Академический Документы
Профессиональный Документы
Культура Документы
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27031:2011.
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27031, es una traducción idéntica de la Norma
Internacional ISO/IEC 27031:2011, Information technology — Security techniques — Guidelines for
information and communication technology readiness for business continuity, El Ministerio de
Telecomunicaciones y Sociedad de la información, MINTEL, es el responsable de la traducción de
esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN.
Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” ha sido reemplazadas por “esta norma nacional”.
Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos
internacionales que se referencian en la Norma Internacional ISO/IEC 27031:2011 y los documentos
normativos nacionales correspondientes:
Índice
Pág.
Prólogo ............................................................................................................................................... iv
Introducción .........................................................................................................................................v
2 Referencias normativas............................................................................................................ 1
3 Términos y definiciones............................................................................................................ 1
4 Abreviaturas ............................................................................................................................. 3
5 Descripción ............................................................................................................................... 3
5.1 El papel de ATCN en la gestión de continuidad del negocio ................................................... 3
5.2 Los principios de la ATCN ........................................................................................................ 5
5.3 Los elementos de la ATCN ...................................................................................................... 6
5.4 Resultados y beneficios de la ATCN........................................................................................ 7
5.5 Establecimiento de la ATCN .................................................................................................... 7
5.6 Uso de planificar-hacer-verificar-actuar para establecer la ATCN .......................................... 8
5.7 Responsabilidad de la dirección .............................................................................................. 8
5.7.1 Liderazgo y compromiso de la dirección .................................................................................. 8
5.7.2 Política de la ATCN .................................................................................................................. 9
Bibliografía ........................................................................................................................................ 37
Prólogo
Las Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2.
La principal tarea del comité técnico conjunto es preparar Normas Internacionales. Los Proyectos de
las Normas Internacionales adoptados por el comité técnico conjunto son distribuidos a los
organismos nacionales para su votación. Su publicación como una Norma Internacional requiere la
aprobación de por lo menos un 75 % de los organismos nacionales con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos elementos de este documento pueden ser
sujetos de derechos de patente. ISO e IEC no deben ser considerados responsables de identificar
cualquiera o todos derechos de patente.
ISO/IEC TR 27031 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de
información, Subcomité SC 27, Técnicas de seguridad de IT.
Introducción
Con los años, las tecnologías de la información y comunicación (TIC) se han convertido en una parte
integral de muchas de las actividades que son elementos de infraestructuras críticas en todos
sectores organizacionales, sean públicos, privados o voluntarios. La proliferación del internet y de
otros servicios de redes electrónicas, y las capacidades de sistemas y aplicaciones de hoy, también
ha significado que las organizaciones se hayan vuelto cada vez más dependientes de infraestructuras
de TIC confiables, seguras y protegidas.
NOTA ISO/TC 223 está en el proceso de desarrollar una Norma pertinente Internacional de gestión de continuidad de
negocio (ISO 22301).
Las fallas de los servicios de TIC, que incluye la aparición de problemas de seguridad como las
intrusiones en el sistema e infecciones de malware, tendrán un impacto en la continuidad de
operaciones del negocio. Por tanto, la gestión de TIC y su continuidad relacionada así como otros
aspectos de seguridad es una parte clave de los requerimientos de continuidad del negocio. Además,
en la mayoría de los casos, las funciones críticas de negocio que requieren la continuidad de negocio
son en general dependientes de las TIC. Esta dependencia significa que interrupciones en TIC
pueden constituir riesgos estratégicos en la reputación de la organización y en su capacidad de
operar.
En consecuencia, la GCN eficaz es con frecuencia dependiente de la adecuación eficaz de TIC para
asegurar que los objetivos de la organización pueden seguir siendo cumplidos en momentos de
interrupciones. Eso es particularmente importante ya que las consecuencias de las interrupciones de
TIC tienen, a menudo, la complicación añadida de ser invisibles o difíciles de detectar.
Para que una organización alcance la Adecuación de TIC para la Continuidad de Negocio (ATCN),
esta necesita implementar un proceso sistemático para prevenir, predecir y administrar las
interrupciones e incidentes de TIC que tienen el potencial para interrumpir servicios de TIC. La mejor
manera para lograr eso, es mediante la aplicación de los pasos cíclicos de Planificar-Hacer-Verificar-
Actuar (PDVA), como parte de un sistema de gestión de ATCN (Adecuación de TIC para la
Continuidad del Negocio). De este modo, la ATCN apoya al GCN, asegurando que los servicios de
TIC son tan resistentes como apropiados y se pueden recuperar para predeterminar los niveles
dentro de escalas de tiempo, requeridas y acordadas por la organización.
Planificar Establecer política, objetivos, metas, procesos y procedimientos pertinentes de ATCN para
gestionar el riesgo y mejorar la adecuación de TIC para entregar resultados de acuerdo con las
políticas generales de continuidad de negocio y los objetivos de una organización.
Hacer Implementar y operar las políticas, los controles, los procesos y los procedimientos de la ATCN.
Verificar Evaluar, y donde sea aplicable, medir el rendimiento de procesos frente a las políticas, los objetivos
y las experiencias prácticas de la ATCN y reportar los resultados a la dirección para la revisión.
Actuar Tomar acciones correctivas y preventivas basadas en los resultados de la revisión de gestión, para
lograr la mejora continua de la ATCN.
Si una organización utiliza la ISO/IEC 27001 para establecer un SGSI o utiliza normas pertinentes
para establecer un SGCN, preferiblemente el establecimiento de una ATCN debería tener en cuenta
procesos existentes o previstos, enlazados a estas normas. Este enlace puede apoyar al
establecimiento de una ATCN y también se puede evitar cualquier proceso dual para la organización.
La Figura 1 resume la interacción de una ATCN y un SGCN.
El objeto y campo de aplicación de esta norma nacional abarca todos los eventos e incidentes
(incluyen aquellos que están relacionados con la seguridad) que podrían tener un impacto en la
infraestructura y en los sistemas de TIC. Este incluye y amplía las prácticas de manejo y de gestión
de incidentes de seguridad de la información y la planificación y los servicios de adecuación de TIC.
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicación de este documento.
Para las referencias fechadas, solamente la edición citada se aplica. Para las referencias sin fecha, la
última edición del documento de referencia (incluyendo cualquier enmienda) se aplica.
1)
ISO/IEC TR 18044:2004 , Tecnología de información – Técnicas de seguridad – Gestión de
incidentes de seguridad de información
3 Términos y definiciones
Para propósitos de este documento, se aplican los términos y las definiciones, dados en
ISO/IEC TR 18044, ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 y los
siguientes.
1)
ISO/IEC TR 18044:2004 se debe revisar y re-numerar como ISO/IEC 27035
3.1
sitio alterno
una ubicación operativa alternativa, seleccionada para ser utilizada por una organización cuando las
operaciones normales de negocio no se pueden llevar a cabo utilizando la ubicación normal después
de que se ha producido una interrupción
3.2
gestión de continuidad del negocio
GCN
proceso holístico de gestión que identifica amenazas potenciales para una organización y los
impactos que dichas amenazas podrían causar en las operaciones del negocio, si estas se
produjesen, lo que proporciona un marco de referencia para construir una resistencia organizacional
con la capacidad de una respuesta eficaz que salvaguarda los intereses de sus partes relacionadas
claves, la reputación, la marca y actividades de creación de valor
3.3
plan de continuidad de negocio
PCN
los procedimientos documentados que guían a las organizaciones a responder, recuperar, reanudar,
restaurar hasta un nivel predefinido de operación luego de la interrupción
NOTA Típicamente esto cubre a los recursos, los servicios y las actividades requeridas para asegurar la continuidad de
funciones críticas del negocio.
3.4
análisis de impacto en el negocio
AIN
el proceso de analizar funciones operacionales y el efecto que una interrupción podría tener en ellas
3.5
crítico
descripción cualitativa que se utiliza para enfatizar la importancia de un recurso, proceso o función
que tiene que estar disponible y constantemente operativo, o disponible y operativo con la mayor
brevedad posible después de que haya ocurrido un incidente, una emergencia o un desastre
3.6
interrupción
incidente, ya sea previsto (por ejemplo, un huracán) o imprevisto (por ejemplo, falla eléctrica/corte
eléctrico, terremoto, un ataque a los sistemas/infraestructura de TIC), que interrumpe el curso normal
de las operaciones en un lugar de la organización
3.7
recuperación de desastre de TIC
la capacidad de los elementos de TIC de una organización para apoyar a sus funciones críticas de
negocio a un nivel aceptable dentro de un periodo predeterminado de tiempo después de una
interrupción
3.8
plan de recuperación de desastre de TIC
PRD TIC
un plan claramente definido y documentado que recupera las capacidades de TIC cuando ocurre una
interrupción
3.9
modo de fallo
una manera por la cual se observa un fallo
NOTA En general, describe la manera en la cual ocurre el fallo y su impacto en la operación del sistema.
3.10
adecuación de TIC para la continuidad del negocio
ATCN
la capacidad de una organización para apoyar a sus operaciones de negocio mediante la prevención,
detección y la respuesta a una interrupción y la recuperación de los servicios de TIC
3.11
objetivo mínimo de continuidad de negocio
OMCN
el nivel mínimo de servicios o productos que la organización puede aceptar para lograr sus objetivos
de negocio durante una interrupción
3.12
objetivo de punto de recuperación
OPR
un punto en el tiempo hasta el cual todos los datos tienen que ser recuperados después de que haya
ocurrido una interrupción.
3.13
objetivo de tiempo de recuperación
OTR
periodo de tiempo dentro del cual los niveles mínimos de servicios o productos y los sistemas, las
aplicaciones, o funciones de apoyo se tienen que recuperar después de que haya ocurrido una
interrupción
3.14
resistencia
la capacidad de una organización de resistirse a ser afectada por interrupciones
3.15
detonador
un evento que hace que el sistema inicie una respuesta
3.16
registro vital
un registro electrónico o en papel que es esencial para preservar, continuar o reconstruir las
operaciones de una organización y para proteger los derechos de una organización, sus empleados,
sus clientes y sus partes relacionadas
4 Abreviaturas
ATCN Adecuación de TIC para la Continuidad de Negocio
5 Descripción
5.1 El papel de ATCN en la gestión de continuidad del negocio
La Gestión de Continuidad del Negocio (GCN) es un proceso holístico de gestión que identifica
impactos potenciales que amenazan la continuidad de actividades de negocio de una organización y
proporciona un marco para la construcción de resistencia y de capacidad de respuesta eficaz que
salvaguarda los intereses de la organización contra interrupciones.
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 3 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
Como una parte del proceso de GCN, la ATCN se refiere a un sistema de gestión que complementa y
apoya al programa de GCN o de SGSI de una organización, para mejorar la preparación de la
organización para:
b) asegurar la continuación de operaciones críticas de negocio apoyadas por los servicios de TIC
relacionados;
c) alistarse para responder antes de que ocurra una interrupción de servicio de TIC, después de la
detección de uno o una serie de eventos relacionados que se convierten en incidentes; y
La figura 2 ilustra el resultado deseado de TIC para apoyar a las actividades de gestión de
continuidad de negocio.
La norma Internacional de GCN, que fue desarrollada por ISO/TC 223, resume el enfoque de GCN
para prevenir, reaccionar y recuperarse de incidentes. Las actividades involucradas en la GCN
incluyen la preparación, la gestión operacional de continuidad, la planificación de recuperación de
desastre (PRD) y la mitigación de riesgos que se centra en aumentar la resistencia de la
organización, y mediante su preparación, aumentar su capacidad de reaccionar eficazmente a
incidentes y recuperarse dentro de las escalas de tiempo predeterminadas.
Por lo tanto, una organización establece sus prioridades de GCN y estas son las que dirigen las
actividades de ATCN. A su vez, la GCN depende de la ATCN para asegurar que la organización
pueda cumplir sus objetivos generales de continuidad en todo momento y particularmente durante
tiempos de interrupciones.
a) Prevención de incidente – Proteger los servicios de TIC de amenazas, tales como amenazas
ambientales y fallos de hardware, errores operacionales, ataques maliciosos, y desastres
naturales, es crítico para mantener los niveles deseados de disponibilidad de los sistemas para
una organización;
Figura 4 – Principios de ATCN sobre una línea de tiempo típica para recuperación de desastres
de TIC
c) Tecnología:
Los beneficios de una ATCN eficaz para la organización son, que ella:
a) entiende los riesgos para la continuidad de los servicios de TIC y sus vulnerabilidades;
c) alienta una colaboración mejorada entre sus gerentes de negocio y sus proveedores de servicio
de TIC (internos y externos);
e) proporciona la garantía para la alta dirección de que esta puede depender de los niveles
predeterminados de servicios de TIC, y de que recibirá el apoyo y comunicación adecuada en el
evento de una interrupción;
h) tiene servicios de TIC que son rentables y no son sub o sobreinvertidos por medio de la
comprensión del nivel de las dependencias de estos servicios de TIC; y la naturaleza, la
ubicación, la interdependencia y el uso de los componentes que forman los servicios de TIC;
k) entiende y documenta las expectativas de las partes relacionadas, así como sus relaciones con
los servicios de TIC.
Así, la ATCN proporciona una manera válida para determinar el estado de los servicios de TIC de una
organización para apoyar a sus objetivos de continuidad de negocio, abordando la pregunta “es
nuestro TIC capaz de responder” en lugar de “es nuestro TIC seguro”.
Es probable que la ATCN sea más eficiente y rentable cuando esta se diseña e incorpore en los
servicios de TIC desde el comienzo, como parte de una estrategia de ATCN que apoya a los objetivos
de continuación del negocio (CN) de la organización. Eso asegura que los servicios de TIC se
construyan mejor, se entiendan mejor y que sea más resistentes. El reajuste de la ATCN puede ser
complejo, perturbador y costoso.
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 7 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
Esos procesos deberían asegurar que: los objetivos de la ATCN están claramente establecidos,
entendidos y comunicados, y que se demuestra el compromiso de la alta dirección con la ATCN.
La ATCN involucra a la organización para establecer procesos para desarrollar y ampliar los
elementos claves de la ATCN (ver 5.2) para mejorar su capacidad de responder a cualquier tipo de
interrupción, incluyendo las situaciones de riesgos cambiantes a través del uso del enfoque de
Planificar-Hacer-Verificar-Actuar (PHVA). La Figura 5 presenta gráficamente las actividades en las
diferentes etapas de la ATCN.
Para ser eficaz, un programa de la ATCN debería ser un proceso totalmente integrado con las
actividades de gestión de la organización, manejado desde la cabeza organizacional, aprobado y
promocionado por la alta dirección. Varios profesionales practicantes de la ATCN y personal de otras
disciplinas y departamentos de gestión, pueden ser requeridos para apoyar y gestionar el programa
de la ATCN. La calidad de recursos requeridos para apoyar a semejante programa dependerá del
tamaño y de la complejidad de la organización.
La organización debería tener una política de la ATCN documentada. Inicialmente, eso puede estar
en un nivel alto con un mayor refinamiento y alcance, a medida que todo el proceso de ATCN
madura. La política se debería revisar regularmente y se debería actualizar con relación con las
necesidades de la organización y debería ser consistente con los amplios objetivos organizacionales
de GCN.
La política de ATCN debería proporcionar a la organización los principios documentados a los cuales
se aspirará, y contra los cuales se puede medir la eficacia de la ATCN. Esta debería:
g) Ser revisada en intervalos planificados y cuando existan cambios significativos, tales como
cambios ambientales, cambios del negocio y la estructura de una organización.
6 Planificación de la ATCN
6.1 Generalidades
a) la estrategia de ATCN y el Plan de ATCN que se requieren para apoyar al negocio, requisitos
legales, reglamentarios y normativos, referentes al campo de aplicación definido y al logro de las
metas y los objetivos de continuidad de negocio de la organización; y
6.2 Recursos
6.2.1 Generalidades
Como parte del mandato de política, la organización debería definir la necesidad de un Programa de
ATCN como parte de sus objetivos generales de GCN y, además, debería determinar y proporcionar
los recursos necesarios para establecer, implementar, operar y mantener semejante programa de la
ATCN.
Se deberían definir y documentar los cargos, las responsabilidades, las competencias y las
autoridades de la ATCN.
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 9 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
a) nombrar o designar una persona con la antigüedad y la autoridad adecuada como Responsable
de la política y la implementación de la ATCN; y
La organización debería asegurar que todo el personal al que se asigna responsabilidades, sea
competente para realizar las tareas requeridas. Para detalles, refiérase a 7.2.1.
6.3.1 Generalidades
Como parte de su programa de GCN, la organización habrá clasificado sus actividades de acuerdo a
sus prioridades para la continuidad (como ha sido determinado por un Análisis de Impacto en el
Negocio) y habrá definido el nivel mínimo en el cual es necesario que cada actividad crítica se realice
después de reanudarse. La alta dirección debería ponerse de acuerdo con los requisitos de
continuidad de negocio de la organización y esos requisitos resultarán en el Tiempo Objetivo de
Recuperación (OTR) y en el Punto Objetivo de Recuperación (OPR) para el Objetivo Mínimo de
Continuidad de Negocio (OMCN) por producto, servicio o actividad. Esos OTR empiezan desde el
momento en el cual ocurre la interrupción y transcurren hasta que el producto, el servicio o la
actividad están recuperados.
Puede haber un número de servicios de TIC que se consideran como críticos y requeridos para
permitir que la recuperación tenga lugar. Cada uno de esos servicios críticos de TIC debería tener su
propio Objetivo de Tiempo de Recuperación (OTR) documentado y su propio Punto Objetivo de
Recuperación (OPR) documentado para el Objetivo de Continuidad de Negocio Mínimo (OMCN) del
servicio de TIC. (Aquello puede incluir unos aspectos de la entrega de servicio de TIC, tales como la
mesa de ayuda.) El OTR de los servicios críticos de TIC será invariablemente menor que el OTR de
continuidad de negocio. (Referirse al Anexo A para la elaboración detallada del OTR y del OPR.)
La organización debería identificar y documentar sus servicios críticos de TIC para incluir breves
descripciones y nombres que son significativos para la organización en el nivel de usuario de servicio.
Eso asegurará el entendimiento común entre el personal de negocio y el personal de TIC ya que se
puede utilizar nombres diferentes para el mismo servicio de TIC. Cada servicio crítico enumerado de
TIC debería identificar el producto o el servicio de la organización la cual apoya, y la alta dirección
debería acordar sobre los servicios de TIC y sus requisitos asociados a la ATCN.
Para cada servicio crítico de TIC identificado y convenido, todos los componentes de TIC del servicio
de extremo-a-extremo se deberían describir y documentar, mostrando como son configurados o
vinculados para entregar cada servicio. Se deberían documentar tanto el ambiente normal de entrega
de servicio de TIC, como las configuraciones de ambiente de entrega de servicio de continuidad de
TIC.
Para cada servicio crítico de TIC, la capacidad actual de continuidad (por ejemplo, la existencia de un
punto único de fallo) se debería revisar desde una perspectiva de prevención para evaluar los riesgos
de una interrupción o degradación de servicio (que se puede tomar como parte del ejercicio general
de valoración de riesgo de GCN). También, las oportunidades se deberían buscar para mejorar la
resistencia del servicio de TIC y así reducir la probabilidad o el impacto de la interrupción de servicio.
La organización puede decidir, si hay un caso de negocio para invertir en las oportunidades
identificadas, para mejorar la resistencia del servicio. Esta valoración de riesgo del servicio (que
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 10 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
puede formar una parte del marco general de gestión de riesgo de la organización), también puede
asesorar en que caso de negocio para mejorar la capacidad de recuperación del servicio de TIC.
6.3.3 Identificación de las brechas entre las capacidades de adecuación de TIC y los requisitos
de continuidad del negocio
Para cada servicio crítico de TIC, las disposiciones actuales de la Adecuación de TIC – tales como
prevención, monitorización, detección, respuesta y recuperación – se deberían comparar con los
requisitos de continuidad de negocio y cualquier brecha se debería documentar.
La alta dirección debería estar informada de cualquier brecha entre la capacidad crítica de la ATCN y
los requisitos de continuidad de negocio. Tales brechas pueden indicar riesgos y la necesidad de
resistencia adicional y de recursos de recuperación, tales como:
b) instalaciones para alojar las instalaciones de TIC, por ejemplo, una sala de computadoras;
La alta dirección debería refrendar las definiciones de servicio de TIC, las listas documentadas de
servicios críticos de TIC y los riesgos asociados con las brechas identificadas entre la capacidad
crítica de la ATCN y los requisitos de continuidad de negocio. Esto debería incluir, donde sea
apropiado, el reconocimiento de los riesgos identificados. Las opciones de abordar las brechas y los
riesgos identificados se deberían luego explorar mediante la determinación de estrategias de la
ATCN.
6.4.1 Generalidades
Las estrategias de la ATCN deberían definir los enfoques para implementar la resistencia requerida
para que los principios de la prevención de incidentes, la detección, la respuesta, la recuperación y la
restauración se pongan en marcha.
La estrategia de ATCN debería ser lo suficientemente flexible para atender a las estrategias
diferentes de negocio en los mercados diferentes. Además, la estrategia debería tener en cuenta las
restricciones internas y los factores internos, tales como:
a) presupuesto;
b) disponibilidad de recursos;
d) restricciones tecnológicas;
g) obligaciones legales.
Las opciones deberían tener en cuenta los varios componentes requeridos para asegurar la
continuidad y la recuperación de los servicios críticos de TIC. La ATCN se puede lograr de muchas
maneras, y debería referirse a los elementos de la ATCN como está descrito en 5.3.
La organización debería identificar estrategias apropiadas para mantener las competencias básicas y
el conocimiento básico de TIC. Esto se puede extender más allá de los empleados, a los contratistas
y otras partes interesadas que posean las competencias y el conocimiento extensivo especializado de
TIC. Las estrategias para proteger o proporcionar esas competencias pueden incluir:
b) la formación multicompetencia del personal de TIC y de los contratistas de TIC para mejorar la
redundancia de competencias;
6.4.2.2 Instalaciones
De acuerdo con los riesgos identificados, la organización debería idear las estrategias para reducir el
impacto de la indisponibilidad de las instalaciones normales de TIC. Esto puede incluir uno o más de
los siguientes:
Las estrategias para las instalaciones de TIC pueden variar significativamente y una gama de
opciones pueden estar disponibles. Los tipos diferentes de incidentes o de amenazas pueden requerir
la implementación de estrategias múltiples (un enfoque de elegir y mezclar), las cuales se manejarán
en parte por el tamaño, la amplitud de actividades, las ubicaciones, las tecnologías y el presupuesto,
etc., de la organización.
Al considerar el uso de lugares alternativos, los siguientes aspectos se deberían tener en cuenta:
d) disponibilidad.
6.4.2.3 Tecnología
Los servicios de TIC, de los cuales dependen las actividades críticas de negocio, deberían estar
disponibles antes de la reanudación de sus actividades críticas dependientes de negocio. Así, se
requieren soluciones que aseguren la disponibilidad de las aplicaciones dentro de marcos específicos
de tiempo, por ejemplo, los OTR siendo determinados como parte del AIN. Las plataformas de
tecnología y los programas de aplicación se deberían poner en marcha dentro de escalas de tiempo,
exigidas por la organización en su conjunto.
Las tecnologías que apoyan a los servicios críticos de TIC necesitan con frecuencia disposiciones
complejas para asegurar la continuidad, así que lo siguiente se debería considerar cuando se
seleccionan las estrategias de ATCN:
a) los OTR y los OPR para los servicios críticos de TIC que apoyan a las actividades críticas,
identificadas por el programa de GCN;
e) requisitos de refrigeración;
f) requisitos de energía;
g) el uso de sitios sin personal (oscuros) en contraposición a los sitios con personal;
k) la obsolescencia de tecnología; y
6.4.2.4 Datos
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 13 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
Las actividades críticas adicionales de negocio pueden depender de la provisión de los datos
actualizados o casi actualizados. Las soluciones de continuidad de los datos deberían ser diseñadas
para cumplir los Objetivos del Punto de Recuperación (OPR) de cada actividad crítica de negocio de
la organización, en la manera en la que se relacionan con las actividades críticas de negocio.
El almacenamiento de los datos y las estrategias de ATCN deberían cumplir los requisitos de
continuidad del negocio de la organización, y deberían tener en cuenta:
b) cómo se almacenan los datos de manera segura, por ejemplo disco, cinta o medios ópticos;
mecanismos adecuados de respaldo y recuperación deberían estar en marcha para asegurar
que los datos estén seguros y estén en un ambiento libre de riesgo;
d) las escalas de tiempo de recuperación, tomando en cuenta el volumen de los datos, como son
almacenadas y la complejidad del proceso técnico de recuperación, junto con los requisitos del
usuario del servicio y las necesidades de la continuidad organizacional.
Se debería recordar que la naturaleza, la vigencia y el valor de los datos variarán enormemente
dentro de una organización.
6.4.2.5 Procesos
6.4.2.6 Proveedores
b) disposiciones con proveedores para la entrega de equipo de reemplazo con poca anticipación;
La organización debería incluir los requisitos de gestión de TIC y de continuidad del negocio en los
contratos con sus socios y sus proveedores de servicio. Los cronogramas contractuales deberían
incluir referencias a las obligaciones de cada parte, los niveles de servicio convenidos, la respuesta a
incidentes mayores, la asignación de costos, la frecuencia de ejecución y las acciones correctivas.
6.5 Firma
Las opciones de estrategia de ATCN seleccionadas deberían ser presentadas a la alta dirección con
recomendaciones para una decisión basada en la propensión al riesgo y en el costo.
La alta dirección debería ser informada si las opciones estratégicas de las ATCN seleccionadas no
son capaces de cumplir los requisitos de continuidad de negocio, en cuyo caso ellas pueden ser
informadas de la capacidad actual.
La alta dirección debería seleccionar las estrategias de ATCN de entre las opciones que se presentan
ante ellos, y aprobar y firmar las opciones documentadas para confirmar que las decisiones se han
llevado a cabo correctamente, y que estas apoyan a los requisitos generales de continuidad del
negocio.
c) ser adecuadas para cumplir los objetivos generales de la organización dentro de su propensión
al riesgo.
La organización debería incluir dentro de su estrategia y planes de alto nivel de ATCN, referencias a
las mejoras específicas de las capacidades de ATCN que se requieren para cumplir sus requisitos de
ATCN identificados. Semejantes mejoras se pueden lograr a través de acciones preventivas y
correctivas (referirse a 9.2 y 9.3), así como otros procesos o metodologías específicas que sean
respuestas relevantes para el AIN de la organización y para su propensión al riesgo.
Dentro de cualquier ambiente de TIC hay muchos eventos potencialmente amenazantes – tales como
fallo de equipos, intrusiones de seguridad, etc. y una organización debería ser capaz de monitorear
las amenazas y de comprender si el sistema de ATCN es capaz de tratar con ellos adecuadamente.
Por lo tanto, la organización debería definir los criterios de desempeño para medir la eficacia de la
adecuación de la TIC. Los criterios semejantes se pueden utilizar para determinar la calidad deseada
de la respuesta a una interrupción, tanto en los términos de su eficacia como de su eficiencia.
Los criterios de desempeño para la ATCN se deberían basar en los requisitos de ATCN, así como en
los objetivos generales de GCN, en términos de respuesta de incidentes y de requisitos de
continuidad. (Referirse a 8.3.1)
7 Implementación y operaciones
7.1 Generalidades
Las estrategias de ATCN se deberían implementar solamente después de la aprobación por la alta
dirección. En este punto empieza la etapa de implementación. Este capítulo proporciona
recomendaciones para la implementación de las estrategias elegidas de ATCN de una organización,
junto con la estructura, los planes y los procedimientos necesarios de la organización, requeridas
para apoyar a la implementación.
La organización debería gestionar los recursos (ver 7.2), los procedimientos y las operaciones de
ATCN, así como implementar programas de formación y de concienciación. La implementación se
debería gestionar como un proyecto a través de un proceso formal de control de cambio de la
organización y los controles de gestión del proyecto de GCN, con el fin de asegurar total visibilidad y
adecuado reporte de la gestión.
El conocimiento general de la adecuación de los elementos de los servicios de TIC (ver 5.3)
–personas, instalaciones, tecnología, datos, procesos y proveedores, así como sus componentes
críticos– es un elemento crucial para asegurar el apoyo requerido para la gobernabilidad de
continuidad de negocio y del sistema de gestión, incluyendo la adecuación de TIC. Por lo tanto, la
organización debería:
b) asegurar que el personal esté consciente de como contribuye al logro de los objetivos de ATCN.
c) provisión de capacitación
7.2.2 Instalaciones
Los sistemas de recuperación de TIC y los datos críticos deberían, cuando sea posible, estar
separados de forma física del sitio operacional para impedir que ellos sean afectados por el mismo
incidente.
7.2.3 Tecnología
Se deberían implementar estrategias de tecnología de TIC. Estas pueden incluir una o más de las
siguientes implementaciones y disposiciones:
c) cold standby, donde la infraestructura se construye o configura desde cero en una ubicación
alterna;
7.2.4 Datos
Las disposiciones para la disponibilidad de datos se deberían alinear con los requisitos identificados
dentro de las estrategias de gestión de ATCN, y pueden incluir:
b) unas ubicaciones alternativas para el almacenamiento de datos, que pueden ser físicas o
virtuales, con la condición de que se mantenga la seguridad y la confidencialidad de los datos;
por lo tanto, los procedimientos apropiados de acceso deberían estar en su lugar y, si las
disposiciones se hacen a través de terceros para el almacenamiento de esta información, los
mismos propietarios de la información deberían asegurarse que hayan controles apropiados.
7.2.5 Procesos
Los procesos de ATCN deberían ser documentados claramente y con suficientes detalles para
permitir que el personal competente los ejecute (algunos de esos procesos pueden diferir de la
operación diaria).
Los procedimientos de ATCN pueden depender de la situación que surja y en la práctica; es posible
que sea necesario adaptarlos dependiendo de la interrupción (por ejemplo, el grado de pérdidas o
daños), las prioridades operacionales de la organización y las demandas de las partes relacionadas.
7.2.6 Proveedores
La organización debería asegurar que los proveedores críticos sean capaces de apoyar a las
capacidades de servicio de ATCN, requeridas por la organización. Eso incluye tener sus propios
planes de continuidad de negocio y de ATCN, documentados y probados, con la capacidad de apoyar
a las activaciones concurrentes de planes de recuperación o de incidentes, por parte de los clientes.
La organización debería establecer un proceso para evaluar la capacidad y la habilidad de los
proveedores antes de emplear sus servicios, así como del monitoreo continuo y la revisión de la
capacidad de los proveedores después del compromiso. La conformidad con los requisitos/ buenas
prácticas de las normas pertinentes es un medio útil para determinar la capacidad del proveedor, por
ejemplo, la adopción de ISO/IEC 24762 para las mejores prácticas de proveedores que
hospedan/gestionan la instalación de procesamiento alternativo y proporcionan los servicios de
recuperación de desastres de TIC.
Para cualquier incidente de TIC debería haber una respuesta al incidente para:
c) contener el incidente; y
La respuesta al incidente debería desencadenar una acción apropiada de ATCN. Esta respuesta
debería integrarse con la respuesta general de incidentes de GCN y puede activar a un equipo de
gestión de incidentes o, en una pequeña organización, a un solo individuo con la responsabilidad de
la gestión de continuidad de negocio y de incidentes.
Una organización más grande puede utilizar un enfoque escalonado y puede establecer diferentes
equipos para centrarse en diferentes funciones. Dentro de TIC, eso se puede basar en cuestiones
técnicas o relacionadas con el servicio.
Aquellas personas responsables de la gestión de incidentes deberían tener planes para la activación,
la operación, la coordinación y la comunicación de la respuesta a los incidentes.
7.4.1 Generalidades
La organización debería tener documentación (planes) para gestionar una interrupción potencial y así
permitir la continuidad de servicios de TIC y la recuperación de actividades críticas.
La organización puede desarrollar documentos específicos del plan para recuperar o reiniciar los
servicios de TIC a un estado “normal” (planes de recuperación). Sin embargo, no podría ser posible
de definir qué es “normal” hasta algún tiempo después del incidente, así que no podría ser posible
implementar los planes de recuperación de inmediato. Por lo tanto, la organización debería asegurar
que las disposiciones de continuidad puedan realizar una operación extensa para apoyar a la
continuidad de negocio en su forma más amplia, dando tiempo para el desarrollo de los planes de
recuperación (“volver a la normalidad”).
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 18 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
Una pequeña organización puede tener un único documento a manera de plan que abarque a todas
las actividades para recuperar los servicios de TIC en toda su operación. Una organización muy
grande puede tener muchos documentos para el plan, de los cuales cada uno especifica en detalle la
recuperación de un elemento particular de sus servicios de TIC.
La respuesta de TIC y los planes de recuperación deberían ser concisos y accesibles para aquellos
que tienen las responsabilidades definidas en los planes. Los planes deberían contener los siguientes
elementos:
a) Propósito y alcance
El propósito y el campo de aplicación de cada plan específico deberían ser definidos, aceptados por
la alta dirección, y entendidos por aquellos a quienes se invocará en el plan. Cualquier relación con
otros planes pertinentes o documentos dentro de la organización, particularmente con los planes de
CN, deberían ser referenciados claramente, y el método para obtener y acceder a esos planes
debería ser descrito.
Cada gestión de incidentes y cada respuesta de TIC y cada plan de recuperación debería exponer los
objetivos priorizados en los términos de:
iii) los niveles de recuperación necesarios para cada actividad crítica de servicio de TIC; y
También, los planes pueden contener, cuando sea apropiado, procedimientos y listas de verificación
que apoyan al proceso de revisión posterior al incidente.
b) Cargos y responsabilidades
Los cargos y las responsabilidades de las personas y de los equipos que tienen autoridad (tanto en
términos de toma decisiones y de autoridad para gastar) durante y después de un incidente se
deberían documentar claramente.
NOTA Invariablemente la pérdida de tiempo durante una respuesta no se puede recuperar. Casi siempre es mejor iniciar una
respuesta de TIC y luego detenerla, que perder una oportunidad de contener un incidente temprano y evitar así una escalada.
Por lo tanto, la organización tiene que utilizar los protocolos de escalamiento y activación de gestión
de incidentes contenidos dentro de sus amplios planes de gestión de incidentes para la continuidad
del negocio para formar una base sobre la cual se pueda gestionar las potenciales interrupciones del
servicio relacionado con TIC.
El método por el cual se activa una respuesta de TIC y un plan de recuperación se debería
documentar claramente. Por lo tanto, este proceso debería permitir que se activen los planes
pertinentes o a las partes del mismo, en el tiempo más corto posible, o bien por adelantado en el caso
de un evento potencialmente disruptivo o inmediatamente después de la ocurrencia de un evento.
iii) las subsiguientes ubicaciones de encuentro del equipo y detalles de cualquier ubicación
alternativa (en una organización más grandes se puede referir a estos lugares de encuentro
como centros de mando); y
iv) las circunstancias bajo las cuales la organización considera que una respuesta de ATCN no
sea necesaria (por ejemplo, fallas y cortes de energía leves, tal vez en los servicios críticos de
TIC, pero que son gestionados por el servicio de asistencia normal y por disposiciones y
convenios de soporte).
La organización debería documentar un proceso claro para que se retire el equipo de respuesta de
TIC una vez que el proceso ha terminado, y para regresar a la operación normal del negocio.
Un sistema del control de versión se debería emplear, y los cambios se deberían notificar
formalmente a todas las partes interesadas con el uso de un registro formal de distribución de
documentos del plan de continuidad.
e) Detalles de contacto
NOTA Los registros de contacto pueden incluir detalles de contacto de “fuera de la hora de operación”. Sin embargo,
cuando los planes se refieren a tales tipos de detalles privados, el respeto a la privacidad de información tiene que ser una
consideración primordial.
Cuando sea apropiado, cada documento del plan debería contener o proporcionar una referencia a
los detalles esenciales de contacto para todas las partes interesadas clave.
La documentación debería definir el marco general dentro del cual se organizan los planes de
recuperación, cubriendo:
Los planes se deberían documentar de tal manera que el personal competente pueda utilizarlos en el
evento de un incidente. Deberían incluir:
b) Campo de aplicación: que abarca lo siguiente, con referencia a los resultados del AIN:
ii) tecnología: una descripción general de la tecnología principal que apoya a los servicios,
incluyendo donde se hospeda;
iv) documentación: una descripción de la documentación más importante para la tecnología, que
incluye las ubicaciones (fuera del sitio) donde se almacenan.
ii) una lista de actividades para recuperar la red, los sistemas, las aplicaciones, las bases de
datos, etc., hasta un nivel acordado en una ubicación alternativa, teniendo en cuenta el
ambiente alterado (por ejemplo, eso podría afectar la capacidad de la línea, las
comunicaciones de sistema-a-sistema, etc.);
iii) una lista de actividades para restaurar las funcionalidades básica como la seguridad, el
enrutamiento y el registro;
v) los procesos necesarios para restaurar los servicios de TIC y entregarlos a sus usuarios
para que estos operen en modo de recuperación;
vii) dónde y cómo las personas pueden obtener más información, instrucciones, etc., por
ejemplo, números de línea directa; y los pasos a seguir para volver a la normalidad.
f) Apéndices
Se debería implementar un programa coordinado para asegurar que los procesos estén
implementados para promocionar regularmente una concienciación de la ATCN en general, así como
para evaluar y mejorar la competencia de todo el personal clave pertinente para la implementación
exitosa de la ATCN (referirse a 7.2.1).
Los controles se deberían establecer sobre los registros de ATCN con el fin de:
a) los documentos sean aprobados para que sean revisados antes de su emisión;
d) las versiones pertinentes de documentos aplicables estén disponibles en los puntos de uso;
8 Monitoreo y revisión
8.1 Mantenimiento de la ATCN
8.1.1 Generalidades
Los cambios traen riesgos; no solamente el riesgo de fallos, sino también el riesgo de desestabilizar
las políticas y estrategias existentes. Por lo tanto, las estrategias de ATCN deberían ser resistentes y
adaptables.
Cualquier cambio en los servicios de TIC que pueda afectar la capacidad de ATCN se debería
implementar solamente después de que las implicaciones del cambio de la continuidad de negocio
hayan sido evaluadas y tratadas.
Para asegurar que las estrategias y los planes de ATCN sigan siendo apropiados para la
organización:
a) la alta dirección debería asegurar que las estrategias de ATCN sigan apoyando a los requisitos
de GCN de la organización;
b) el proceso de gestión de cambio debería incluir a todas las partes responsables en las
estrategias de ATCN, tanto en su planificación como en su implementación;
c) el proceso de desarrollo para nuevos servicios de TIC debería incluir la aceptación de que la
capacidad de recuperación no se ha visto comprometida incluso por las actualizaciones y
mejoras más simples;
b) la gestión de instalaciones para alojar el equipo de TIC (por ejemplo, mediante el monitoreo del
número y la naturaleza de incidentes/vulnerabilidades de seguridad, relacionados con los cuartos
de computadoras);
8.1.3.1 Generalidades
La organización debería probar no solamente la recuperación del servicio de TIC, sino también sus
elementos de protección y recuperación con el fin de determinar si:
c) los procedimientos para volver a la operación normal del negocio, son válidos.
En la mayoría de los casos, el conjunto completo de los elementos y procesos de ATCN, incluyendo
la recuperación de TIC, no puede ser probado en una sesión de prueba y ejercicios. Por lo tanto, un
régimen progresivo de ejercicios podría ser apropiado hasta que exista la construcción de una
simulación completa de un incidente real. El programa debería incluir diferentes niveles de ejercicios
desde la familiarización hasta la recuperación de la sala de computadores, como está definido en la
Figura 5, y este debería considerar todos aspectos de la entrega del servicio de TIC de extremo-a-
extremo.
Hay riesgos asociados con las pruebas y los ejercicios, y semejantes actividades no deberían
exponer a la organización a un nivel de riesgo inaceptable. El programa de prueba y ejercicios
debería definir como se aborda el riesgo de ejercicios individuales. Se debería obtener la aprobación
del programa por la alta dirección y también se debería documentar una explicación clara de los
riesgos asociados.
Los objetivos del programa de prueba y ejercicio se deberían alinear estrictamente con el alcance y
los objetivos de la amplia gestión de continuidad de negocio y debería ser complementario al amplio
programa de ejecución de la organización. Cada prueba y ejercicio debería tener tanto objetivos de
negocio (incluso cuando no hay una participación directa de negocio) como objetivos técnicos
definidos para probar o para validar un elemento específico de la estrategia de ATCN.
f) pruebas de red; y
Los ejercicios deberían ser progresivos para que incluyan una prueba de crecientes dependencias e
interrelaciones y de comunidades pertinentes de usuarios finales.
b) demostrar que los servicios críticos de TIC se pueden mantener y recuperar dentro de los niveles
u objetivos de recuperación acordados, independientemente del incidente;
c) demostrar que los servicios críticos de TIC se pueden restaurar a un estado previo a la prueba
en el evento de un incidente en la ubicación de recuperación;
g) identificar cualquier mejora que sea requerida para la estrategia de ATCN, la arquitectura o los
procesos de recuperación; y
El ejercicio se debería aplicar a todo el ambiente de TIC y a todos los componentes que entregan el
servicio de extremo-a-extremo, desde la sala de computadoras hasta el escritorio del usuario o a
cualquier otro canal de distribución de servicio.
La organización debería ejercitar todos los elementos de la recuperación de servicio de TIC como sea
apropiado para su tamaño y complejidad y alcance de la gestión de continuidad de negocio. El
ejercicio no se debería centrar únicamente en la recuperación y la reanudación de servicio, sino que
también debería incluir la confiabilidad en la capacidad de resistencia, el monitoreo del sistema y la
gestión de alertas.
a) sala de computadoras, tal como la seguridad física; los sistemas de detección de fugas de agua
y de incendios; los procesos de evacuación; calefacción, ventilación y aire acondicionado; el
monitoreo del ambiente; y los protocolos de alerta y los servicios eléctrico;
d) software;
e) datos;
f) servicios; y
Para asegurar que un ejercicio no cause incidentes o perjudique la capacidad de servicio, un ejercicio
se debería planificar cuidadosamente para minimizar el riesgo de un incidente que pueda ocurrir
como un resultado directo del ejercicio.
La gestión de riesgos debería ser apropiada al nivel de ejercicio que se lleva a cabo (por ejemplo, los
elementos de la recuperación de servicio). Esto puede incluir:
a) asegurar que todos los datos sean respaldados justo antes del ejercicio;
c) programar ejercicios “fuera de las horas de operación” o durante horas tranquilas en el ciclo de
negocio, con el conocimiento del usuario final.
Los ejercicios deberían ser realistas, planificados cuidadosamente y acordados con las partes
interesadas, para que exista un riesgo mínimo de interrupción de los procesos de negocio. Sin
embargo, no se deberían llevar a cabo durante incidentes.
La escala y complejidad de los ejercicios debería ser apropiada para los objetivos de recuperación de
la organización.
Cada ejercicio debería tener unos “términos de referencia”, acordados y firmados por adelantado por
el patrocinador del ejercicio, que puede incluir lo siguiente:
a) descripción;
b) objetivos;
c) alcance;
d) supuestos;
e) restricciones;
f) riesgos;
g) criterios de éxito;
h) recursos;
i) roles y responsabilidades;
m) informe; y
Planificar un ejercicio debería permitir a la organización lograr los criterios de éxito identificados.
Se debería desarrollar una estructura clara del responsable para el ejercicio con roles y
responsabilidades asignados a los individuos apropiados. La estructura del responsable del ejercicio
puede incluir:
a) un responsable del ejercicio (un(os) participante(s) con el control total de la prueba y ejercicio);
b) comunicaciones de ejercicio;
c) la confirmación de que hay suficiente personal disponible para emprender el ejercicio con
seguridad;
El ejercicio se debería ejecutar a través del responsable del ejercicio para asegurar que:
b) todo el material del ejercicio y todas las actividades tienen niveles apropiados de
confidencialidad;
Al final de un ejercicio sus hallazgos deberían ser revisados y tratados con prontitud. Eso debería
incluir:
b) analizar los resultados y hallazgos frente a los objetivos del ejercicio y los criterios de éxito;
e) crear un informe del ejercicio para una consideración formal por el patrocinador del ejercicio; y
© ISO/IEC 2011 Todos los derechos reservados
© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 27 de 37
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
El plan de auditoría interna de ATCN debería definir y documentar los criterios de auditoría, el
alcance, el método y la frecuencia de auditoría (por ejemplo, la auditoría interna de ATCN, realizada
anualmente). El plan de auditoría debería asegurar que solamente los auditores internos calificados
sean nombrados para la auditoría. La selección de auditores y el manejo de la auditoría deberían
asegurar la objetividad y la imparcialidad del proceso de auditoría. Los auditores que manejan la
auditoría interna de ATCN deben ser competentes para emprender la tarea. Por ejemplo, los
auditores deberían asistir a la capacitación pertinente de auditoría para que puedan adquirir las
competencias necesarias y el conocimiento necesario para realizar la auditoría.
Un procedimiento se debería establecer para asegurar que las deficiencias identificadas en las
auditorías internas de ATCN sean rectificadas.
También, el plan de auditoría debería abarcar las partes externas. Por ejemplo, los proveedores
subcontratados deberían ser auditados para evaluar su capacidad de apoyar a las estrategias y
planes de ATCN de la organización durante la operación diaria, y para responder y recuperarse del
desastre.
Una auditoría interna se debería llevar a cabo cuando haya cambios significativos en los servicios
críticos de TIC, en los requisitos de continuidad de negocio (según sea relevante para el campo de
aplicación de la ATCN) o en los requisitos del ATCN.
Los resultados de la auditoría interna de ATCN se deberían grabar y comunicar. El gestor debería
revisar los resultados de las auditorías internas de ATCN y el estado de las medidas correctivas de
seguimiento.
8.3.1 Generalidades
La alta dirección debería asegurarse de que el sistema de gestión de la ATCN se revisa en intervalos
planificados. Esta revisión puede tomar como datos de entrada las auditorías internas o externas, o
de las autoevaluaciones. La revisión debería incluir la evaluación de oportunidades para la mejora y la
necesidad para cambios en la gestión de la ATCN, incluyendo la política y los objetivos de la ATCN.
Además, la alta dirección debería revisar anualmente los requisitos firmados de ATCN, incluyendo las
definiciones de los servicios de TIC, la lista documentada de servicios críticos de TIC y los riesgos
asociados con las brechas identificadas entre la capacidad crítica de la Adecuación de TIC y los
requisitos de continuidad del negocio.
Los datos de entrada para una revisión de gestión deberían incluir información sobre:
h) las lecciones aprendidas de las pruebas y ejercicios, los incidentes y el programa de educación y
concienciación; y
Las salidas resultantes de la revisión se deberían firmar por la alta dirección e incluir:
c) los requisitos revisados de ATCN, incluyendo las definiciones de servicio de TIC, la lista
documentada de servicios críticos de TIC y los riesgos asociados con las brechas identificadas
entre la capacidad crítica de adecuación de TIC y los requisitos de continuidad de negocio;
e) necesidad de recursos; y
a) durante un período de tiempo, el número de incidentes que no han sido detectados antes de la
interrupción (eso puede proporcionar una indicación de la integridad de mecanismos de
detección y de alerta);
d) la disponibilidad de fuentes de datos para indicar la aparición de incidentes a través del control
de las tendencias de eventos; y
Los criterios cualitativos son subjetivos cuando estos se utilizan para determinar el desempeño de la
ATCN pero normalmente requieren menos recursos en el proceso de medición (lo cual puede ser
apropiado para una organización pequeña o de tamaño medio que está sujeta a restricciones de
recursos). Eso puede incluir determinar la eficiencia de los procesos utilizados en la planificación, la
preparación y la ejecución de las actividades de ATCN y se puede medir a través de:
9 Mejoramiento de la ATCN
9.1 Mejoramiento continuo
La organización debería tomar acciones para corregir cualquier falla real del servicio de TIC y de los
elementos de ATCN. El procedimiento documentado para la acción correctiva debería definir los
requisitos para:
c) evaluar la necesidad de las acciones para asegurar que las no conformidades no se repitan;
Anexo A
(informativo)
Al Tiempo Cero, el sistema crítico de TIC fue invadido por los piratas (hackers) y los servicios fueron
derribados. El primer hito después de que ocurre el evento de interrupción de servicio de TIC es la
detección directa del incidente de seguridad (por ejemplo, el evento de intrusión) o la detección
indirecta de la pérdida (o degradación) del servicio, para lo cual un tiempo habrá transcurrido antes de
la notificación; por ejemplo, en algunas instancias, la notificación podría llegar a través de una
llamada al servicio de asistencia de TI, por parte de un usuario.
Aún más tiempo podría pasar mientras la interrupción de servicio de TIC es investigada, analizada,
comunicada y una decisión es tomada para activar la ATCN. El proceso podría durar varias horas a
partir del comienzo de la interrupción de servicio de TIC hasta que se tome una decisión para activar
la ATCN, si se toma en cuenta el tiempo de comunicación y el tiempo para tomar una decisión. La
decisión de activación podría requerir la cuidadosa consideración en algunas situaciones, por
ejemplo, donde el servicio no se ha perdido por completo o cuando parece que hay una fuerte
probabilidad de recuperación inminente del servicio, porque la activación de ATCN tiene a menudo
impactos en las operaciones normales de negocio.
Una vez activada, la recuperación de servicio de TIC puede iniciar. Esto se puede dividir en la
infraestructura (red, equipos, sistemas operativos, programa de respaldo, etc.) y la recuperación de
las aplicaciones (base de datos, aplicación, procesos de lote, interfaces, etc.). (Para más información
referirse a ISO/IEC 24762).
Una vez que el servicio de TIC ha sido recuperado y las pruebas del sistema han sido realizadas por
el personal de TIC, el servicio se puede hacer disponible para la prueba de aceptación del usuario
antes de que este sea liberado al personal para su uso en las operaciones de continuidad del
negocio.
A partir de una perspectiva de continuidad del negocio, hay un objetivo de tiempo de recuperación
(OTR) por producto, servicio o actividad y que este OTR empieza desde el punto en el cual la
interrupción se produce y se ejecuta hasta que el producto, servicio o actividad sea recuperado, pero
podría haber una serie de servicios de TIC que se requieren para permitir eso y cada uno de esos
servicios de TIC podría comprometer a un número de sistemas de TIC o de aplicaciones. Cada uno
de esos componentes de los sistemas de TIC o de esas aplicaciones tendrá su propio OTR como un
subconjunto del OTR de servicio de extremo-a-extremo de TIC y eso debería ser menos que el OTR
de continuidad de negocio, teniendo en cuenta el tiempo para la detección y para tomar una decisión
y el tiempo de prueba de aceptación del usuario (a menos que el producto, servicio o actividad de
continuidad de negocio se pueda soportar sin TIC por un período de tiempo, por ejemplo, utilizando
procedimientos manuales).
Típicamente, los servicios de TIC funcionan durante un período de tiempo, apoyando a la actividad de
continuidad de negocio y si esto es un período extendido entonces los servicios recuperados de TIC
podrían necesitar ser escalados para apoyar a un volumen aumentado de actividad, potencialmente
Posteriormente, en algún punto de la línea de tiempo, la restauración será factible y deseable, y las
operaciones de DR estarán en transición para volver a las operaciones “normales”. Las operaciones
“normales” restituidas pueden ser bien el estado o ambiente original antes de la interrupción o un
nuevo arreglo de operación (especialmente cuando el desastre de interrupción ha obligado a un
cambio permanente en el negocio).
Las flechas en la parte superior del diagrama indican como los principios de ATCN, detallados en
ISO/IEC 27031, se alinean con la línea del tiempo de la interrupción.
Anexo B
(informativo)
Un sistema de computadora o una red se compone de muchos componentes, todos los cuales
necesitan por lo general el estar presentes y funcionales para que todo el conjunto sea operacional, y
mientras se planifica la alta disponibilidad, se centra con frecuencia en el procesamiento de respaldos
y de la configuración y en el almacenamiento y acceso de datos, otros componentes de
infraestructura tales como energía y refrigeración son igualmente importantes.
También se debe considerar la disponibilidad de aplicaciones que a menudo se logran por medio de
la agrupación.
Dichas tecnologías solo pueden ser realmente eficaces en la entrega de alta disponibilidad, a través
de una implementación concurrente en más que una ubicación. Por ejemplo, simplemente tener un
servidor de “recuperación de fallos” en la misma ubicación que un servidor primario o un servidor de
“producción” no va a proporcionar los niveles necesarios de resistencia si este sitio se ve afectado por
una interrupción grave. Ambos servidores se verán afectados por la misma interrupción. El servidor
de “recuperación de fallos” y otras tecnologías de apoyo tendrían que ser ubicados en otro sitio para
que los niveles requeridos sean alcanzados.
Para muchas organizaciones los costos y esfuerzos, involucrados para lograr semejantes niveles de
alta disponibilidad, pueden ser desalentadores y en los últimos años ha habido un enorme
crecimiento en el uso de los proveedores de servicio subcontratados que son capaces de ofrecer las
habilidades, los recursos y las tecnologías resistentes a un precio asequible o a través de la provisión
de servicios gestionados o de servicios en la nube.
Sin embargo, se debería recordar, que pese a que la alta disponibilidad sea una vía eficaz para
mejorar la resistencia, la posibilidad de fallos permanece. Así que es vital que los procesos de RD y
procesamientos bien planificados y probados estén implementados.
Anexo C
(informativo)
Existe un rango de técnicas de gestión de riesgos potenciales, las cuales pueden ayudar en la
evaluación de la Adecuación de la TIC para la CN y en el desarrollo de un marco apropiado para el
desarrollo y la mejora continua de la resistencia de TIC.
ISO 31010-2009 “Gestión de riesgos – Técnicas de Evaluación de Riesgos” pretende reflejar las
buenas prácticas actuales de selección y utilización de técnicas de evaluación de riesgos. Se debería
hacer referencia a esta norma para determinar cuál sería la técnica más apropiada a ser utilizada
dentro de una organización.
La evaluación de los escenarios de falla es una técnica que puede ser beneficiosa en el mejoramiento
de la eficacia del ATCN y este anexo proporciona información adicional sobre cómo se puede
implementar.
Problemas de riesgos desconocidos pueden emerger entre las evaluaciones como resultado de los
cambios en un ambiente externo a la organización que pueden obstaculizar la continuidad y la
resistencia del negocio. El propósito de la evaluación de los escenarios de fallo es identificar los
indicadores de eventos adecuados y asegurar que los planes de ATCN sean capaces de detectar
semejantes problemas de riesgos emergentes y sean capaces de preparar a la organización para
asegurar que las acciones apropiadas se puedan tomar antes de que ocurra el fallo.
El Análisis de los Efectos del Modo de Fallo (AEMF) es un proceso para identificar y analizar los
modos de fallo potencial de un sistema para clasificarlos de acuerdo a su severidad o la
determinación de los afectos de los fallos en el sistema. En el contexto de esta norma, el AEMF se
puede aplicar para determinar los indicadores críticos de eventos que se deberían controlar con el fin
de detectar los modos de fallos potenciales graves en un sistema de TIC de la organización. El
proceso, basado en el enfoque del AEMF, se puede aplicar a cada componente crítico del servicio de
TIC, como está descrito en 6.3.2.
b) se determina el impacto potencial en el servicio de TIC, por ejemplo, la severidad de cada modo
de fallo y qué consecuencias resultarían de cada uno;
d) se identifican los indicadores que proporcionarán una señal o una información de que el
componente está fallando;
e) se identifican los eventos directos e indirectos que son relacionados, y se cambiará el estado de
cada indicador;
f) se identifican los controles existentes que eviten que los componentes críticos fallen, o se puede
detectar cuando semejantes fallos ocurran;
g) se identifican las fuentes relacionadas de datos y métodos posibles de monitoreo para detectar
los cambios por el valor del indicador; se clasifican por categorías los indicadores de eventos
mediante la disponibilidad de los métodos de monitoreo y la facilidad de monitoreo; y
La salida de AEMF incluye una lista de modos de fallos y efectos potenciales, eventos relacionados –
que puede utilizar para determinar los indicadores de eventos que se deben supervisar.
Los Modos de Fallo identificados a través del proceso de AEMF se pueden priorizar de acuerdo con
la severidad evaluada, su frecuencia de ocurrencia y la facilidad de monitoreo y detección.
También, un AEMF documenta el conocimiento actual y las acciones sobre los riesgos de fallos, para
el uso en su mejora continua. Si un AEMF se utiliza durante la etapa de diseño con el objetivo de
evitar los fallos futuros, el AEMF se puede utilizar para el control de proceso, antes y durante una
operación continua del proceso. Idealmente, el AEMF empieza durante la etapa conceptual más
temprana y continua a lo largo de la vida del producto o del servicio.
Anexo D
(informativo)
Un enfoque básico utiliza los escenarios conocidos de incidentes y los eventos relacionados para
establecer las líneas de base de la respuesta para cada categoría de incidentes y eventos
relacionados de la siguiente manera:
a) Como parte de los procesos de SGSI y GCN, los incidentes e indicadores de eventos conocidos
se han establecido como datos de entrada de los próximos pasos.
c) Se determinan los eventos que propician estos incidentes (por ejemplo, los intentos fallidos de
conexión; la utilización del disco duro).
d) Se determina el tiempo de detección adecuado (por ejemplo, el umbral para comunicar/avisar los
eventos al sistema/administrador).
e) Se determina un tiempo adecuado de respuesta (por ejemplo, la línea de tiempo para que el
administrador realice acciones para impedir que un incidente se materialice).
f) Se clasifican los eventos en grupos de bloques deseados de tiempo de respuesta y los tipos de
acciones de respuesta; los eventos se pueden clasificar por grupo de amenaza, grupo de
aplicación, grupo de acciones de respuesta, o grupo de tiempo de respuesta.
h) Se realizan pruebas para determinar si las acciones de respuesta son factibles, y si el objetivo se
puede alcanzar.
i) Se refinan las categorías, el tiempo esperado de respuesta de evento, y las acciones esperadas
de respuesta al evento (por ejemplo, se busca un método alternativo para monitorizar, detectar y
actuar).
Bibliografía
[1] SS 540:2008, Singapore Standard for Business Continuity Management
[7] ISO 22301, Societal security — Preparedness and continuity management systems —
2)
Requirements
2) En preparación
Otros trámites: