NORMAS

Vista previa del material en texto

UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA
TECNOLOGIA DE LA INFORMACION
SEGURIDAD DE TI
T.I 7/1
Integrantes
· Rojas Bodero Andrea
· Salinas Tomalá Gabriela 
· Catuto Malavé Josthin
· Cruz Caiche Isabel
NORMA DE ESTUDIO 27000	
A. 14 GESTION DE LA CONTINUIDAD DEL NEGOCIO 
INTRODUCCION
Se debería integrar dentro de los procesos críticos de negocio, aquellos requisitos de gestión de la seguridad de la información.
En el desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información se menciona que se debe analizar las consecuencias de los desastres, fallas de seguridad, perdidas de servicios y disponibilidad del servicio y de esta manera desarrollar e implementar planes de contingencia para asegurar que los procesos del negocio puedan restaurarse en los plazos requeridos.
Planes esenciales:
· Seguridad de la información utilizada en los planes de continuidad.
· Función de los resultados de los análisis de riesgos.
Unas de las consideraciones deberían llevar a cabo las pruebas pertinentes 
· Simulacros.
· Pruebas de failover.
Y de esta manera mantener
· Planes actualizados
· Familiarizar a los empleados con sus funciones y responsabilidades bajo condiciones de desastre.
Lo que busca es minimizar los efectos posibles antes las interrupciones de las actividades normales en una organización.
Ejemplo:
· Desastres naturales
· Accidentes
· Fallas de equipamiento
· Acciones deliberadas u otros hechos.
OBJETIVO
· Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de informacion o contra desastres y asegurar su recuperación oportuna 
· Es preservar la seguridad de la información durante las fases de activación, de desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.
A. 14.1.1
Cuando hablamos de continuidad de negocio nos referimos a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades. Sin embargo, las compañías deben tener la habilidad para reaccionar de manera inmediata frente a una amenaza y continuar prestando sus servicios de manera “habitual” con el fin de evitar la interrupción y el desarrollo normal de sus labores cotidianas. 
Proceso de la continuidad del negocio 
· Control
 
A. 14.1.2
Continuidad del negocio y evaluación de riesgos 
A. 14.1.3
La organización debería determinar los requisitos para la seguridad de la información y su gestión durante situaciones adversas como situaciones de crisis o de desastre por lo tanto debe implantar la continuidad de la seguridad de la información estableciendo documentando, implementando y manteniendo los procesos, procedimientos y controles para garantizar el mantenimiento del nivel necesario de seguridad de la información durante situaciones adversas en ese caso se debe verificar regularmente los controles de continuidad de seguridad de la información establecidos e implementados para poder garantizar su validez y eficacia ante situaciones adversas.
 A.14.1.4 Estructura para la planificación de la continuidad del negocio 
 El apartado de esta norma se refiere a mantener un plan que ayuden a reducir los posibles riesgos que puedan presentarse en una organización, y que posteriormente este plan ayude a recuperarse, si tomamos como ejemplo una organización como la UPSE, esta debería tener un plan en caso de perder sus activos importantes de información, pueden ser sus bases de datos que contengan un registro de toda la información de sus actividades y registros de estudiantes, en caso de perdida por desastres naturales, fallos de los equipos o accidentes, fallos de seguridad, si le llegara a suceder algo que suspenda sus actividades, la organización va a tener que reactivarse, que con una planificación que hubiera podido prever todos estos desastres haría que se reactive lo más pronto posible.
A. 14.1.5
Las empresas tratan de garantizar que la organización pueda sobrevivir ante un acontecimiento que pueda poner en riesgo su futuro, se requiere realizar un control costoso de implementar ya que debería definir planes de contingencia y probar regularmente su correcto funcionamiento. Simplifica la reacción ante la interrupción de las actividades que establece la empresa y resguarda la totalidad de los procesos críticos de negocio de los efectos que pueden ocasionar los desastres o perjuicios importantes que se den en los sistemas de información. 
Por ejemplo, si ocurre un incendio del CPD en una empresa de desarrollo informático puede suponerle la ruina, mientras que en un despacho de abogados puede suponer perder unas horas de trabajo