MEDIDAS HUMANAS: el personal informático calificado aprobara y realizara la transferencia al entorno de producción en caso de que el software pase las determinadas pruebas 7. DISPONIBLIDAD DE ACCESO A LA RED DE DATOS RIESGO: Avería de Origen físico o lógico de los equipos (I.5), Caída del sistema por agotamiento de recursos informáticos (E.24), Difusión de software dañino (E.8), Errores en la configuración, Errores del administrador (E.4, E.2),Acceso no autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto (A.7). RESPONSABLE: Departamento de computo D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 12 MEDIDAS TECNICAS: Los puertos de diagnóstico y configuración remotos, deberán estar normalmente desactivados y solo se los activa cuando se requiere realizar alguna tarea de mantenimiento en el equipo, mediante un proceso de autorización entre el responsable y el personal de soporte, tener mecanismos de redundancia en el caso de los routers , switches servidores, firewall entre otros , si hay puntos de red libres que no están siendo usados por algún equipo lo mejor es desconectarlos , lo mismo con los puertos de los switches que están libres se recomienda deshabilitarlos. MEDIDAS ADMINISTRATIVAS: establecer políticas para acceso a usuarios remoto establecer políticas para saber quién tiene acceso a la red, tener un diagrama de la estructura de la red para saber cómo está conformada y en caso de algún problema saber qué punto específico lo tiene y poder solucionarlo más rápidamente y acertadamente. MEDIDAS HUMANAS: Solo el usuario debidamente autorizado podrá acceder a la red. EQUIPOS PARA UN PLAN DE CONTIGENCIA Algunos de sus deberes son: ✓ Probar que las comunicaciones se hayan establecido adecuadamente ✓ Desarrollar y documentar las configuraciones de las comunicaciones de datos. ✓ Determinar el daño en la red de comunicaciones y asegurar la provisión del equipo de reemplazo. ✓ Coordinar la instalación del software del sistema operativo que permita la restauración de las comunicaciones. ✓ Ordenar e instalar el hardware necesario para establecer comunicaciones con las oficinas. ✓ Coordinar con entes externos por ejemplo con los ISPs para restaurar el servicio y ordenar las comunicaciones. ✓ Asegurar la disponibilidad de los respaldos necesarios en la recuperación. ✓ Restaurar archivos y sistema operativo en el sitio de recuperación. ✓ Elaborar calendarios de operaciones en el sitio de recuperación. ✓ En caso necesario, coordinar actividades necesarias para restaurar las facilidades en el sitio principal o en la nueva ubicación. ✓ Ordenar e instalar el hardware necesario para el procesamiento normal en el sitio permanente.3 3 Ing Andrea Granda.Diseño de un plan de contingencias deTICS para la empresa empresa eléctrica Centrosur. [en linea]<http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf>[citado 27 octubre del 2015] http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 13 NOTIFICACION DE UN PLAN DE CONTIGENCIA Podemos basarnos en este proceso en caso de que se de una contingencia, incluso se puede plasmar un formulario con estos campos: Nombre: Cargo: Descripción del evento: Reporte preliminar de daños: Número telefónico: Email: Ubicación: La respuesta se le puede dar vía telefónica, vía email o personalmente hablar con el implicado en el problema informático. Para verificar el desastre podemos tener en cuenta lo siguiente: Si el acceso a su área de trabajo está disponible, realice una inspección para evaluar el daño de los aspectos siguientes: ✓ Equipo electrónico (Estado: destruido, fácil de recuperar, disponibilidad de uso). ✓ Registros vitales: copias de archivos, manuales, documentación, etc. y datos en otros medios (computadoras personales, microfilm, etc.). Esto ayuda en determinar un plan de restauración o salvamento de recursos. ✓ Equipo de oficina, trabajo en proceso, formulario, misceláneos. Analice el estado de operación en el momento del desastre e identifique la pérdida de datos críticos. Evalúe el impacto en las operaciones si los datos deben ser restaurados desde respaldos. ✓ Obtenga una evaluación de daños en relación con lo siguiente: ✓ Tiempos de recuperación del equipo electrónico (computadoras personales, terminales y equipo de comunicaciones) ✓ Instalaciones físicas (condiciones ambientales, integridad de la estructura física, etc.)4 4 Ing Andrea Granda.Diseño de un plan de contingencias deTICS para la empresa empresa eléctrica Centrosur .[en linea] <http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf>[citado 27 octubre del 2015] http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 14 EJEMPLO DE MEDIDAS DE MITIGACION O RECUPERACION Una vez hechas las medidas preventivas podemos guiarnos por este formato: Figura 2.ejemplo de formato para establecer medidas de mitigación o de recuperación Fuente:http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 15 6. PLAN DE CONTINUIDAD DEL NEGOCIO EMPRESA XXX S.A La gestión de continuidad del negocio es el control 14, que estipula la norma ISO 27001 y en la guía práctica la ISO 27002; es importante tener en cuenta que actualmente la competitividad entre las organizaciones exige cada vez más la eficiencia en sus servicios; así como también la necesidad de asegurar la continuidad de sus operaciones, y de hacer frente de forma proactiva a incidentes graves de seguridad; brindando confianza a los funcionarios de las organizaciones y los grupos de interesados del entorno de la empresa tales como accionistas, las asociaciones de vecinos afectadas o ligadas, los sindicatos, las organizaciones civiles y gubernamentales que se encuentren vinculadas, etc. Entre las diferentes amenazas reales que se pueden presentar están las fallas de energía eléctrica,una inundación, un incendio o un robo, las cuales deben ser tratadas de forma preventiva para evitar, en caso de que éstas sucedan, que las pérdidas sean tan graves que afecten a la viabilidad del negocio, muchas organizaciones independientemente de su tamaño, fracasan o incluso desaparecen por la falta de procesos, mecanismos y técnicas que mitiguen los riesgos a los que están expuestas y garanticen una alta disponibilidad en las operaciones de su negocio. De este modo, es necesario que las organizaciones establezcan una serie de medidas técnicas, organizativas y procedimentales que garanticen la continuidad de las actividades o procesos de negocio en caso de tener que afrontar una contingencia grave. Entre alguna de los beneficios de un plan de continuidad del negocio están: ✓ Ventaja competitiva frente a otras organizaciones. ✓ Gestión preventiva de los riesgos ✓ Previene o minimiza las pérdidas ✓ Asegura la “resiliencia” de las actividades de negocio ante interrupciones. ✓ Menor riesgo de sufrir sanciones económicas al adaptarse a requerimientos regulatorios ✓ Asignación más eficiente de las inversiones en materia de seguridad: Objetivos. General: Definir un conjunto de procedimientos y estrategias para asegurar la reanudación oportuna y ordenada de los procesos de negocio u/o servicios informáticos críticos de la EMPRESA XXXX S.A., generando un impacto minio en caso de un incidente. Específicos: ✓ Proteger al personal y los activos de la EMPRESA XXXX S.A. ✓ Asegurar la continuidad de las operaciones de la EMPRESA XXXXS.A. ✓ Minimizar el proceso de toma de decisiones para los directivos de la EMPRESA XXXXS.A., durante un estado de contingencia. http://es.wikipedia.org/wiki/Asociaciones_de_vecinos http://es.wikipedia.org/wiki/Sindicato D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 16 ✓ Garantizar la reanudación de los procesos críticos de la EMPRESA XXXXS.A.,dentro de las márgenes de tiempo tolerables. ✓ Reducir los efectos negativos producidos por el caos. ✓ Minimizar la posibilidad de pérdida de información valiosa para la EMPRESA XXXXS.A. Evaluación y análisis de los Riesgos Es importante conocer y entender cuáles son los procesos de negocio que son esenciales dentro de la Empresa XXXX S.A. para la cual se va a desarrollar el Plan. El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situación o su importancia pueden poner en marcha, antes de lo deseable, el Plan de Recuperación de Negocio, este análisis debe centrarse en los procesos/actividades del negocio que se han considerado críticos. Tabla 1. Riesgos Empresa XXXX S.A Riesgo Nivel de Riesgo inaceptabl e en C, I o D Control Asociad o Alternativas de tratamiento seleccionad a Actividades a realizar por la organización y miembros No se tiene documento De la política de seguridad de la información C I D A5 Eliminar A.5.1.1 Declarar la política de seguridad de la información. No hay coordinación de las actividades de seguridad de la información C I D A6 Eliminar A.6.1.1 A.6.1.2 Elaborar un cronograma de actividades de seguridad de la información que involucre a todos los miembros de la organización No se realiza auditoría interna C I D A12 Eliminar A.12.7.1 Planificación de las auditorías internas de la organización No hay aproximación a la seguridad al tratar con los clientes C I D A18 Mitigar A.18.2.1 A.18.2.3 Revisar los requerimientos de seguridad de los activos No hay reglas sobre el uso aceptable de la información C I D A8 Eliminar A.8.1.3 Comenzar el proceso de documentación de las reglas sobre el uso aceptable de la información No existen perímetros de seguridad física ni controles físicos de entrada C I D A11 Mitigar A.11.1.1 A.11.1.2 Proveer a la organización de los controles necesarios de seguridad física No existe protección contra amenazas externas y ambientales C I D A11 Mitigar Proveer a la organización con las medidas de seguridad ante amenazas externas y ambientales No existe seguridad en el suministro de electricidad y servicios C I D A11 Mitigar A.11.1.4 Asegurar a la organización ante el suministro de electricidad y servicios No existe documentación de los procesos operativos C I D A12 Eliminar A.12.1.1 Comenzar proceso de documentación D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 17 No existe un control de cambios de las instalaciones para el procesamiento de la información y de los sistemas C I D A14 Mitigar A.14.2.2 Llevar un registro del control de cambios realizados a las instalaciones No existen criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones antes de la puesta en producción. C I D A14 Mitigar A.14.2.3 A.14.2.8 A.14.2.9 Establecer los criterios de aceptación y realizar el proceso de pruebas No hay seguridad en los servicios de red C I D A13 Mitigar A.13.1.1 A.13.1.2 Establecer los acuerdos sobre los servicios de la Red. No existe una adecuada manipulación de los medios removibles C I D A11 Mitigar A.11.2.7 Documentación de los procedimientos de manipulación de los medios removibles y capacitación a los usuarios No existe una revisión periódica de los permisos asignados a los usuarios C I D A13 Mitigar A.13.1.1 A.13.1.2 Establecer el procedimiento de revisión periódica de los permisos asignados a los usuarios. No existe un diagnóstico remoto ni protección de la configuración de puertos C I D A13 Mitigar A.13.1.2 Establecer los controles de protección de los puertos No existe una separación adecuada de las redes C I D A13 Mitigar A.13.1.1 A.13.1.2 A.13.1.3 Separa los grupos de servicios, grupos de usuarios No existen procedimientos para inicio de sesión de las estaciones de trabajo C I D A9 Mitigar A.9.4.2 Establecer el procedimiento de inicio seguro No existen controles para la auditoria del sistema ni la protección de herramientas de auditoria C I D A18 Mitigar A.12.7.1 Planificar las actividades de verificación y establecer los mecanismos de protección de las herramientas de auditoría. Impacto de las Amenazas Tomando como base el listado de amenazas propuesto por la metodología Magerit del anterior trabajo , se lista la valoración de amenazas a cada uno de los activos de la EMPRESA XXXX, S.A., La Escala de rango porcentual de impactos en los activospara cada dimensión de seguridad (Autenticidad (A), confiabilidad (C), integridad (I), disponibilidad (D) y la trazabilidad del servicio (T) que indica, el aseguramiento de que en todo momento se podrá determinar quién usó qué y en qué momento.) Activo/Amenazas Frecuenci a de la Amenaza [A] [C] [I] [D] [T] Activo de información D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 18 Bases de datos de S.I. [E.1] Errores de los usuarios 50 50% 100% [E.2] Errores del administrador 50 50% 100% [E.4] Errores de configuración 10 100% [E.14] Fugas de información 5 100% [E.16] Introducción de falsa información 5 100% [E.24] Caída del sistema por agotamiento de recursos 5 100% [A.4] Manipulación de la configuración 50 100% 50% [A.6] Abuso de privilegios de acceso 50 100% [A.17] Corrupción de lainformación 5 100% Software o aplicación Licencias S.O. [E.1] Errores de los usuarios 50 20% 75% 75% [E.4] Errores de configuración 50 50% 50% 50% 100% [E.18] Destrucción de la información 10 100% Sistema de Gestión de Proyectos E.2] Errores del administrador 50 [E.20] Vulnerabilidades de los programas (software) 10 50% 50% 50% 100% [E.21] Errores de mantenimiento / actualización de programas (software) 10 50% [A.11] Acceso no autorizado 10 Hardware Servidores (WEB, DNS, Aplicaciones, BD, ficheros, etc) [E.1] Errores de los usuarios 50 20% 75% 75% [E.2] Errores del administrador 10 50% 50% 50% 100% [E.4] Errores de configuración 10 50% 50% 50% 100% [E.18] Destrucción de la información 5 100% [I.6] Corte de suministro electrónico 70 100% [I.8] Fallo de servicios de comunicaciones 70 100% N.*] Desastres naturales 5 100% [I.7] Condiciones inadecuadas de temperatura o humedad 5 100% D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 19 [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 100% A.6] Abuso de privilegios de acceso 5 100% Computadores y portátiles E.1] Errores de los usuarios 70 20% 75% 75% [E.4] Errores de configuración 50 50% 50% 50% 100% [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 100% [A.6] Abuso de privilegios de acceso 10 100% Red Firewall [E.2] Errores del administrador 50 50% 50% 50% 100% [E.21] Errores de mantenimiento / actualización de programas (software) 10 100% [A.11] Acceso no autorizado 5 100% [I.7] Condiciones inadecuadas de temperatura o humedad 10 100% Swicth, Acces Point [I.6] Corte de suministro electrónico 50 100% [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 100% [A.6] Abuso de privilegios de acceso 5 100% Equipamiento auxiliar UPS [I.7] Condiciones inadecuadas de temperatura o humedad 10 100% [N.*] Desastres naturales 5 100% [E.24] Caída del sistema por agotamiento de recursos 5 100% Aire acondicionado [I.7] Condiciones inadecuadas de temperatura o humedad 10 100% [N.*] Desastres naturales 5 100% [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 100% Instalación Cableado estructurado [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 100% [I.7] Condiciones inadecuadas de temperatura o humedad 50 100% Servicios Servicio de Conectividad a internet D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 20 [I.8] Fallo de servicios de comunicaciones 50 50% 100% Servicios de mantenimiento [E.23] Errores de mantenimiento / actualización de equipos (hardware) 10 50% 100% Servicios de desarrollo [E.10] Errores de secuencia 50 100% 20% 50% [E.14] Fugas de información 10 50% 100% [E.15] Alteración de la información 5 100% Personal Administradores de infraestructura tecnología [N.*] Desastres naturales 5 100% [E.3] Errores de monitorización (log) 10 100% [E.14] Fugas de información 5 50% 100% [A.4] Manipulación de la configuración 10 50% 100% [A.28] Indisponibilidad del personal 50 100% Desarrolladores [N.*] Desastres naturales 5 100% [E.14] Fugas de información 10 50% 100% [E.19] Divulgación de información 10 50% 100% [A.4] Manipulación de la configuración 5 50% 100% [A.28] Indisponibilidad del personal 10 100% Empleados de la empresa [N.*] Desastres naturales 5 100% [E.1] Errores de los usuarios 50 20% 75% 75% [A.25] Robo de equipos 10 100% Usuarios finales [E.1] Errores de los usuarios 70 20% 75% 75% Fuente: Los autores Estrategias de Continuidad Se deberían desarrollar e implementar planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el grado y en las escalas de tiempos requeridos, tras la interrupción o fallo de los procesos críticos de negocio. Recurso humano: ✓ Mantener habilidades y conocimiento ✓ Identificación de actividades criticas ✓ Sitios alternos ✓ Acceso remoto Conformación de equipos del recurso humano: • Equipo Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación. • Equipo de Recuperación: Encargado de restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.) D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 21 • Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación • Equipo de Atención a clientes: Encargados de concentrar la información y de la comunicación a los clientes • Equipo de Unidades del Negocio: Personas que trabajan con las aplicaciones críticas. Tecnología: Se deben considerar elementos como: hardware, software telecomunicaciones, copias de seguridad y recuperación. ✓ Disponibilidad: Para este componente vamos a identificar la disponibilidad del recurso físico tales como servidores, equipos de cómputo, etc. • Tolerancia a fallos (fault tolerance): Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware. • Balanceo de carga (load balancing): Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño. • Alta Disponibilidad (high availability): Sistema que es continuamente operacional, mediante la implementación de controles preventivos, detectivos y correctivos. • Virtualización: Abstracción de recursos computacionales ✓ Centros de cómputo: Es importarte definir características como la Distancia, Número, Acceso remoto, Comunicación redundante, Acuerdos de servicio (SLA), y Seguridad de los centros de computo de la Empresa. ✓ Alternativas de recuperación: • Sitios de recuperación externos (hot site, cold site, warm site) • Recuperación interna • Acuerdos recíprocos • Procedimientos manuales • Suspensión de servicios ✓ Información vital: • Almacenamiento y recuperación • Confidencialidad • Integridad • Disponibilidad • Actualizada • Físico/Digital ✓ Proveedores/Socios de Negocios • Dependencias • Coordinación • Verificación del plan • Pruebas • Políticas Implementación de Respuestas ✓ Implementación de planes de continuidad: se debe definir elementos importantes como el Equipos de trabajo (Reanudación-Recuperación), Controles, Seguridad, Inventarios y los Recursos necesarios (humanos y financieros). D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 22 ✓ Respuesta a la emergencia: Salvamento de vidas, sistema de prevención y atención de emergencias y los Sistemas de protección, Autoridades locales y Simulacros. Prueba, mantenimiento y reevaluación de planes de continuidad Se deben realizar pruebas regularmente del plan de continuidad del negocio para garantizar su actualización y eficacia, la siguiente es una metodología adoptada para la EMPRESA XXXX S.A. Complejidad Prueba Objetivo Variantes Frecuencia Simple Escritorio - simulación Revisión contenido del Plan de Continuidad del negocio de la EMPRESA XXXXS.A. Act./Validar Auditoría Verificación Involucrar roles Trimestral Semestral Anual Media Ejercicio parcial Situación controladaque no impacte la operación normal Operaciones críticas en sitio alterno (anunciadas-sorpresa) Semestral Alta Ejercicio de todo el plan Evacuación Activación de contingencias tecnológicas y operativas Involucrar proveedores (anunciadas-sorpresa) Semestral Tipos de pruebas: Horarios nohábiles, Horarios hábiles con todos los clientes, Día ->Semana - >Varias semanas, Alternar producción & contingencia. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 23 7. APLICACIÓN FASES PLAN DE CONTINUIDAD DE NEGOCIO EMPRESA XXX S.A Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que componen la organización. Este análisis servirá para priorizar qué procesos son críticos para el negocio y establecer una política de recuperación ante un desastre. Por cada proceso se identifican los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS: Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran críticos para el funcionamiento de la compañía. Una vez identificados los procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio. CON QUE CUENTA LA INSTITUCION: La EMPRESA XXX S.A cuenta con El Sistema de Gestión de Proyectos que es empleado para controlar todas las fases de los proyectos así como para el archivo de los productos resultantes (código fuente, documentación del proyecto como: diseños, planes de pruebas, material de documentación del producto, etc), Para la prueba de las aplicaciones se dispone de un entorno para desarrollo simulado en los puestos de trabajo de los desarrolladores y para las pruebas de integración se dispone de un entorno similar al de los clientes: Servidores web, Servidores de bases de datos, Servidores de aplicación, puestos de trabajo de los desarrolladores (unos 60 puestos fijos) están conectados a una red de área local 802.1X, servidores de directorio, RIESGOS: Unos de los riesgos más relevantes y que pueden causar gran daño a la empresa son los siguientes. Pérdida de datos y servicios, daños de software y hardware, desastre natural e inasistencia de energía. El impacto que pueden causar estos riesgos son grandes pues una pérdida total de información y datos en los servidores principales de la empresa provocarían que el trabajo de los desarrolladores se perdiera y tocara empezar desde cero, la información confidencial de los cliente quedara expuesta, las entidades financieras quedan sin servicio por un tiempo prolongado. La inasistencia eléctrica provocara que los desarrolladores no puedan hacer uso de las herramientas tecnológicas de desarrollo. DAÑOS DE SOFTWARE Y HARDWARE: Este riesgo implicaría más gastos económicos, pues si algún dispositivo activo llegase a dañarse, quemarse entre otros, ocasionaría un gasto económico para remplazar rápidamente el dispositivo, la empresa cuenta con centros CPD de telecomunicaciones donde se encuentra alojados la mayoría de estos dispositivos y algo peligroso que llegase a pasar D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 24 podría causar un daño múltiple y al mismo tiempo causaría un daño enorme a todo la infraestructura de red física y lógicamente. PERDIDA DE DATOS Y SERVICIOS: Las bases de datos en las que todos los desarrolladores están registrados pueden ser eliminadas por diferentes causas como desastres naturales, incendios toda esa información se podría perder y causaría gran impacto a los clientes. Para hallar un periodo máximo de Interrupción, tendríamos que hacer un conjunto de daños que se presentaron, obtener una cifra concreta de las pérdidas, cantidad de personal a cargo de este proyecto. Pero si los daños fueron mínimos posiblemente solo tome un día o 2 solucionarlo. DESASTRE NATURAL: Un Desastre natural puede ser totalmente fatal, podría acabar con toda la empresa y la perdida monetaria seria grandísima, pero por supuesto la vida humana es totalmente prioridad. CLASIFICACION DE LOS DESASTRES. Podemos plantear la siguiente clasificación de los desastres de la siguiente manera: • DESASTRES NATURALES a. Terremotos b. Inundaciones c. Fallas de potencia prologadas ACCIDENTALES a. Falla en la base de datos b. Falla de la estructura física INTENCIONALES Externas a. Terrorismo b. Hackers Internas a. Huelga b. Sabotaje c. borrado de datos D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 25 ELEMENTOS A CONSIDERAR: a. Servidores. b. Base de datos. c. Sistemas telefónicos. d. Redes locales. e. Recuperación de los data centers. f. Personal. g. Edificios y oficinas. INASISTENCIA DE ENERGIA: ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LOS PROBLEMAS DEL SUMINISTRO ELÉCTRICO? Una pequeña interrupción en la energía eléctrica puede significar un daño a una computadora, un sistema en red, u otro equipo electrónico sensibles. ¿CUÁN FRECUENTES SON LOS PROBLEMAS ELÉCTRICOS? Se puede concluir que cada semana ocurren casos con la energía eléctrica algunas veces, daños simples otras veces daños más graves que necesitan de personal capacitado. ¿Cuáles son las consecuencias de los problemas energéticos? Aun los problemas de índole menor pueden costarle dinero. Cada vez que una interrupción en el suministro retarda un trabajo en proceso, se pierde un tiempo, y esa pérdida significa dinero. Mucho más serio y costoso es el hecho que los problemas de energía no sólo pueden corromper archivos críticos de datos, también pueden dañar permanentemente a computadoras y equipos electrónicos. ¿Cómo pueden ser prevenidos los problemas de energía? Siempre debemos conectar nuestros equipos electrónicos a Reguladores de voltaje, que además incorporen protectores de sobretensión, picos transitorios, y filtros de ruidos eléctricos otra opción para una protección aún más completa a una UPS con las mismas protecciones. FASE II. ESTRATEGIA DE RESPALDO. En esta fase se seleccionarán los métodos operativos alternativos que se van a utilizar en el caso de que ocurra un incidente que provoque una interrupción en la empresa. El método seleccionado deberá garantizar la restauración de los procesos afectados en los tiempos determinados por el Análisis de Impacto. IDENTIFIQUE SUS NECESIDADES DE RESPALDO DE DATOS: Debemos Identificar los datos más preciados e importantes para la empresa, que permitan luego de que se materialice una amenaza la empresa pueda seguir operando con normalidad. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 26 CONSIDERE EL RESPALDO DE DATOS INTERNO: Se debe considerar como 1 opción tener copias de respaldo en discos duros externos, esto depende de la necesidad y la importación de ello. EXPLORE EL RESPALDO DE DATOS EN LÍNEA: El respaldo en "nube", o el almacenamiento de archivos en servicios remotos a los que se accede por Internet, puede ofrecer una alternativa atractiva a la compra y el mantenimiento de equipos de almacenamiento interno. Decenas de proveedores de serviciosofrecen respaldo de datos en línea, por lo tanto, explore las opciones si elige esta estrategia y mantenga constante comunicación son sus proveedores. ESTABLEZCA PROCESOS PARA TODA LA COMPAÑÍA: Una vez instalados los sistemas de respaldo, cree una política formal que establezca cuáles serán los datos a respaldarse y con qué frecuencia, y el responsable de administrar los respaldos. SELECCIÓN DE ESTRATEGIAS. Se debe actuar rápidamente si llega a materializarse una amenaza. a. la empresa cuenta con dispositivos activos de respaldo. b. Servicios virtualizados listo para ser usados. c. Cuenta con gran personal capacitados para montar cualquier servicio que se halla dañado. d. La empresa debe contar con personal encargados para tener copias de seguridad, backup de toda su información, puntos de restauración, base de datos entre otros, alojados en un lugar fuera de esta sede donde pueda estar segura en caso de pérdida total de la sede. f. Estar totalmente en contacto con las diferentes empresas que prestan servicios a la empresa por ejemplo Internet, por si es necesario que les traslade el servicio a otro lugar. g. Realizar una y otra vez simulacros de evacuación del personal y si es posible evacuación de sistemas de información prioritarios. h. Mantener contacto con centros de salud que puedan actuar rápidamente. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD. a. Hasta este punto hemos recopilado la siguiente información: b. Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el funcionamiento del negocio. c. Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de Continuidad de Negocio. d. Estrategia de Continuidad más adecuada para el negocio. ¿QUE NECESITAMOS PARA DESARROLLAR NUESTRO PLAN? GRUPOS DE TRABAJO. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 27 GRUPO DE DIRECTORES. Se encarguen de administrar y dirigir el plan de continuidad. * Analizar la situación. * Organizar los diferentes grupos y personal que se encargaran de llevar a cabo el plan. * Seguimiento en el proceso y responsable de notificar lo ocurrido. * Estimar tiempo de recuperación. GRUPO DE INSTRUCTORES O PERSONAL CAPACITADO: Se encarguen de tener un respaldo de los servicios que se implementan en la institución. * Restauración de los servicios. * Recuperación de datos. * Recuperación de software. GRUPO DE LOGÍSTICA: Encargado de contabilizar y mantener disponible en lo más posible dispositivos que puedan en algún momento remplazar otros. * Disponibilidad de dispositivos activos. * Encargados de hacer la petición en caso de que el Sena no cuente con el dispositivo. GRUPO DE VERIFICACIÓN: Encargado de chequear el funcionamiento de toda la infraestructura de red. * Aprobar funcionamiento de los diferentes servicios que prestar la empresa. * Aprobar la recuperación de los datos. * Aprobar el buen funcionamiento de las plataformas de desarrollo de la empresa. GRUPO DE COMUNICACIÓN: Encargado de estar al tanto con empresas externas, por ejemplo el proveedor de servicios de internet. * Mantener la comunicación con los clientes * Contacto con los proveedores de servicios. * Comunicación con los trabajadores de la empresa. FASE IV. PRUEBAS Y MANTENIMIENTO. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 28 OBJETIVO: Realizar pruebas lo más reales posibles que aseguren la viabilidad de las soluciones adoptadas. Para su desarrollo tendremos lo siguiente en cuenta. * Probar la reacción de respuesta del plan para comprobar que tan claro se sigue el diseño. * Identificar las áreas de mejora en el diseño y ejecución del Plan. * Comprobar si los procedimientos desarrollados son adecuados para soportar la recuperación de las operaciones de negocio. * Evaluar si cada grupo cumple con sus respetivas funciones. TIPOS DE PRUEBAS: Las pruebas de un Plan de Continuidad deben tener dos características principales: REALISMO: Es primordial poner esto en práctica en escenarios lo mayor posible reales que den un grado más de efectividad. EXPOSICIÓN MÍNIMA: Las pruebas deben diseñarse de forma que impacten lo menos posible en el negocio, es decir, que si se programa una prueba que suponga una parada de los sistemas de información, debe realizarse una ventana de tiempo que impacte lo menos posible para el negocio. La prueba debe tener en cuenta absolutamente todos los detalles, los grupos de personal deben cumplir su función y deben actuar rápidamente. EJERCICIOS TECNICOS: Los ejercicios técnicos requerirán el uso de equipos de hardware, software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de elementos verificados durante un ejercicio de simulación son: - Procedimientos de emergencia. - Métodos alternativos. - Desplazamiento de personal, estudiantes instructores entre otros. - Realización de backup y restauración. - Capacidad y rendimiento del hardware. - Portabilidad del software. - Accesibilidad al centro de respaldo. - Movilización de los equipos de trabajo. - Recuperación de ficheros y documentación almacenados en lugar externo. - Recuperación de datos. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 29 TEST COMPLETO: Esto implica la restauración real en otro centro alternativo, con el fin que el proceso no sea interrumpido y se pueda proseguir con la Formaciones de igual manera. Este tipo de prueba requiere la participación de toda la organización de continuidad del negocio, incluyendo a todos los grupos de trabajo y aprendices entre otros. MANTENIMIENTO DEL PLAN DE CONTINUIDAD: Cada vez se implementan más soluciones para aplicar a nuestro plan de continuidad o posiblemente hallan fallos y debamos corregirlo así que este plan de continuidad debe ser constantemente modifica o actualizado para un mejor éxito. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 30 8. CONCLUSIONES Un sistema de Gestión de seguridad de la Información es un proceso sistemático, documentado y debe ser conocido por toda la organización. Le gustaría garantizar un nivel de protección total pero es imposible ya que los riesgos y amenazas van cambiando y perfeccionándose con el tiempo pero garantizara que los riesgos de la seguridad sean conocidos, asumidos y minimizados por la organización de una manera documentada, sistemática, estructurada, y adaptable a los cambios que se produzcan. En este mundo que es cada vez más competitivo y globalizado, en donde a las empresas les corresponde buscar nuevas vías que les permita tener y mejorar sus ventajas, gracias a la Norma ISO 27001:2013 tienen a la mano una herramienta que les permite convertirse en empresas más versátiles mejorando su seguridad protegiendo los activos de mayor valor, implementando controles para la gestión de las amenazas presentes y futuras. Las organizaciones son dependientes actualmente de la tecnología informática y un problema que les afecte así sea mínimo, puede comprometer las operaciones y productividad del negocio, que se traducen en pérdidas económicas, retrasos y crisis de confianza por parte de los usuarios. La seguridad de la información tanto desde el punto de vista físico quese refiere a la seguridad del hardware y la seguridad lógica se refiere a la seguridad de la información de los programas almacenados en un equipo como por ejemplo una base de datos los cuales estos a su vez circulan por una red de comunicaciones dándole diversos usos a la información según las necesidades de una organización. La información confidencial de una institución o entidad es un requisito, por tanto la seguridad debe ser un proceso continuo de mejora, donde las políticas y controles deben estar actualizados revisados periódicamente. De allí la importancia de analizar y evaluar los riesgos a los cuales estos pueden estar sometidos y así minimizar los efectos También debemos tener en cuenta lo siguiente para establecer un plan de negocios: a. El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios menores queden cubiertos también. b. El planteo de escenarios de desastre servirá de base al momento de determinar las alternativas viables para la recuperación. c. La diferencia entre tener y no tener un plan de continuidad es enorme, siempre que estamos advertido por algo que va o puede pasar podemos corregir muchos errores a tiempo en cambio si algo nos coge totalmente desprevenidos sin saber cómo actuar al respecto o tomando medidas que pueden llegar a causar a un más daño. d. Esta cuestión no es de unos pocos es de todas aquellas personas que pertenezcan a la empresa para así lograr un mayor éxito. D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 31 9. REFERENCIAS [1]Miguel Ángel Mendoza. Que es una declaración de aplicabilidad. Disponible en:http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/ [2]Dejan Kosutic.La importancia de la Declaración de aplicabilidad para la norma ISO 27001. Disponible en: http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la- declaracion-de-aplicabilidad-para-la-norma-iso-27001/ [3]Juliana Andrea Santamaría Ramírez. Manual de Seguridad de información para un organismo del estado Colombiano. Disponible en: http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANT AMARIA%20RAMIREZ1.pdf [4]Inteco y Deloitte..Guía práctica para pymes en español de cómo implantar un plan de Continuidad de negocio .Disponible en:https://www.incibe.es/file/t2sHW92KsAV506ZWcHTKRg [5]Ing. Lorena Patricia Suárez Sierra, Ing. Carlos Alberto Amaya Tarazona.Módulo de Sistema de Gestión de Seguridad de la Información. Disponible en: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf [6]Ing. Andrea Granda. Diseño de unPlan de Contingencias para TICs para la empresa eléctrica CENTROSUR. Disponible en: http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf [7]Plan de Continuidad de Negocios o Business Continuity Plan (BCP), junio 25, 2010http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de- negocios-o.html [8]POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP), http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGO CIO.pdf http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/ http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001/ http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001/ http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANTAMARIA%20RAMIREZ1.pdf http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANTAMARIA%20RAMIREZ1.pdf https://www.incibe.es/file/t2sHW92KsAV506ZWcHTKRg http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGOCIO.pdf http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGOCIO.pdf D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 32 D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 33 ANEXO No.1 DECLARACION DE APLICABILIDAD (SOA) Sección ControlesISO27001:2013 Aplicabilidad Justificación Razonespara laselecciónde los Controles R e q u e r im ie n to R e g u la to r io O b li g a ci ó n c o n tr a c tu a l R eq u e r im ie n to d e ln eg o c io A n á li si sd e r ie sg o s 5 Política de seguridad 5.1 Políticadeseguridaddelainformación 5.1.1 La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicarla política a todos los empleados y las partes externas relevantes. 1 La organización ha identificado los riesgos de información, en tal sentido es necesario establecer una política de seguridad de la información para informar y concientizar a todos los colaboradores y partes interesadas sobre los riesgos a los que están expuestos, así como los controles implementados para evitar la materialización de estos riesgos. Igualmente la política de seguridad de la información deberá definir claramente responsables de su desarrollo e implementación. La política de seguridad de la información de la compañía deberá ser frecuentemente revisada para asegurar su idoneidad con respecto a los riesgos de información. Está política debe ser comunicada a todas las partes interesadas. x 5.1.2 La política de seguridad de la información se debería revisara intervalos planificados (o en caso que se produzcan cambios significativos)para garantizar que es adecuada, eficaz y suficiente. 2 x 6 Organización de laseguridad dela Información 6.1 Estructura para la seguridad de la información La organización mediante su política de seguridad de la información debe establecer el compromiso, organización y asignación de responsabilidades para su cumplimiento, de x D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 34 6.1.1 Losmiembrosdela Direccióndeberían respaldaractivamentelasiniciativasde seguridaddemostrandosuclaroapoyo y compromiso,asignandoyaprobando explícitamentelas responsabilidadesen seguridaddelainformacióndentrodela Organización. 3 igual forma velar por mantener protegido su información mediante la revisión del sistema de gestiónde seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. La organización restringe la conexión a las redes inalámbricas de internet por parte de los dispositivos móviles y equipos de terceros. x 6.1.2 Lasactividadespara laseguridaddela informacióndeberíansercoordinadaspor representantesque poseandecierta relevanciaensupuestoyfuncionesydelos distintossectoresqueformanla Organización. 4 x 6.1.3 Sedeberíandefinirclaramentetodas lasresponsabilidadesparala seguridaddela información. 5 x 6.1.4 Sedeberíadefiniryestablecerunproceso degestióndeautorizacionesparalos nuevosrecursosdetratamientodela información. 6 6.1.5 Sedeberíanidentificaryrevisar regularmenteenlosacuerdosaquellos requisitosdeconfidencialidadono divulgaciónque contemplanlas necesidadesdeproteccióndela informacióndelaOrganización. 7 x 6.1.6 Sedeberíanmantenerloscontactos apropiadosconlasautoridades pertinentes. 8 x 6.2 Sedeberíananexartodoslos requisitos identificadosdeseguridadantesdedara losclientesaccesoalainformaciónoalos activosdelaorganización. 9 x 7 Seguridad de los RRHH D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 35 7.1.1 SeguridadenladefinicióndeltrabajoylosRec ursos Para el desarrollo de las actividades requiere contratar personal, los cuales tienen acceso a la información de la compañía, por tanto es importante implementar controles basándose en los reglamentos, la ética y las leyes pertinentes, que aseguren un proceso de verificación de antecedentes, asignación de roles y responsabilidades, términos de contratación y condiciones laborales previo acceso a la información. El personal de la organización en el desarrollo de las actividades para las cuales fueron contratados interactúan permanentemente con la información, en tal sentido es necesario establecer controles para asegurar que son conscientes de los riesgos, responsabilidades y deberes con respecto a seguridad de la información, igualmente es necesario capacitar y concienciar al personal permanentemente en temas de seguridad de la información según sea pertinente para sus funciones laborales. También se hace preciso establecer un proceso disciplinario que permita a la organización saber cómo actuar en caso de que los colaboradores cometan alguna violación de la seguridad, sin embargo para evitar al máximo que se presente incidentes la dirección exigirá a los colaboradores el cumplimiento de las políticas y procedimientos establecidos. x 7.1.2 Sedeberíandefinirydocumentarlos rolesyresponsabilidadesdelaseguridaddelo s empleados,contratistasytercerosen concordanciaconlapolíticadeseguridad delainformacióndelaorganización. 10 x 7.1.3 Sedeberíanrealizarrevisionesde verificacióndeantecedentesdelos candidatosalempleo,contratistasy tercerosyenconcordanciaconlas regulaciones,éticayleyesrelevantesy deben ser proporcionalesalos requerimientosdelnegocio,laclasificación delainformaciónalacual sevaatener accesoylos riesgospercibidos. 11 7.2 Comopartedesuobligación contractual, empleados,contratistasyterceros deberían aceptaryfirmarlostérminosy condicionesdelcontratodeempleo,elcual establecerásusobligacionesylas obligacionesdelaorganizaciónparala seguridaddeinformación. 12 x 7.2.1 Seguridadeneldesempeñodelas funcionesdel empleo 13 x 7.2.2 LaDireccióndeberíarequeriraempleados, contratistasyusuariosdeterceraspartes aplicarlaseguridadenconcordanciaconlas políticasylos procedimientosestablecidos delaorganización. 14 x 7.3 Todoslos empleadosdelaorganizacióny dondesearelevante,contratistasy usuariosdetercerosdeberíanrecibirentrena mientoapropiadodel conocimientoyactualizacionesregularesen 15 x D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 36 políticasy procedimientosorganizacionalescomo sean relevantesparalafuncióndesu trabajo. 8 Gestión de activos. 8.1 Todoslosactivosdeberíanestar claramenteidentificados,confeccionandoy manteniendouninventarioconlosmás importantes. La organización dentro del proceso de implementación y mantenimiento del sistema de gestión de seguridad de la información debe realizar un inventario de todos sus activos de información, los cuales le permiten desarrollar su labor de Consultoría e Interventoría, en tal sentido es importante identificar los propietarios de estos, realizar un inventario de los más importantes, y también garantizar el uso adecuado de los mismos a través de reglas documentadas e implementadas. Los activos de la organización deberán ser regresados por los colaboradores al finalizar su relación contractual. La organización debe asegurar la devolución de los activos cuando se presentan renuncias, terminaciones o cambios de la contratación del personal que conforman los diferentes proyectos o áreas transversales de la organización. x 8.1.1 Todalainformaciónyactivosasociadosa losrecursospara eltratamientodela informacióndeberíanpertenecerauna partedesignadadelaOrganización. 16 8.1.2 Sedeberíanidentificar,documentare implantarregulacionesparaeluso adecuadodelainformaciónylos activos asociadosarecursosdetratamientodela información. 17 x 8.1.3 Clasificacióndelainformación 18 x 8.2 Lainformacióndeberíaclasificarseen relaciónasuvalor,requisitoslegales, sensibilidadycriticidadpara la Organización. x 8.2.1 Sedeberíadesarrollareimplantarun conjuntoapropiadodeprocedimientos para eletiquetadoytratamientodela información,deacuerdoconelesquema declasificaciónadoptadoporla Organización. 19 x 9 Controldeacceso 9.1 Requisitosdenegocioparacontroldeacceso s La organización desarrolla actividades dentro de las cuales los activos de información son manejados por los x D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 37 9.1.1 Sedeberíaestablecer,documentary revisarunapolíticadecontroldeaccesos enbasealas necesidadesdeseguridadyde negociodelaOrganización. 20 trabajadores, en tal sentido es importante establecer controles de seguridad que permitan asegurar que los propietarios de activos de información controlan el acceso a la información. La organización para su operación cuenta con una red LAN la cual soporta las actividades de los diferentes usuarios, por lo tanto es necesario establecer controles de seguridad para asegurar que los usuarios solo tienen acceso a los servicios para los cuales están autorizados. El personal de la compañía maneja diferentes tipos de información de acuerdo al área o proyecto en el cual participan, por esta razón es muy importante gestionar de forma adecuada el acceso de los usuarios de acuerdo al área o proyecto. En tal sentido es importante establecer controles de seguridad aseguren el acceso de usuarios autorizados así como evitar el acceso de usuarios no autorizados a información fuera de su área o proyecto. El personal de la compañía debe manejar para acceder a los servicios de red un usuario único e intransferible al cual se le asignan las respectivas credenciales, las cuales se deben actualizar cada treinta (30 (días). x 9.2 Gestióndeaccesodeusuario x 9.2.1 Deberíaexistirunprocedimientoformalde altaybajadeusuariosconobjetode garantizarycancelarlosaccesosatodoslos sistemasyserviciosdeinformación. 21 x 9.2.2 Sedebería restringirycontrolarla asignaciónyusodelosprivilegios. 22 x 9.4 Controldeaccesoenred x 9.4.1 Sedeberíaproveeralosusuariosdelos accesosalos serviciospara losquehansido expresamenteautorizadosautilizar. 23 9.4.2 Sedeberíanutilizarmétodosde autenticaciónadecuadospara elcontroldel acceso remotodelos usuarios. 24 x 9.4.3 Sedeberíaconsiderarlaidentificación automáticadelos equiposcomounmedio deautenticacióndeconexiones procedentesdelugaresyequipos específicos. 25 x 9.4.4 Sedeberíacontrolarlaconfiguraciónyelacceso físico ylógicoalospuertosde diagnóstico. 26 x 9.4.5 Sedeberíansegregar los gruposde usuarios,serviciosysistemasde informaciónenlas redes. 27 x 9.4.6 Enelcaso delas redescompartidas, especialmenteaquellasqueseextienden 28 x D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 38 másalládeloslímitesdelapropia Organización,sedeberíanrestringirlas competenciasdelosusuariospara conectarseenredsegúnlapolíticade controldeaccesosynecesidaddeusode lasaplicacionesdenegocio. 9.4.7 Sedeberíanestablecercontrolesde enrutamientoenlasredesparaasegurar quelas conexionesdelosordenadoresy flujosdeinformaciónnoincumplenla políticadecontroldeaccesosalas aplicacionesdenegocio. 29 x 9.5 Controldeaccesoalsistemaoperativo x 9.5.1 Deberíacontrolarseelaccesoalsistema operativomedianteprocedimientos segurosdeconexión. 30 x 9.5.2 Todoslosusuariosdeberíandisponerdeun únicoidentificadorpropiopara suuso personalyexclusivo.Se deberíaelegiruna técnicadeautenticaciónadecuadaque verifiquelaidentidadreclamadaporun usuario. 31 x 9.5.3 Lossistemasde gestióndecontraseñas deberíanserinteractivosy garantizarla calidaddelas contraseñas. 32 x 9.5.4 Sedebería restringirycontrolarmuyde cerca eluso deprogramasdeutilidaddel sistemaque pudieranser capacesdeeludir loscontrolesdelpropiosistemaydelas aplicaciones. 33 x 9.5.5 Sedeberíandesconectarlassesionestras undeterminadoperiodo deinactividad. 34 x D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 39 9.5.6 Sedeberíanutilizarlimitacionesenel tiempodeconexiónqueproporcionenun niveldeseguridadadicionalalas aplicacionesdealtoriesgo. 35 x 9.6 ControldeaccesoalasAplicaciones x 9.6.1 Sedebería restringirelaccesodelos usuariosyelpersonaldemantenimientoa la informacióny funcionesde lossistemas deaplicaciones,enrelaciónalapolíticade controldeaccesosdefinida. 36 x 9.6.2 Lossistemassensiblesdeberíandisponer deunentornoinformáticodedicado (propio). 37 x 9.7 Informáticamóvilyteletrabajo x 9.7.1 Sedeberíaestablecerunapolíticaformaly sedeberíanadoptarlasmedidasde seguridadadecuadaspara laprotección contralos riesgosderivadosdel usodelos recursosdeinformáticamóvilylas telecomunicaciones. 38 x 9.7.2 Sedeberíadesarrollareimplantaruna política,planesoperacionalesy procedimientosparalas actividadesde teletrabajo. 39 x 10 Criptografía. 10.1 Controles criptográficos. La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. x 10.2 Política sobre el uso de controles criptográficos 40 x 10.3 Gestión de llaves. 41 x 11 Seguridadfísicayambiental D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 40 11.1 Áreas seguras La organización para el desarrollo de sus actividades debe contar con una infraestructura física, en la cual se ubican los activos de información, en tal sentido es importante establecer los controles de seguridad para evitar el acceso físico no autorizado, el daño a la infraestructura y activos de información de la compañía. Para el desarrollo de las actividades la organización utiliza equipos tales como servidores, computadores de escritorio, portátiles,routers, Firewalls entre otros dispositivos de red impresoras, fotocopiadoras, faxes, escáneres, entre otros, en estos equipos se procesa la información de los diferentes proyectos y de la empresa por tal razón es necesario establecer controles que permitan evitar la ocurrencia de eventos como pérdida, daño, robo o interrupción de los equipos tanto dentro como fuera de la organización. El personal de la organización debe ser responsable de los activos de información que se encuentran a su cargo, así como de la protección de estos activos en cuanto confidencialidad, integridad y disponibilidad, de tal forma que se deben definir responsabilidades claras en cuanto a seguridad de la información en los manuales de funciones que se deben entregar al personal, en tal sentido es necesario establecer controles de seguridad para asegurar que se evita el acceso de usuarios no autorizados y el robo de información. 11.1.1 Losperímetrosdeseguridad(como paredes,tarjetasdecontroldeentradaa puertasounpuesto manualderecepción) deberíanutilizarsepara protegerlasáreas quecontenganinformaciónyrecursospara suprocesamiento. 43 x 11.1.2 Lasáreasdeseguridaddeberíanestar protegidasporcontrolesdeentrada adecuadosquegaranticenelacceso únicamentealpersonalautorizado. 46 x x 11.1.3 Sedeberíaasignaryaplicarlaseguridad físicaparaoficinas,despachosyrecursos. 47 x 11.1.4 Sedeberíadesignaryaplicarmedidasde protecciónfísicacontraincendio, inundación,terremoto,explosión,malestar civil yotras formasdedesastrenaturalo humano. 48 x 11.1.5 Sedeberíancontrolarlasáreasdecarga y descargaconobjetodeevitaraccesosno autorizadosy, siesposible,aislarlasdelos recursospara eltratamientodela información. 49 x 11.2 Seguridaddelosequipos x 11.2.1 Elequipodeberíasituarseyprotegerse para reducirelriesgodematerializaciónde lasamenazasdelentorno,asícomolas oportunidadesdeaccesonoautorizado. 50 x 11.2.2 Sedeberíanprotegerlosequiposcontra fallosenelsuministrodeenergíauotras anomalíaseléctricasenlos equiposde apoyo. 51 D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 41 11.2.3 Sedeberíaprotegerelcableadodeenergía ydetelecomunicacionesquetransporten datososoportenserviciosdeinformación contraposiblesinterceptacionesodaños. 52 x 11.2.4 Sedeberíanmanteneradecuadamentelos equipospara garantizarsucontinua disponibilidadeintegridad. 53 x 11.2.5 Sedeberíaaplicarseguridadalosequipos queseencuentranfuera deloslocalesdela organizaciónconsiderandolos diversos riesgosalosqueestánexpuestos. 54 x 11.2.6 Debería revisarsecualquierelementodel equipoque contengadispositivosde almacenamientoconelfindegarantizar quecualquierdatosensibleysoftwarecon licenciasehaya eliminadoo sobrescritocon seguridadantesdelaeliminación 55 x 11.2.7 Nodeberíansacarseequipos,información o softwarefueradellocal sinuna autorización. 56 x 12 Seguridad de las operaciones 12.1 Procedimientosyresponsabilidadesdeoper ación La compañía para el desarrollo de sus actividades utiliza herramientas ofimáticas y de desarrollo, con las cuales interactúan permanentemente el personal a través de los equipos asignados para su labor, en tal sentido es necesario establecer controles de seguridad que garanticen que todos los cambios se controlan, revisan y someten a pruebas para no comprometer la seguridad del sistema ni el entorno operativo y también evitar así la fuga de información. Para el desarrollo de las actividades de la organización se x 12.1.1 Sedeberíandocumentarymantenerlos procedimientosdeoperaciónyponerlosa disposicióndetodoslos usuariosquelo necesiten. 57 x 12.1.2 Sedeberíancontrolarloscambiosenlos sistemasyenlos recursosdetratamiento delainformación. 58 x D e c l a r a c
Compartir