Muchas organizaciones luchan por definir el mejor método para cumplir las expectativas comerciales relacionadas con la recuperación ante desastres de la tecnología de la información. La ISO 27031 brinda orientación de continuidad de negocio y recuperación ante desastres TI sobre cómo planificar la continuidad y recuperación TI como parte de un sistema de gestión de continuidad de negocio. El estándar ayuda al personal de TI a identificar los requisitos para la tecnología de la información y la comunicación e implementar estrategias para reducir el riesgo de interrupción, así como reconocer, responder y recuperarse de una interrupción de las TIC.
La ISO 27031 introduce un enfoque de sistemas de gestión para abordar las TIC apoyado en un sistema de gestión de continuidad empresarial más amplio, como se describe en la ISO 22301. La ISO 27031 describe un sistema de gestión para la disponibilidad de TIC y la continuidad del negocio. Un IRBC es un sistema de gestión centrado en la recuperación de desastres de TI. IRBC utiliza el mismo modelo de Planificar-Hacer-Verificar-Actuar (PDCA) que el sistema de gestión de la continuidad del negocio describe en la ISO 22301. El objetivo es implementar estrategias que reduzcan el riesgo de interrupción de los servicios TIC, así como responder y recuperarse de una interrupción.
Como norma de orientación, las organizaciones no pueden certificarse en ISO 27031 como si lo hiciese para la ISO 22301. El siguiente diagrama muestra el sistema de gestión detallado en ISO 27031:
La ISO 27031 utiliza el mismo sistema de gestión de PDCA básico utilizado que utiliza la ISO 22301, pero lo adapta para adaptarse a la naturaleza técnica del plan de continuidad de negocio. Además de los cambios técnicos en el PDCA, la ISO 27031 también se basa en las conclusiones del Análisis de Impacto Empresarial (BIA) desarrolladas y aprobadas como parte de un plan de continuidad más amplio para una organización.
En el plan de continuidad de negocio, el sistema de gestión de PDCA se desglosa de la siguiente manera:
- Plan:La fase Plan crea y actualiza la estructura de gobierno para el sistema general de gestión IRBC. Los resultados clave de la fase del Plan son una política de Continuidad de Negocio que aborda adecuadamente la continuidad de la tecnología de información y comunicación así cómo las opciones de estrategia que la organización puede implementar para cumplir con los requisitos del negocio.
- Hacer:La fase Do se centra en realizar actividades e implementar soluciones que permitan a la organización monitorizar, responder y recuperarse de una interrupción en los servicios TIC. Los productos clave para la fase Do son la implementación de estrategias, la generación de planes y la ejecución de actividades de capacitación y sensibilización para promover la continuidad de los servicios de TIC.
- Verificación: La fase de verificación incluye la revisión y evaluación del rendimiento del sistema de gestión de continuidad de negocio. Los principales resultados de la fase de verificación incluyen la monitorización continua de las tecnologías de información y comunicación sobre las interrupciones y los niveles de rendimiento, así como revisiones periódicas de la capacidad de respuesta y recuperación de las TIC.
- Actuar:La fase de actuar, brinda a la administración la oportunidad de revisar el desempeño del esfuerzo del plan de continuidad de negocio, así como dirigir la implementación de acciones correctivas que mejorarán el desempeño del sistema de gestión y / o reducirán el riesgo de futuras interrupciones en los servicios TIC.
Si analizamos más en profundidad cada fase:
Planificar el plan de continuidad de negocio
Es posible que muchas organizaciones ya realicen algunos de los componentes del "Plan" de la ISO 27031 como parte de sus programas de recuperación de desastres de tecnología de la información. La ISO 27031 considera el plan de continuidad TI como un componente del plan de continuidad de negocio, pero en realidad, existen muy pocas diferencias. En la fase Planificación, la organización implementa una política para gobernar los procesos y requisitos del plan de continuidad del negocio. La política establece la estructura de gobierno para el sistema de gestión de incidentes. El plan de continuidad de negocio utiliza las aportaciones del BIA de la organización para traducir los requisitos del negocio en requisitos de rendimiento de las TIC para los servicios de TIC. La fase de Planificación concluye con la generación de opciones de estrategia de continuidad, que se implementará en la fase de Hacer (Do).
Formular la estrategia significa esencialmente la creación de ofertas de servicios de TI que el personal de TIC incluirá en el catálogo de servicios o, más genéricamente, como opciones para la consideración y selección de negocios. Por ejemplo, una organización con una entrada de catálogo de servicios para un servidor virtual agregaría entradas para abordar la capacidad de recuperación de un servidor virtual a través de una variedad de medios para abordar un rango de objetivos de recuperación. La organización puede elegir proporcionar dos estrategias de recuperación para la recuperación de una máquina virtual con diferentes tiempos de recuperación para cumplir con los requisitos comerciales identificados a través de la BIA. Esas dos estrategias de recuperación se incorporaran en el catálogo de servicios de la organización como entradas separadas o incorporadas a las entradas existentes del catálogo de servicios.
Para ser eficaz, ISO 27031 establece que las estrategias del plan de continuidad descritas anteriormente deben incorporar seis componentes en la monitorización, respuesta y recuperación de las interrupciones de las tecnologías de la información y la comunicación. Los seis componentes son:
- Habilidad y conocimiento: Las estrategias de recuperación incluyen la consideración de las habilidades técnicas especializadas y el conocimiento necesario para operar los servicios de TIC antes, durante y después de una interrupción. Las estrategias que incluyen las habilidades y las consideraciones de conocimiento se centran en garantizar que ningún individuo posea las habilidades o conocimientos especializados que serían necesarios para operar los sistemas de TIC de la organización.
- Instalaciones: Las estrategias de recuperación incluyen un riesgo mitigador asociado con la operación de sistemas TIC basados en una sola instalación. Las estrategias que incluyen consideraciones sobre las instalaciones aseguran que los sistemas TIC se puedan operar incluso si una instalación primaria se vuelve inoperable.
- Tecnología: Las estrategias de recuperación incluyen la consideración de los requisitos técnicos necesarios para cumplir con los requisitos de recuperación de la organización, específicamente el Objetivo de tiempo de recuperación (RTO) y el Punto Objetivo de Recuperación (RPO). Las estrategias que incluyen consideraciones tecnológicas implican garantizar que el hardware y las aplicaciones puedan recuperarse dentro del tiempo y la recuperación de datos requeridos por la organización. Estas consideraciones deben incluir sistemas de soporte tales como energía, enfriamiento, personal, soporte de proveedores, conectividad WAN, etc.
- Datos: Las estrategias de recuperación incluyen la consideración de cómo proteger los datos requeridos por la organización. Las estrategias que incluyen consideraciones de datos incluyen seguridad, validez y disponibilidad de los datos requeridos por los usuarios finales.
- Procesos: Las estrategias de recuperación incluyen la consideración de cómo mantener los procesos necesarios para monitorizar, operar y recuperar los sistemas de TIC con el fin de cumplir con los requisitos del negocio. Las estrategias que consideran los procesos identifican los procesos de TIC necesarios antes, durante y después de una interrupción en los sistemas TIC.
- Proveedores: Las estrategias de recuperación incluyen la consideración de cómo informar e involucrar a los proveedores que se necesitan para recuperar y operar los sistemas TIC. Las estrategias que incluyen consideraciones del proveedor identifican qué proveedores participaran en la operación y recuperación de los sistemas TIC antes, durante y después de que se haya producido una interrupción.
Cada opción de estrategia del plan de continuidad de negocio tendrá en cuenta los seis componentes y, a menudo, dará lugar a la creación de niveles para clasificar la información y la tecnología de comunicación que satisfaga las necesidades de la organización.
Durante la fase Hacer (Do), los servicios de TIC se asignarán a un nivel, que permite la selección de estrategias. Una vez que TI identifica las opciones de estrategia, la administración de la organización debe considerar la cantidad de riesgo reducido por la estrategia contra el costo de implementación de la estrategia. En general, el resultado de la fase del Plan es una lista de estrategias para agregar o actualizar en el catálogo de servicios, que permite a la organización seleccionar el nivel adecuado de capacidad de recuperación.
Hacer el plan de continuidad de negocio
La fase Do del plan de continuidad de negocio, incluye la implementación de las estrategias identificadas en la fase de Planificación, la redacción de planes de recuperación para servicios TIC y la ejecución de actividades de capacitación y sensibilización para garantizar que el personal involucrado en el plan, esté calificado e informado. El programa implementa las estrategias apropiadas identificadas en la fase de Planificación para mejorar la preparación de TIC para los servicios de tecnología de la información y la comunicación dentro del alcance.
Las estrategias que reducen el riesgo de una interrupción no eliminarán completamente la posibilidad de una interrupción en la tecnología de la información y la comunicación. El personal de TI implementa estrategias y proyectos de planes para superar el riesgo residual cuando los incidentes disruptivos se hacen realidad. La documentación del plan de respuesta y recuperación es necesaria para garantizar que el personal comprenda las actividades necesarias para cumplir con las expectativas del negocio. La ISO 27031 incluye muchas de las mismas consideraciones que se utilizan en la ISO 22301, alguno de estos puntos comunes son:
- Propósito y alcance del plan
- Funciones y responsabilidades definidas
- Personal alterno
- Criterios de invocación del plan
- Información de contacto.
La parte final de la fase Do es realizar actividades de capacitación y sensibilización para garantizar que el personal involucrado en el sistema de gestión del plan de continuidad de negocio (incluidos aquellos con roles en los planes de respuesta y recuperación) conozcan sus responsabilidades antes, durante y después de una interrupción.
Verificar el plan de continuidad de negocio
La fase de verificación del sistema de gestión incluye las actividades típicas asociadas con la fase de verificación del sistema del plan de continuidad, incluida la revisión de la gestión, las pruebas y el ejercicio. La fase Check también agrega actividades continuas que supervisan la interrupción de los servicios TIC y miden el rendimiento relacionado con la preparación para las TIC.
Actuar en el plan de continuidad de negocio
La fase del Actuar incorpora la revisión de la gestión del programa de preparación de las TIC para la continuidad de negocio, que incluye el rendimiento del programa, el rendimiento de preparación de las TIC y la asignación de recursos. Además de la revisión de la administración, el programa implementa acciones correctivas que se identificaron durante otras fases del sistema de gestión. El objetivo de las acciones correctivas es inculcar una cultura de mejora continua en la organización e involucrar a la gerencia con la priorización de la mejora continua.
Estándares de seguridad de la información y continuidad del negocio
ISO / IEC 27001
El estándar ISO 27001 se considera el estándar de seguridad de la información fundamental porque define los conceptos básicos de "construcción" y control de un SGSI; esta es la única norma de seguridad de la información certificable.
ISO / IEC 27002
ISO / IEC 27002 (anteriormente ISO / IEC 17799): esta norma proporciona una descripción más detallada de la implementación de controles, y se aplica principalmente en la fase Do (implementación) de ISO 27001.
ISO / IEC 27003
ISO / IEC 27003: 2010 se centra en los aspectos críticos necesarios para el diseño e implementación exitosos de un Sistema de gestión de seguridad de la información (ISMS) de acuerdo con ISO / IEC 27001: 2005.
ISO / IEC 27004
ISO / IEC 27004: 2009 proporciona orientación sobre el desarrollo y uso de medidas y mediciones para evaluar la efectividad de un sistema de gestión de la seguridad de la información (ISMS) implementado y controles o grupos de controles, como se especifica en ISO / IEC 27001.
ISO / IEC 27005
ISO / IEC 27005 especifica métodos para la evaluación y el tratamiento del riesgo de la información, y es útil en la fase del plan de acuerdo con ISO 27001.
ISO / IEC TR 27008: 2011
ISO / IEC TR 27008: 2011 proporciona orientación sobre la revisión de la implementación y operación de controles, incluida la verificación de cumplimiento técnico de los controles del sistema de información, de conformidad con los estándares de seguridad de la información establecidos por una organización.
ISO / IEC 24762: 2008
ISO / IEC 24762: 2008 Tecnología de información - Técnicas de seguridad - Pautas para servicios de recuperación de desastres de tecnología de información y comunicaciones es el estándar internacional que ofrece pautas sobre la provisión de servicios de recuperación de desastres de TIC como parte de la gestión de continuidad de negocio (BCM).
ISO / IEC 27031: 2011
ISO / IEC 27031 - Directrices para la preparación de TIC para la continuidad del negocio. Esta norma ha reemplazado a la BS 25777 y describe los conceptos y principios de la tecnología de información y comunicación (TIC) para la continuidad del negocio y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos para mejorar la disponibilidad de TIC de una organización.
ISO / IEC 27035
Normas de sistemas de gestión ISO / IEC 27035 - Seguridad de la información - Gestión de incidentes de seguridad de la información
ISO 31000: 2009
Norma de gestión de riesgos ISO 31000: 2009: ISO 31000 proporciona principios de alto nivel y directrices genéricas para la gestión de riesgos.
ISO / IEC 38500: 2008
ISO / IEC 38500: 2008 Gobierno corporativo de la tecnología de la información: esta norma proporciona principios rectores para los directores de las organizaciones sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones. Se aplica al gobierno de los procesos de gestión (y decisiones) relacionados con los servicios de información y comunicación utilizados por una organización. Estos procesos podrían ser controlados por especialistas de TI dentro de la organización o proveedores de servicios externos, o por unidades de negocios dentro de la organización.
BS 7858: 2006 + A2: 2009
BS 7858: 2006 + Enmienda 2: 2009 Evaluación de seguridad de las personas empleadas en un entorno de seguridad - Código de prácticas. BS 7858 es un estándar de seguridad clave que le indica cómo examinar al personal antes de emplearlo. La BS 7858 brinda recomendaciones para el examen de seguridad de las personas que se emplearán en un entorno en el que la seguridad y protección de las personas, bienes o propiedades es de extrema importancia. También se aplica cuando hay un requisito de las operaciones de la organización empleadora y / o cuando dicho examen de seguridad es de interés público.
BS 25999-1
La BS 25999-1 proporciona pautas para la implementación de cada elemento de continuidad del negocio.
ISO 22301
El estándar ISO 22301 ha reemplazado a BS 25999-2, y se considera el estándar de continuidad empresarial fundamental porque define los conceptos básicos para desarrollar y administrar el BCMS; este es el único estándar de continuidad empresarial certificable. Es útil en la fase Do según la norma ISO 27001 para la implementación de los requisitos dados en su Anexo A Cap. 14 (gestión de la continuidad del negocio).
BS 25999-2
Este estándar fue reemplazado por ISO 22301.
BS 25777: 2008
BS 25777: 2008 Gestión de la continuidad de la tecnología de la información y las comunicaciones. Código de prácticas. Este estándar es reemplazado por ISO 27031.
PD 25111: 2010
PD 25111: 2010 Gestión de continuidad del negocio - Orientación sobre aspectos humanos de la continuidad del negocio. Proporciona orientación sobre la planificación y desarrollo de estrategias y políticas de recursos humanos para las fases clave tras una interrupción: Hacer frente a los efectos inmediatos del incidente Gestión de personas durante el período de interrupción (la etapa de continuidad), y el personal de apoyo después de la recuperación de las operaciones normales.
PD 25666: 2010
PD 25666: 2010 Gestión de la continuidad del negocio - Orientación sobre el ejercicio y las pruebas de continuidad y los programas de contingencia proporciona una orientación adecuada a todas las organizaciones sobre el ejercicio, incluidas las actividades de prueba, para los programas de continuidad y de contingencia. Los arreglos para los sistemas de tecnología de la información (TI) también se incluyen en este.
Comparando los estándares de continuidad del negocio
Una forma popular de comparar estándares y pautas de continuidad de negocios similares es utilizar "cruces" o una tabla de comparación que alinee los diferentes estándares uno al lado del otro para que puedan compararse con un conjunto común de criterios. La siguiente tabla compara los tres estándares actualmente aprobados en el Programa de Preparación del Sector Público del Departamento de Seguridad Nacional de los EE. UU. (Conocido como PS-Prep) con los dos estándares más recientes, el ASIS / BSI BCM.01-2010 conjunto y el ISO 22301.
La columna de la izquierda enumera los componentes comúnmente observados en los estándares de continuidad de negocio. Las columnas de cada estándar describen dónde se puede encontrar la información para cada categoría.
La mayoría de los estándares son preceptivos describiendo lo que se debe hacer. No describen cómo se implementará cada actividad, esto generalmente compete a la organización. La tabla es un punto de partida en el proceso de selección de un estándar. La tabla señala que, esencialmente, cualquier estándar de continuidad de negocio se puede usar en una organización.
Todas las organizaciones experimentan cambios a lo largo del tiempo. Algunos cambios son pequeños, como los cambios en el personal y las funciones del trabajo, mientras que otros cambios son extremos, como fusiones, adquisiciones, reubicaciones de sitios, cambios en las aplicaciones y / o sistemas operativos, etc.
El cambio hace que este proceso sea continuamente revisado y examinado. Un plan de recuperación de desastres es un documento "vivo" que crece en tamaño y alcance a medida que cambia un negocio.
En caso de desastre, el tiempo y el esfuerzo que una organización invirtió en su plan ayudará a asegurar la continuidad de las operaciones del negocio y la estabilidad futura de sus partes interesadas.