Nte Inen-Iso/Iec 27031: Norma Técnica Ecuatoriana

Quito – Ecuador
NORMA NTE INEN-ISO/IEC 27031

TÉCNICA Primera edición
2015-10
ECUATORIANA
TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD

– DIRECTRICES PARA LA ADECUACIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN PARA LA CONTINUIDAD DEL
NEGOCIO (ISO/IEC 27031:2011, IDT)
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR INFORMATION

AND COMMUNICATION TECHNOLOGY READINESS FOR BUSINESS CONTINUITY (ISO/IEC
27031:2011, IDT)
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27031:2011.
DESCRIPTORES: Tecnología de la información, técnicas, seguridad, directrices, adecuación, comunicación, 37

continuidad, negocio Páginas
ICS: 35.040
© ISO/IEC 2011  Todos los derechos reservados

CON LICENCIA DE USO PARA GET TOTAL GETCONS
© INEN 2015 CIA LTDA
NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22
AUTORIZACIÓN A USUARIO ÚNICO, PROHIBIDA SU REPRODUCCIÓN
NTE INEN-ISO/IEC 27031 2015-10
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27031, es una traducción idéntica de la Norma
Internacional ISO/IEC 27031:2011, Information technology — Security techniques — Guidelines for
information and communication technology readiness for business continuity, El Ministerio de
Telecomunicaciones y Sociedad de la información, MINTEL, es el responsable de la traducción de
esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN.
Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” ha sido reemplazadas por “esta norma nacional”.
Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos
internacionales que se referencian en la Norma Internacional ISO/IEC 27031:2011 y los documentos
normativos nacionales correspondientes:
Documento Normativo Internacional Documento Normativo Nacional

ISO/IEC TR 18044:2004, Information No existe documento nacional normativo
technology — Security techniques — correspondiente.
Information security incident management
ISO/IEC 27000, Information technology — NTE INEN ISO/IEC 27000:2012, Tecnología

Security techniques — Sistemas de gestión de la información — Técnicas de seguridad
de seguridad de información – Information — Sistema de gestión de seguridad de la
security management systems — Overview información — Descripción general y
and vocabulary vocabulario
ISO/IEC 27001, Information technology — NTE INEN-ISO/IEC 27001:2011, Tecnología

Security techniques — Information security de la información — Técnicas de seguridad.
management systems — Requirements Sistema de gestión de la seguridad de la
información (SGSI) — Requisitos
ISO/IEC 27002, Information technology — NTE INEN-ISO/IEC 27002:2009, Tecnología

Security techniques — Code of practice for de la información — Técnicas de la
information security management seguridad — Código de práctica para la
gestión de la seguridad de la información.
ISO/IEC 27005, Information technology — NTE INEN ISO/IEC 27005:2012, Tecnología

Security techniques — Information security de la información – Técnicas de seguridad –
risk management Gestión del riesgo en la seguridad de
información

2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 i
Índice
Pág.
Prólogo ............................................................................................................................................... iv
Introducción .........................................................................................................................................v
1 Objeto y campo de aplicación .................................................................................................. 1
2 Referencias normativas............................................................................................................ 1
3 Términos y definiciones............................................................................................................ 1
4 Abreviaturas ............................................................................................................................. 3
5 Descripción ............................................................................................................................... 3
5.1 El papel de ATCN en la gestión de continuidad del negocio ................................................... 3
5.2 Los principios de la ATCN ........................................................................................................ 5
5.3 Los elementos de la ATCN ...................................................................................................... 6
5.4 Resultados y beneficios de la ATCN........................................................................................ 7
5.5 Establecimiento de la ATCN .................................................................................................... 7
5.6 Uso de planificar-hacer-verificar-actuar para establecer la ATCN .......................................... 8
5.7 Responsabilidad de la dirección .............................................................................................. 8
5.7.1 Liderazgo y compromiso de la dirección .................................................................................. 8
5.7.2 Política de la ATCN .................................................................................................................. 9
6 Planificación de la ATCN ......................................................................................................... 9

6.1 General ..................................................................................................................................... 9
6.2 Recursos .................................................................................................................................. 9
6.2.1 Generalidades .......................................................................................................................... 9
6.2.2 La competencia del personal de la ATCN ............................................................................. 10
6.3 Definición de los requisitos .................................................................................................... 10
6.3.1 Generalidades ........................................................................................................................ 10
6.3.2 Comprensión de los servicios críticos de TIC ........................................................................ 10
6.3.3 Identifición de las brechas entre las capacidades de la adecuación de TIC y los
requisitos de continuidad del negocio .................................................................................... 11
6.4 Determinación de opciones de estrategia de la ATCN .......................................................... 11
6.4.1 Generalidades ........................................................................................................................ 11
6.4.2 Las opciones de la estrategia de la ATCN ............................................................................. 12
6.5 Firma ...................................................................................................................................... 15
6.6 Mejoramiento de la capacidad de la ATCN ........................................................................... 15
6.6.1 Mejoramiento de la resistencia ............................................................................................... 15
6.7 Criterios de desempeño de la adecuación de TIC ................................................................. 15
6.7.1 Identificación de los criterios de desempeño ......................................................................... 15
7 Implementos y operaciones ................................................................................................... 16

7.1 Generalidades ........................................................................................................................ 16
7.2 Implementación de los elementos de las estrategias ATCN ................................................. 16
7.2.1 Conciencia, habilidades y conocimiento ................................................................................ 16
7.2.2 Instalaciones .......................................................................................................................... 17
7.2.3 Tecnología .............................................................................................................................. 17
7.2.4 Datos ...................................................................................................................................... 17
7.2.5 Procesos ................................................................................................................................ 17
7.2.6 Proveedores ........................................................................................................................... 18
7.3 Respuesta a incidentes .......................................................................................................... 18
7.4 Documentos del plan de la ATCN .......................................................................................... 18
7.4.1 Generalidades ........................................................................................................................ 18
7.4.2 Contenido de los documentos del plan .................................................................................. 19
7.4.3 Documentación del plan de respuesta y recuperación de TIC .............................................. 20
2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 ii
7.5 Programa de concienciación, competencia y capacitación ................................................... 22

7.6 Control de documentos .......................................................................................................... 22
7.6.1 Control de registros de ATCN ................................................................................................ 22
7.6.2 Control de la documentación de ATCN.................................................................................. 22
8 Monitoreo y revisión ............................................................................................................... 22

8.1 Mantenimiento de la ATCN .................................................................................................... 22
8.1.1 Generalidades ……………………………………………………………………………………. 22
8.1.2 Monitoreo, detección y análisis de amenazas ....................................................................... 23
8.1.3 Prueba y ejercicios ................................................................................................................. 23
8.2 Auditoría interna de la ATCN ................................................................................................. 28
8.3 Revisión de la gestión ............................................................................................................ 28
8.3.1 Generalidades ........................................................................................................................ 28
8.3.2 Revisión de entraadas............................................................................................................ 28
8.3.3 Revisión de salidas ................................................................................................................ 29
8.4 Medición de los criterios de desempeño de la adecuación de TIC ....................................... 29
8.4.1 Monitoreo y medición de la adecuación de TIC ..................................................................... 29
8.4.2 Criterios cuantitativos y cualitativos de desempeño .............................................................. 29
9 Mejoramiento de la ATCN ...................................................................................................... 30

9.1 Mejoramiento continuo ........................................................................................................... 30
9.2 Acción correctiva .................................................................................................................... 30
9.3 Acción preventiva ................................................................................................................... 30
Anexo A (informativo) La ATCN y los hitos durante une interrupción .............................................. 31
Anexo B (informativo) Sistemas integrados de alta disponibilidad .................................................. 33
Anexo C (informativo) Evaluación de los escenarios de falla .......................................................... 34
Anexo D (informativo) El desarrollo de los criterios de desempeño ................................................ 36
Bibliografía ........................................................................................................................................ 37

2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 iii
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)

forman el sistema especializado de normalización mundial. Los organismos nacionales que son
miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités
técnicos establecidos por la organización respectiva para tratar los campos de actividad técnica. Los
comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, públicas y privadas, en colaboración con ISO, también participan en el trabajo. En el
campo de tecnología de la información, ISO e IEC han establecido un comité técnico común ISO/IEC
JTC 1.
Las Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2.
La principal tarea del comité técnico conjunto es preparar Normas Internacionales. Los Proyectos de
las Normas Internacionales adoptados por el comité técnico conjunto son distribuidos a los
organismos nacionales para su votación. Su publicación como una Norma Internacional requiere la
aprobación de por lo menos un 75 % de los organismos nacionales con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos elementos de este documento pueden ser
sujetos de derechos de patente. ISO e IEC no deben ser considerados responsables de identificar
cualquiera o todos derechos de patente.
ISO/IEC TR 27031 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de
información, Subcomité SC 27, Técnicas de seguridad de IT.

2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 iv
Introducción
Con los años, las tecnologías de la información y comunicación (TIC) se han convertido en una parte
integral de muchas de las actividades que son elementos de infraestructuras críticas en todos
sectores organizacionales, sean públicos, privados o voluntarios. La proliferación del internet y de
otros servicios de redes electrónicas, y las capacidades de sistemas y aplicaciones de hoy, también
ha significado que las organizaciones se hayan vuelto cada vez más dependientes de infraestructuras
de TIC confiables, seguras y protegidas.
Mientras tanto, la necesidad de la gestión de continuidad de negocio (GCN), que incluye la

preparación para incidentes, la planificación de recuperación de desastres y la respuesta y la gestión
de emergencia, han sido reconocidas y apoyadas con áreas específicas del conocimiento, pericia, y
normas desarrolladas y promulgadas en los últimos años, incluyendo la Norma Internacional de GCN,
desarrollada por ISO/TC 223.
NOTA ISO/TC 223 está en el proceso de desarrollar una Norma pertinente Internacional de gestión de continuidad de
negocio (ISO 22301).
Las fallas de los servicios de TIC, que incluye la aparición de problemas de seguridad como las
intrusiones en el sistema e infecciones de malware, tendrán un impacto en la continuidad de
operaciones del negocio. Por tanto, la gestión de TIC y su continuidad relacionada así como otros
aspectos de seguridad es una parte clave de los requerimientos de continuidad del negocio. Además,
en la mayoría de los casos, las funciones críticas de negocio que requieren la continuidad de negocio
son en general dependientes de las TIC. Esta dependencia significa que interrupciones en TIC
pueden constituir riesgos estratégicos en la reputación de la organización y en su capacidad de
operar.
Preparar las TIC para muchas organizaciones es un componente esencial en la implementación de la

gestión de continuidad de negocio y de la gestión de seguridad de información. Como parte de la
implementación y la operación de un sistema de gestión de seguridad de información SGSI,
especificado en ISO/IEC 27001 y, de un sistema de gestión de continuidad de negocio, SGCN
respectivamente, es crítico de desarrollar e implementar un plan de adecuación para los servicios de
TIC para ayudar a asegurar la continuidad de negocio.
En consecuencia, la GCN eficaz es con frecuencia dependiente de la adecuación eficaz de TIC para
asegurar que los objetivos de la organización pueden seguir siendo cumplidos en momentos de
interrupciones. Eso es particularmente importante ya que las consecuencias de las interrupciones de
TIC tienen, a menudo, la complicación añadida de ser invisibles o difíciles de detectar.
Para que una organización alcance la Adecuación de TIC para la Continuidad de Negocio (ATCN),
esta necesita implementar un proceso sistemático para prevenir, predecir y administrar las
interrupciones e incidentes de TIC que tienen el potencial para interrumpir servicios de TIC. La mejor
manera para lograr eso, es mediante la aplicación de los pasos cíclicos de Planificar-Hacer-Verificar-
Actuar (PDVA), como parte de un sistema de gestión de ATCN (Adecuación de TIC para la
Continuidad del Negocio). De este modo, la ATCN apoya al GCN, asegurando que los servicios de
TIC son tan resistentes como apropiados y se pueden recuperar para predeterminar los niveles
dentro de escalas de tiempo, requeridas y acordadas por la organización.
Tabla 1 – Ciclo de planificar-hacer-verificar-actuar en ATCN
Planificar Establecer política, objetivos, metas, procesos y procedimientos pertinentes de ATCN para
gestionar el riesgo y mejorar la adecuación de TIC para entregar resultados de acuerdo con las
políticas generales de continuidad de negocio y los objetivos de una organización.
Hacer Implementar y operar las políticas, los controles, los procesos y los procedimientos de la ATCN.
Verificar Evaluar, y donde sea aplicable, medir el rendimiento de procesos frente a las políticas, los objetivos
y las experiencias prácticas de la ATCN y reportar los resultados a la dirección para la revisión.
Actuar Tomar acciones correctivas y preventivas basadas en los resultados de la revisión de gestión, para
lograr la mejora continua de la ATCN.

2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 v
Si una organización utiliza la ISO/IEC 27001 para establecer un SGSI o utiliza normas pertinentes
para establecer un SGCN, preferiblemente el establecimiento de una ATCN debería tener en cuenta
procesos existentes o previstos, enlazados a estas normas. Este enlace puede apoyar al
establecimiento de una ATCN y también se puede evitar cualquier proceso dual para la organización.
La Figura 1 resume la interacción de una ATCN y un SGCN.
En la planificación y la implementación de la ATCN, una organización se puede referir a ISO/IEC

24762:2008 en su planificación y su entrega de servicios de recuperación de desastres de TIC,
independientemente de si esos servicios son proporcionados por un proveedor subcontratado, o
interno a la organización, o no.
Figura 1 – Integración de ATCN y SGCN

2015-0392 NRO. DE ORDEN 001-005-000073810 / DESCARGADO 2018-02-22 vi
Tecnologías de la información – Técnicas de seguridad – Directrices para la

adecuación de tecnologías de la información y comunicación para la
continuidad del negocio
1 Objeto y campo de aplicación

Esta norma nacional describe los conceptos y principios de la adecuación de tecnología de
información y comunicación (TIC) para la continuidad de negocio y proporciona un marco de
referencia de métodos y procesos para identificar y especificar todos los aspectos (tales como los
criterios de rendimiento, diseño, e implementación) para mejorar la adecuación de TIC en una
organización, garantizando la continuidad del negocio. Se aplica a cualquier organización (privada,
gubernamental y no gubernamental, independientemente de su tamaño) que desarrolle su
adecuación de TIC para el programa de continuidad de negocio (ATCN), y requiera que sus
servicios/infraestructuras de TIC estén listos para apoyar a las operaciones de negocio en el caso de
eventos emergentes e incidentes, y perturbaciones e interrupciones relacionadas, que podrían afectar
la continuidad (incluyendo la seguridad) de funciones críticas del negocio. También permite a una
organización medir los parámetros de rendimiento que se relacionan con su ATCN de una manera
sólida y reconocida.
El objeto y campo de aplicación de esta norma nacional abarca todos los eventos e incidentes
(incluyen aquellos que están relacionados con la seguridad) que podrían tener un impacto en la
infraestructura y en los sistemas de TIC. Este incluye y amplía las prácticas de manejo y de gestión
de incidentes de seguridad de la información y la planificación y los servicios de adecuación de TIC.
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicación de este documento.
Para las referencias fechadas, solamente la edición citada se aplica. Para las referencias sin fecha, la
última edición del documento de referencia (incluyendo cualquier enmienda) se aplica.
1)
ISO/IEC TR 18044:2004 , Tecnología de información – Técnicas de seguridad – Gestión de
incidentes de seguridad de información
ISO/IEC 27000, Tecnología de información – Técnicas de seguridad – Sistemas de gestión de

seguridad de información – Descripción y vocabulario
ISO/IEC 27001, Tecnología de información – Técnicas de seguridad – Sistemas de gestión de

seguridad de información – Requisitos
ISO/IEC 27002, Tecnología de información – Técnicas de seguridad – Código de prácticas para la

gestión de seguridad de información
ISO/IEC 27005, Tecnología de información – Técnicas de seguridad – Gestión de riesgos de

seguridad de información
3 Términos y definiciones
Para propósitos de este documento, se aplican los términos y las definiciones, dados en
ISO/IEC TR 18044, ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 y los
siguientes.
1)
ISO/IEC TR 18044:2004 se debe revisar y re-numerar como ISO/IEC 27035

© INEN 2015
2015-0392 CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA 1 de 37
3.1
sitio alterno
una ubicación operativa alternativa, seleccionada para ser utilizada por una organización cuando las
operaciones normales de negocio no se pueden llevar a cabo utilizando la ubicación normal después
de que se ha producido una interrupción
3.2
gestión de continuidad del negocio
GCN
proceso holístico de gestión que identifica amenazas potenciales para una organización y los
impactos que dichas amenazas podrían causar en las operaciones del negocio, si estas se
produjesen, lo que proporciona un marco de referencia para construir una resistencia organizacional
con la capacidad de una respuesta eficaz que salvaguarda los intereses de sus partes relacionadas
claves, la reputación, la marca y actividades de creación de valor
3.3
plan de continuidad de negocio
PCN
los procedimientos documentados que guían a las organizaciones a responder, recuperar, reanudar,
restaurar hasta un nivel predefinido de operación luego de la interrupción
NOTA Típicamente esto cubre a los recursos, los servicios y las actividades requeridas para asegurar la continuidad de
funciones críticas del negocio.
3.4
análisis de impacto en el negocio
AIN
el proceso de analizar funciones operacionales y el efecto que una interrupción podría tener en ellas
3.5
crítico
descripción cualitativa que se utiliza para enfatizar la importancia de un recurso, proceso o función
que tiene que estar disponible y constantemente operativo, o disponible y operativo con la mayor
brevedad posible después de que haya ocurrido un incidente, una emergencia o un desastre
3.6
interrupción
incidente, ya sea previsto (por ejemplo, un huracán) o imprevisto (por ejemplo, falla eléctrica/corte
eléctrico, terremoto, un ataque a los sistemas/infraestructura de TIC), que interrumpe el curso normal
de las operaciones en un lugar de la organización
3.7
recuperación de desastre de TIC
la capacidad de los elementos de TIC de una organización para apoyar a sus funciones críticas de
negocio a un nivel aceptable dentro de un periodo predeterminado de tiempo después de una
interrupción
3.8
plan de recuperación de desastre de TIC
PRD TIC
un plan claramente definido y documentado que recupera las capacidades de TIC cuando ocurre una
interrupción
NOTA En algunas organizaciones se llama plan de continuidad de TIC.
3.9
modo de fallo
una manera por la cual se observa un fallo

© INEN 2015
NOTA En general, describe la manera en la cual ocurre el fallo y su impacto en la operación del sistema.
3.10
adecuación de TIC para la continuidad del negocio
ATCN
la capacidad de una organización para apoyar a sus operaciones de negocio mediante la prevención,
detección y la respuesta a una interrupción y la recuperación de los servicios de TIC
3.11
objetivo mínimo de continuidad de negocio
OMCN
el nivel mínimo de servicios o productos que la organización puede aceptar para lograr sus objetivos
de negocio durante una interrupción
3.12
objetivo de punto de recuperación
OPR
un punto en el tiempo hasta el cual todos los datos tienen que ser recuperados después de que haya
ocurrido una interrupción.
3.13
objetivo de tiempo de recuperación
OTR
periodo de tiempo dentro del cual los niveles mínimos de servicios o productos y los sistemas, las
aplicaciones, o funciones de apoyo se tienen que recuperar después de que haya ocurrido una
interrupción
3.14
resistencia
la capacidad de una organización de resistirse a ser afectada por interrupciones
3.15
detonador
un evento que hace que el sistema inicie una respuesta
NOTA También se conoce como evento desencadenante.
3.16
registro vital
un registro electrónico o en papel que es esencial para preservar, continuar o reconstruir las
operaciones de una organización y para proteger los derechos de una organización, sus empleados,
sus clientes y sus partes relacionadas
4 Abreviaturas
ATCN Adecuación de TIC para la Continuidad de Negocio
SGSI Sistema de Gestión de Seguridad de Información
5 Descripción
5.1 El papel de ATCN en la gestión de continuidad del negocio
La Gestión de Continuidad del Negocio (GCN) es un proceso holístico de gestión que identifica
impactos potenciales que amenazan la continuidad de actividades de negocio de una organización y
proporciona un marco para la construcción de resistencia y de capacidad de respuesta eficaz que
salvaguarda los intereses de la organización contra interrupciones.
© INEN 2015
Como una parte del proceso de GCN, la ATCN se refiere a un sistema de gestión que complementa y
apoya al programa de GCN o de SGSI de una organización, para mejorar la preparación de la
organización para:
a) responder al ambiente de riesgo que cambia constantemente;
b) asegurar la continuación de operaciones críticas de negocio apoyadas por los servicios de TIC
relacionados;
c) alistarse para responder antes de que ocurra una interrupción de servicio de TIC, después de la
detección de uno o una serie de eventos relacionados que se convierten en incidentes; y
d) para responder y recuperarse de incidentes/desastres y fallos.
La figura 2 ilustra el resultado deseado de TIC para apoyar a las actividades de gestión de
continuidad de negocio.
Figura 2 ̶ Marco de referencia de continuidad de negocio y sus salidas de TIC deseadas
La norma Internacional de GCN, que fue desarrollada por ISO/TC 223, resume el enfoque de GCN
para prevenir, reaccionar y recuperarse de incidentes. Las actividades involucradas en la GCN
incluyen la preparación, la gestión operacional de continuidad, la planificación de recuperación de
desastre (PRD) y la mitigación de riesgos que se centra en aumentar la resistencia de la
organización, y mediante su preparación, aumentar su capacidad de reaccionar eficazmente a
incidentes y recuperarse dentro de las escalas de tiempo predeterminadas.
Por lo tanto, una organización establece sus prioridades de GCN y estas son las que dirigen las
actividades de ATCN. A su vez, la GCN depende de la ATCN para asegurar que la organización
pueda cumplir sus objetivos generales de continuidad en todo momento y particularmente durante
tiempos de interrupciones.
Como muestra la Figura 3, el objetivo de dichas actividades de adecuación es:

© INEN 2015
a) mejorar las capacidades de detección de incidentes;
b) prevenir un fallo repentino o drástico;
c) permitir una degradación aceptable de un estado operacional si el fallo no se pudiera detener;
d) disminuir en lo posible el tiempo de recuperación; y
e) minimizar el impacto después de las eventuales ocurrencias del incidente.
Figura 3 – El concepto de la preparación de las TIC para la continuidad de negocio
5.2 Los principios de la ATCN
La ATCN se basa en los siguientes principios claves:
a) Prevención de incidente – Proteger los servicios de TIC de amenazas, tales como amenazas
ambientales y fallos de hardware, errores operacionales, ataques maliciosos, y desastres
naturales, es crítico para mantener los niveles deseados de disponibilidad de los sistemas para
una organización;
b) Detección de incidente – Detectar los incidentes en la primera oportunidad minimizará el impacto

en servicios, reducirá los esfuerzos de recuperación, y preservará la calidad del servicio;
c) Respuesta – Responder a un incidente de la manera más adecuada conducirá a una recuperación

más eficaz y minimizará cualquier tiempo de inactividad. Reaccionar inadecuadamente puede
resultar en un incidente menor, que se puede convertir en algo más serio;
d) Recuperación – Identificar e implementar la estrategia adecuada de recuperación asegurará la

oportuna reanudación de servicios y mantendrá la integridad de los datos. El entendimiento de las
prioridades de recuperación permite que los servicios más críticos sean reinstalados primero. Los
servicios de una naturaleza menos crítica pueden volver a aplicarse en un momento posterior o,
en algunas circunstancias, no hacerlo; y
© INEN 2015
e) Mejoramiento – Las lecciones aprendidas de pequeños y grandes incidentes se deberían

documentar, analizar y revisar. Entender esas lecciones permitirá a la organización preparar,
controlar y evitar incidentes e interrupciones de una mejor manera.
La Figura 4 ilustra cómo el elemento respectivo de ATCN apoya un cronograma típico de

recuperación de desastres de TIC y a su vez apoya a las actividades de continuidad de negocio. La
implementación de ATCN permite a la organización responder eficazmente frente a las amenazas
nuevas y emergentes así como ser capaz de reaccionar y recuperarse de interrupciones.
Figura 4 – Principios de ATCN sobre una línea de tiempo típica para recuperación de desastres
de TIC
NOTA El estado de recuperación incluye actividades en la recuperación/reanudación de servicios, operaciones sostenibles

de TIC DR y la restauración & retorno a la operación normal. Para detalles refrierese a la Figura A.1 en el Anexo A.
5.3 Los elementos de la ATCN
Los elementos claves de la ATCN se pueden resumir de la siguiente manera:
a) Personas: los especialistas con las habilidades adecuadas y el conocimiento adecuado, y

personal de apoyo competente;
b) Instalaciones: el ambiente físico en el cual están localizados los recursos de TIC;
c) Tecnología:
1) hardware (incluyendo armarios, servidores, dispositivos de almacenamiento, dispositivos de

cinta y accesorios);
2) red (incluye a la conectividad de los datos y servicios de voz), switches y routers; y
3) programas, incluyendo sistemas operativos y programas de aplicación, enlaces o interfaces

entre las aplicaciones y las rutinas de procesamiento por lotes;
d) Datos: datos de aplicación, datos de voz y otro tipo de datos;

© INEN 2015
e) Procesos: incluye la documentación de apoyo para describir la configuración de los recursos de

TIC y permitir la operación, recuperación y mantenimiento eficaz de los servicios de TIC; y
f) Proveedores: otros componentes de los servicios de extremo a extremo donde la provisión de

servicio de TIC depende de un proveedor externo de servicio o de otra organización dentro de
una cadena de suministro, por ejemplo, un proveedor financiero de los datos del mercado, un
portador de telecomunicaciones o un proveedor de servicios de internet.
5.4 Resultados y beneficios de la ATCN
Los beneficios de una ATCN eficaz para la organización son, que ella:
a) entiende los riesgos para la continuidad de los servicios de TIC y sus vulnerabilidades;
b) identifica los impactos potenciales de una interrupción en los servicios de TIC;
c) alienta una colaboración mejorada entre sus gerentes de negocio y sus proveedores de servicio
de TIC (internos y externos);
d) desarrolla y mejora la competencia de su personal de TIC mediante la demostración de

respuestas creíbles a través de la ejecución de los planes de continuidad de TIC y de la
evaluación de las disposiciones de ATCN;
e) proporciona la garantía para la alta dirección de que esta puede depender de los niveles
predeterminados de servicios de TIC, y de que recibirá el apoyo y comunicación adecuada en el
evento de una interrupción;
f) proporciona la garantía para la alta dirección de que la seguridad de información

(confidencialidad, integridad y disponibilidad) está debidamente preservada, asegurando la
adherencia a las políticas de seguridad de información;
g) proporciona confianza adicional en la estrategia de continuidad de negocio a través del enlace de

inversiones en soluciones de TI con las necesidades de negocio, y asegurando que los servicios
de TIC se protegen en un nivel adecuado, dada su importancia para la organización;
h) tiene servicios de TIC que son rentables y no son sub o sobreinvertidos por medio de la
comprensión del nivel de las dependencias de estos servicios de TIC; y la naturaleza, la
ubicación, la interdependencia y el uso de los componentes que forman los servicios de TIC;
i) puede mejorar su reputación de prudencia y eficiencia;
j) potencialmente gana ventajas competitivas a través de su capacidad demostrada de cumplir con

la continuidad del negocio y de mantener la entrega de productos y de servicios en tiempos de
interrupciones; y
k) entiende y documenta las expectativas de las partes relacionadas, así como sus relaciones con
los servicios de TIC.
Así, la ATCN proporciona una manera válida para determinar el estado de los servicios de TIC de una
organización para apoyar a sus objetivos de continuidad de negocio, abordando la pregunta “es
nuestro TIC capaz de responder” en lugar de “es nuestro TIC seguro”.
5.5 Establecimiento de la ATCN
Es probable que la ATCN sea más eficiente y rentable cuando esta se diseña e incorpore en los
servicios de TIC desde el comienzo, como parte de una estrategia de ATCN que apoya a los objetivos
de continuación del negocio (CN) de la organización. Eso asegura que los servicios de TIC se
construyan mejor, se entiendan mejor y que sea más resistentes. El reajuste de la ATCN puede ser
complejo, perturbador y costoso.
© INEN 2015
La organización debería desarrollar, implementar, mantener y mejorar continuamente un conjunto de

procesos documentados los cuales apoyarán a la ATCN.
Esos procesos deberían asegurar que: los objetivos de la ATCN están claramente establecidos,
entendidos y comunicados, y que se demuestra el compromiso de la alta dirección con la ATCN.
La Figura 5 presenta gráficamente las actividades en las diferentes etapas de la ATCN.
Figura 5 – Las etapas en la ATCN
5.6 Uso de planificar-hacer-verificar-actuar para establecer la ATCN
La ATCN involucra a la organización para establecer procesos para desarrollar y ampliar los
elementos claves de la ATCN (ver 5.2) para mejorar su capacidad de responder a cualquier tipo de
interrupción, incluyendo las situaciones de riesgos cambiantes a través del uso del enfoque de
Planificar-Hacer-Verificar-Actuar (PHVA). La Figura 5 presenta gráficamente las actividades en las
diferentes etapas de la ATCN.
5.7 Responsabilidad de la dirección
5.7.1 Liderazgo y compromiso de la dirección
Para ser eficaz, un programa de la ATCN debería ser un proceso totalmente integrado con las
actividades de gestión de la organización, manejado desde la cabeza organizacional, aprobado y
promocionado por la alta dirección. Varios profesionales practicantes de la ATCN y personal de otras
disciplinas y departamentos de gestión, pueden ser requeridos para apoyar y gestionar el programa

© INEN 2015
de la ATCN. La calidad de recursos requeridos para apoyar a semejante programa dependerá del
tamaño y de la complejidad de la organización.
5.7.2 Política de la ATCN
La organización debería tener una política de la ATCN documentada. Inicialmente, eso puede estar
en un nivel alto con un mayor refinamiento y alcance, a medida que todo el proceso de ATCN
madura. La política se debería revisar regularmente y se debería actualizar con relación con las
necesidades de la organización y debería ser consistente con los amplios objetivos organizacionales
de GCN.
La política de ATCN debería proporcionar a la organización los principios documentados a los cuales
se aspirará, y contra los cuales se puede medir la eficacia de la ATCN. Esta debería:
a) Establecer y demostrar el compromiso de la alta dirección con un programa de ATCN;
b) Incluir o hacer referencias a los objetivos de ATCN de la organización;
c) Definir el alcance de la ATCN, incluyendo las limitaciones y las exclusiones;
d) Ser aprobada y firmada por la alta dirección;
e) Ser comunicada a las partes interesadas, tanto internas como externas;
f) Identificar y proporcionar a las autoridades pertinentes suficientes recursos tales como el

presupuesto, el personal necesario para realizar actividades de acuerdo con la política de ATCN;
y
g) Ser revisada en intervalos planificados y cuando existan cambios significativos, tales como
cambios ambientales, cambios del negocio y la estructura de una organización.
6 Planificación de la ATCN
6.1 Generalidades
El principal objetivo de la fase de planificación es establecer los requisitos de adecuación de TIC de la

organización, incluyendo:
a) la estrategia de ATCN y el Plan de ATCN que se requieren para apoyar al negocio, requisitos
legales, reglamentarios y normativos, referentes al campo de aplicación definido y al logro de las
metas y los objetivos de continuidad de negocio de la organización; y
b) el criterio de rendimiento necesario para que la organización supervise el grado de la adecuación

de TIC que se requiere para lograr esas metas y objetivos.
6.2 Recursos
6.2.1 Generalidades
Como parte del mandato de política, la organización debería definir la necesidad de un Programa de
ATCN como parte de sus objetivos generales de GCN y, además, debería determinar y proporcionar
los recursos necesarios para establecer, implementar, operar y mantener semejante programa de la
ATCN.
Se deberían definir y documentar los cargos, las responsabilidades, las competencias y las
autoridades de la ATCN.
© INEN 2015
La alta dirección debería:
a) nombrar o designar una persona con la antigüedad y la autoridad adecuada como Responsable
de la política y la implementación de la ATCN; y
b) nombrar una o más personas competentes que, independientemente de otras responsabilidades,

deberían implementar y mantener el sistema de gestión de ATCN como descrito en esta norma
nacional.
6.2.2 Competencia del personal de la ATCN
La organización debería asegurar que todo el personal al que se asigna responsabilidades, sea
competente para realizar las tareas requeridas. Para detalles, refiérase a 7.2.1.
6.3 Definición de los requisitos
6.3.1 Generalidades
Como parte de su programa de GCN, la organización habrá clasificado sus actividades de acuerdo a
sus prioridades para la continuidad (como ha sido determinado por un Análisis de Impacto en el
Negocio) y habrá definido el nivel mínimo en el cual es necesario que cada actividad crítica se realice
después de reanudarse. La alta dirección debería ponerse de acuerdo con los requisitos de
continuidad de negocio de la organización y esos requisitos resultarán en el Tiempo Objetivo de
Recuperación (OTR) y en el Punto Objetivo de Recuperación (OPR) para el Objetivo Mínimo de
Continuidad de Negocio (OMCN) por producto, servicio o actividad. Esos OTR empiezan desde el
momento en el cual ocurre la interrupción y transcurren hasta que el producto, el servicio o la
actividad están recuperados.
6.3.2 Comprensión de los servicios críticos de TIC
Puede haber un número de servicios de TIC que se consideran como críticos y requeridos para
permitir que la recuperación tenga lugar. Cada uno de esos servicios críticos de TIC debería tener su
propio Objetivo de Tiempo de Recuperación (OTR) documentado y su propio Punto Objetivo de
Recuperación (OPR) documentado para el Objetivo de Continuidad de Negocio Mínimo (OMCN) del
servicio de TIC. (Aquello puede incluir unos aspectos de la entrega de servicio de TIC, tales como la
mesa de ayuda.) El OTR de los servicios críticos de TIC será invariablemente menor que el OTR de
continuidad de negocio. (Referirse al Anexo A para la elaboración detallada del OTR y del OPR.)
La organización debería identificar y documentar sus servicios críticos de TIC para incluir breves
descripciones y nombres que son significativos para la organización en el nivel de usuario de servicio.
Eso asegurará el entendimiento común entre el personal de negocio y el personal de TIC ya que se
puede utilizar nombres diferentes para el mismo servicio de TIC. Cada servicio crítico enumerado de
TIC debería identificar el producto o el servicio de la organización la cual apoya, y la alta dirección
debería acordar sobre los servicios de TIC y sus requisitos asociados a la ATCN.
Para cada servicio crítico de TIC identificado y convenido, todos los componentes de TIC del servicio
de extremo-a-extremo se deberían describir y documentar, mostrando como son configurados o
vinculados para entregar cada servicio. Se deberían documentar tanto el ambiente normal de entrega
de servicio de TIC, como las configuraciones de ambiente de entrega de servicio de continuidad de
TIC.
Para cada servicio crítico de TIC, la capacidad actual de continuidad (por ejemplo, la existencia de un
punto único de fallo) se debería revisar desde una perspectiva de prevención para evaluar los riesgos
de una interrupción o degradación de servicio (que se puede tomar como parte del ejercicio general
de valoración de riesgo de GCN). También, las oportunidades se deberían buscar para mejorar la
resistencia del servicio de TIC y así reducir la probabilidad o el impacto de la interrupción de servicio.
La organización puede decidir, si hay un caso de negocio para invertir en las oportunidades
identificadas, para mejorar la resistencia del servicio. Esta valoración de riesgo del servicio (que
© INEN 2015
puede formar una parte del marco general de gestión de riesgo de la organización), también puede
asesorar en que caso de negocio para mejorar la capacidad de recuperación del servicio de TIC.
6.3.3 Identificación de las brechas entre las capacidades de adecuación de TIC y los requisitos
de continuidad del negocio
Para cada servicio crítico de TIC, las disposiciones actuales de la Adecuación de TIC – tales como
prevención, monitorización, detección, respuesta y recuperación – se deberían comparar con los
requisitos de continuidad de negocio y cualquier brecha se debería documentar.
La alta dirección debería estar informada de cualquier brecha entre la capacidad crítica de la ATCN y
los requisitos de continuidad de negocio. Tales brechas pueden indicar riesgos y la necesidad de
resistencia adicional y de recursos de recuperación, tales como:
a) personal, incluyendo números, habilidades y conocimiento;
b) instalaciones para alojar las instalaciones de TIC, por ejemplo, una sala de computadoras;
c) tecnología de apoyo, instalaciones, equipos y (tecnología de) redes;
d) aplicaciones de información y bases de datos;
e) finanzas o asignación de presupuesto; y
f) servicios y proveedores (suministros) externos.
La alta dirección debería refrendar las definiciones de servicio de TIC, las listas documentadas de
servicios críticos de TIC y los riesgos asociados con las brechas identificadas entre la capacidad
crítica de la ATCN y los requisitos de continuidad de negocio. Esto debería incluir, donde sea
apropiado, el reconocimiento de los riesgos identificados. Las opciones de abordar las brechas y los
riesgos identificados se deberían luego explorar mediante la determinación de estrategias de la
ATCN.
6.4 Determinación de opciones de estrategia de la ATCN
6.4.1 Generalidades
Las estrategias de la ATCN deberían definir los enfoques para implementar la resistencia requerida
para que los principios de la prevención de incidentes, la detección, la respuesta, la recuperación y la
restauración se pongan en marcha.
Un rango completo de opciones de estrategias de la ATCN se debería evaluar. Las estrategias

elegidas deberían ser capaces de apoyar a los requisitos de continuidad de negocio de la
organización.
La organización debería tomar en cuenta la implementación y los requisitos en marcha de recurso

cuando se desarrolla la estrategia. Los proveedores externos se pueden contratar para proporcionar
servicios especializados y habilidades especializadas que desempeñan un papel importante en el
apoyo de la estrategia.
La estrategia de ATCN debería ser lo suficientemente flexible para atender a las estrategias
diferentes de negocio en los mercados diferentes. Además, la estrategia debería tener en cuenta las
restricciones internas y los factores internos, tales como:
a) presupuesto;
b) disponibilidad de recursos;

© INEN 2015
c) costos y beneficios potenciales;
d) restricciones tecnológicas;
e) el apetito de riesgo de la organización;
f) la estrategia existente de ATCN de la organización; y
g) obligaciones legales.
6.4.2 Las opciones de la estrategia de ATCN
La organización debería considerar un rango de opciones para la adecuación de incidentes de sus

servicios críticos. Las opciones deberían considerar el aumento de la protección y resistencia, así
como la provisión para la recuperación y la restauración de una interrupción no planificada, y pueden
incluir disposiciones y servicios internos; servicios prestados a la organización; y servicios
proporcionados externamente por uno o más terceros.
Las opciones deberían tener en cuenta los varios componentes requeridos para asegurar la
continuidad y la recuperación de los servicios críticos de TIC. La ATCN se puede lograr de muchas
maneras, y debería referirse a los elementos de la ATCN como está descrito en 5.3.
6.4.2.1 Competencias y conocimiento
La organización debería identificar estrategias apropiadas para mantener las competencias básicas y
el conocimiento básico de TIC. Esto se puede extender más allá de los empleados, a los contratistas
y otras partes interesadas que posean las competencias y el conocimiento extensivo especializado de
TIC. Las estrategias para proteger o proporcionar esas competencias pueden incluir:
a) la documentación de la manera en la cual se ejecutan los servicios críticos de TIC;
b) la formación multicompetencia del personal de TIC y de los contratistas de TIC para mejorar la
redundancia de competencias;
c) la separación de habilidades básicas para reducir la concentración de riesgos (eso podría

implicar la separación física del personal con competencias básicas o asegurar que más que una
persona tenga las competencias básicas requeridas); y
d) la retención y la gestión del conocimiento.
6.4.2.2 Instalaciones
De acuerdo con los riesgos identificados, la organización debería idear las estrategias para reducir el
impacto de la indisponibilidad de las instalaciones normales de TIC. Esto puede incluir uno o más de
los siguientes:
a) instalaciones alternativas (ubicaciones) dentro de la organización, incluyendo el desplazamiento

de otras actividades;
b) instalaciones alternativas, proporcionadas por otras organizaciones;
c) instalaciones alternativas, proporcionadas por especialistas de tercera parte;
d) trabajar desde la casa o en otro sitio remoto;
e) otras instalaciones adecuadas de trabajo previamente convenidas;
f) el uso de personal alternativo en un sitio establecido; y

© INEN 2015
g) infraestructura alternativa que puede ser transportada al sitio de la interrupción y se puede

utilizar para proporcionar el reemplazo directo de algunos de los activos físicos involucrados.
Las estrategias para las instalaciones de TIC pueden variar significativamente y una gama de
opciones pueden estar disponibles. Los tipos diferentes de incidentes o de amenazas pueden requerir
la implementación de estrategias múltiples (un enfoque de elegir y mezclar), las cuales se manejarán
en parte por el tamaño, la amplitud de actividades, las ubicaciones, las tecnologías y el presupuesto,
etc., de la organización.
Al considerar el uso de lugares alternativos, los siguientes aspectos se deberían tener en cuenta:
a) seguridad del sitio;
b) acceso del personal;
c) proximidad a instalaciones existentes; y
d) disponibilidad.
6.4.2.3 Tecnología
Los servicios de TIC, de los cuales dependen las actividades críticas de negocio, deberían estar
disponibles antes de la reanudación de sus actividades críticas dependientes de negocio. Así, se
requieren soluciones que aseguren la disponibilidad de las aplicaciones dentro de marcos específicos
de tiempo, por ejemplo, los OTR siendo determinados como parte del AIN. Las plataformas de
tecnología y los programas de aplicación se deberían poner en marcha dentro de escalas de tiempo,
exigidas por la organización en su conjunto.
Las tecnologías que apoyan a los servicios críticos de TIC necesitan con frecuencia disposiciones
complejas para asegurar la continuidad, así que lo siguiente se debería considerar cuando se
seleccionan las estrategias de ATCN:
a) los OTR y los OPR para los servicios críticos de TIC que apoyan a las actividades críticas,
identificadas por el programa de GCN;
b) la ubicación y la distancia entre los sitios de tecnología;
c) el número de sitios de tecnología;
d) acceso remoto a sistemas;
e) requisitos de refrigeración;
f) requisitos de energía;
g) el uso de sitios sin personal (oscuros) en contraposición a los sitios con personal;
h) la conectividad de las telecomunicaciones y el enrutamiento redundante;
i) la naturaleza de conmutación para recuperación (si se requiere la intervención manual para

activar la provisión alternativa de TIC o si eso tiene que producirse de forma automática);
j) el nivel de automatización que se requiere;
k) la obsolescencia de tecnología; y
l) la conectividad de proveedores externos de servicio y otros enlaces externos.
6.4.2.4 Datos
© INEN 2015
Las actividades críticas adicionales de negocio pueden depender de la provisión de los datos
actualizados o casi actualizados. Las soluciones de continuidad de los datos deberían ser diseñadas
para cumplir los Objetivos del Punto de Recuperación (OPR) de cada actividad crítica de negocio de
la organización, en la manera en la que se relacionan con las actividades críticas de negocio.
Las opciones seleccionadas de ATCN deberían asegurar la continua confidencialidad, integridad y

disponibilidad de los datos críticos para apoyar a las actividades críticas (ver ISO/IEC 27001 y
ISO/IEC 27002).
El almacenamiento de los datos y las estrategias de ATCN deberían cumplir los requisitos de
continuidad del negocio de la organización, y deberían tener en cuenta:
a) los requisitos de OPR;
b) cómo se almacenan los datos de manera segura, por ejemplo disco, cinta o medios ópticos;
mecanismos adecuados de respaldo y recuperación deberían estar en marcha para asegurar
que los datos estén seguros y estén en un ambiento libre de riesgo;
c) donde se almacena, transporta o transmite la información; distancia, ubicación, enlaces de

redes, etc. (en el sitio, fuera del sitio o con terceras personas), y escalas de tiempo previstas
para la recuperación y respaldo de los medios; y
d) las escalas de tiempo de recuperación, tomando en cuenta el volumen de los datos, como son
almacenadas y la complejidad del proceso técnico de recuperación, junto con los requisitos del
usuario del servicio y las necesidades de la continuidad organizacional.
El entendimiento del uso de “extremo-a-extremo” de los datos a lo largo de la organización es crítico.

Eso puede incluir carga de información para y de terceros.
Se debería recordar que la naturaleza, la vigencia y el valor de los datos variarán enormemente
dentro de una organización.
6.4.2.5 Procesos
En la selección de su estrategia de ATCN, la organización debería considerar los procesos

necesarios para asegurar la viabilidad de esta estrategia, incluyendo a aquellos que son necesarios
para la prevención, detección, respuesta a incidentes y la recuperación de desastres. También, la
organización debería identificar cualquier factor, necesario para la implementación eficaz de esos
procesos individuales, por ejemplo, conjuntos de habilidades clave, datos críticos, tecnologías clave
de soporte, o equipos/instalaciones críticos.
6.4.2.6 Proveedores
La organización debería identificar y documentar las dependencias externas que apoyan a la

provisión del servicio de TIC y tomar las medidas adecuadas para asegurar que el equipo y los
servicios críticos puedan ser provistos por sus proveedores dentro de los límites de tiempo
predeterminados y convenidos. Tales dependencias pueden existir para hardware, software,
telecomunicaciones, aplicaciones, servicios de alojamiento de terceros, servicios básicos, y aspectos
ambientales, tales como el aire acondicionado, monitoreo ambiental, y control de incendios.
Las estrategias para esos servicios pueden incluir:
a) almacenamiento de equipo adicional y copias de programas en otra ubicación;
b) disposiciones con proveedores para la entrega de equipo de reemplazo con poca anticipación;
c) la reparación rápida o el reemplazo de partes defectuosas en el evento de un funcionamiento

defectuoso de equipo;
© INEN 2015
d) suministro doble de servicios básicos tales como la energía y las telecomunicaciones;
e) equipo generador eléctrico de emergencia; y
f) la identificación de proveedores alternativos/sustitutos.
La organización debería incluir los requisitos de gestión de TIC y de continuidad del negocio en los
contratos con sus socios y sus proveedores de servicio. Los cronogramas contractuales deberían
incluir referencias a las obligaciones de cada parte, los niveles de servicio convenidos, la respuesta a
incidentes mayores, la asignación de costos, la frecuencia de ejecución y las acciones correctivas.
6.5 Firma
Las opciones de estrategia de ATCN seleccionadas deberían ser presentadas a la alta dirección con
recomendaciones para una decisión basada en la propensión al riesgo y en el costo.
La alta dirección debería ser informada si las opciones estratégicas de las ATCN seleccionadas no
son capaces de cumplir los requisitos de continuidad de negocio, en cuyo caso ellas pueden ser
informadas de la capacidad actual.
La alta dirección debería seleccionar las estrategias de ATCN de entre las opciones que se presentan
ante ellos, y aprobar y firmar las opciones documentadas para confirmar que las decisiones se han
llevado a cabo correctamente, y que estas apoyan a los requisitos generales de continuidad del
negocio.
Las opciones estratégicas de ATCN seleccionadas deberían:
a) tratar los riesgos probables y los efectos de interrupción;
b) integrarse con las estrategias elegidas de continuidad del negocio de la organización; y
c) ser adecuadas para cumplir los objetivos generales de la organización dentro de su propensión
al riesgo.
6.6 Mejoramiento de la capacidad de la ATCN
6.6.1 Mejoramiento de la resistencia
La organización debería incluir dentro de su estrategia y planes de alto nivel de ATCN, referencias a
las mejoras específicas de las capacidades de ATCN que se requieren para cumplir sus requisitos de
ATCN identificados. Semejantes mejoras se pueden lograr a través de acciones preventivas y
correctivas (referirse a 9.2 y 9.3), así como otros procesos o metodologías específicas que sean
respuestas relevantes para el AIN de la organización y para su propensión al riesgo.
La información sobre dichos procesos o metodologías se puede encontrar en los Anexos B y C.
6.7 Criterios de desempeño de la adecuación de TIC
6.7.1 Identificación de los criterios de desempeño
Dentro de cualquier ambiente de TIC hay muchos eventos potencialmente amenazantes – tales como
fallo de equipos, intrusiones de seguridad, etc.  y una organización debería ser capaz de monitorear
las amenazas y de comprender si el sistema de ATCN es capaz de tratar con ellos adecuadamente.
Por lo tanto, la organización debería definir los criterios de desempeño para medir la eficacia de la
adecuación de la TIC. Los criterios semejantes se pueden utilizar para determinar la calidad deseada
de la respuesta a una interrupción, tanto en los términos de su eficacia como de su eficiencia.

© INEN 2015
Los criterios de desempeño para la ATCN se deberían basar en los requisitos de ATCN, así como en
los objetivos generales de GCN, en términos de respuesta de incidentes y de requisitos de
continuidad. (Referirse a 8.3.1)
7 Implementación y operaciones
7.1 Generalidades
Las estrategias de ATCN se deberían implementar solamente después de la aprobación por la alta
dirección. En este punto empieza la etapa de implementación. Este capítulo proporciona
recomendaciones para la implementación de las estrategias elegidas de ATCN de una organización,
junto con la estructura, los planes y los procedimientos necesarios de la organización, requeridas
para apoyar a la implementación.
La organización debería gestionar los recursos (ver 7.2), los procedimientos y las operaciones de
ATCN, así como implementar programas de formación y de concienciación. La implementación se
debería gestionar como un proyecto a través de un proceso formal de control de cambio de la
organización y los controles de gestión del proyecto de GCN, con el fin de asegurar total visibilidad y
adecuado reporte de la gestión.
Se debería hacer referencia a las normas internacionales pertinentes durante la implementación de

los componentes de detección y respuesta de incidentes, y de recuperación de desastres, incluyendo
las siguientes normas:
a) ISO/IEC 18043 para la selección y la operación de sistemas de detección de intrusión;
b) ISO/IEC 18044 para el proceso de respuesta de incidentes; y
c) ISO/IEC 24762 para los servicios de recuperación de desastre.
NOTA ISO/IEC 18044 está siendo revisada y renumerada como 27035.
7.2 Implementación de los elementos de las estrategias ATCN
7.2.1 Conciencia, habilidades y conocimiento
El conocimiento general de la adecuación de los elementos de los servicios de TIC (ver 5.3)
–personas, instalaciones, tecnología, datos, procesos y proveedores, así como sus componentes
críticos– es un elemento crucial para asegurar el apoyo requerido para la gobernabilidad de
continuidad de negocio y del sistema de gestión, incluyendo la adecuación de TIC. Por lo tanto, la
organización debería:
a) elevar, mejorar y mantener la conciencia a través de un programa de educación continua y de

información para el personal pertinente y establecer un proceso para evaluar la eficacia de la
socialización; y
b) asegurar que el personal esté consciente de como contribuye al logro de los objetivos de ATCN.
La organización debería asegurar que todo el personal, al que se ha asignado responsabilidades de

gestión de ATCN, es competente para realizar las tareas requeridas, mediante:
a) determinación de las competencias necesarias para dicho personal;
b) el análisis de necesidades de capacitación en dicho personal;
c) provisión de capacitación
d) aseguramiento de que la competencia necesaria se ha logrado; y

© INEN 2015
e) mantenimiento de registros de educación, capacitación, habilidades, experiencia y calificaciones.
7.2.2 Instalaciones
Los sistemas de recuperación de TIC y los datos críticos deberían, cuando sea posible, estar
separados de forma física del sitio operacional para impedir que ellos sean afectados por el mismo
incidente.
Se debería considerar la ubicación de todos los ambientes de TIC cuando se implemente la

estrategia. Por ejemplo, de ser posible, la capacitación o el desarrollo de sistemas de TIC se deberían
separar lógicamente de los sistemas de producción ya que puede haber una oportunidad para que
estos sean reconfigurados, en el evento de un desastre, para reanudar rápidamente el servicio al
nivel de producción.
Se deberían examinar las características generales de escalabilidad, administración, compatibilidad,

rendimiento y costos de las diferentes técnicas de implementación para identificar las técnicas más
adecuadas para las estrategias elegidas que apoyan a los fines y objetivos generales de continuidad
del negocio.
7.2.3 Tecnología
Se deberían implementar estrategias de tecnología de TIC. Estas pueden incluir una o más de las
siguientes implementaciones y disposiciones:
a) hot standby, donde la infraestructura de TIC se replica a través de dos sitios;
b) warm standby, donde la recuperación tiene lugar en un sitio secundario, en donde la

infraestructura de TIC se prepara parcialmente;
c) cold standby, donde la infraestructura se construye o configura desde cero en una ubicación
alterna;
d) disposiciones de envío, bajo los cuales proveedores externos de servicio proporcionan el

hardware; y
e) disposiciones compuestas de las estrategias anteriores: un enfoque donde se las escoge y

mezcla.
7.2.4 Datos
Las disposiciones para la disponibilidad de datos se deberían alinear con los requisitos identificados
dentro de las estrategias de gestión de ATCN, y pueden incluir:
a) un almacenamiento adicional para datos en un formato que asegure su disponibilidad dentro de

las escalas de tiempo, identificadas en el programa de continuidad de negocio; y
b) unas ubicaciones alternativas para el almacenamiento de datos, que pueden ser físicas o
virtuales, con la condición de que se mantenga la seguridad y la confidencialidad de los datos;
por lo tanto, los procedimientos apropiados de acceso deberían estar en su lugar y, si las
disposiciones se hacen a través de terceros para el almacenamiento de esta información, los
mismos propietarios de la información deberían asegurarse que hayan controles apropiados.
7.2.5 Procesos
Los procesos de ATCN deberían ser documentados claramente y con suficientes detalles para
permitir que el personal competente los ejecute (algunos de esos procesos pueden diferir de la
operación diaria).

© INEN 2015
Los procedimientos de ATCN pueden depender de la situación que surja y en la práctica; es posible
que sea necesario adaptarlos dependiendo de la interrupción (por ejemplo, el grado de pérdidas o
daños), las prioridades operacionales de la organización y las demandas de las partes relacionadas.
7.2.6 Proveedores
La organización debería asegurar que los proveedores críticos sean capaces de apoyar a las
capacidades de servicio de ATCN, requeridas por la organización. Eso incluye tener sus propios
planes de continuidad de negocio y de ATCN, documentados y probados, con la capacidad de apoyar
a las activaciones concurrentes de planes de recuperación o de incidentes, por parte de los clientes.
La organización debería establecer un proceso para evaluar la capacidad y la habilidad de los
proveedores antes de emplear sus servicios, así como del monitoreo continuo y la revisión de la
capacidad de los proveedores después del compromiso. La conformidad con los requisitos/ buenas
prácticas de las normas pertinentes es un medio útil para determinar la capacidad del proveedor, por
ejemplo, la adopción de ISO/IEC 24762 para las mejores prácticas de proveedores que
hospedan/gestionan la instalación de procesamiento alternativo y proporcionan los servicios de
recuperación de desastres de TIC.
7.3 Respuesta a incidentes
Para cualquier incidente de TIC debería haber una respuesta al incidente para:
a) confirmar la naturaleza y el grado del incidente;
b) tomar el control de la situación;
c) contener el incidente; y
d) comunicarse con las partes interesadas.
La respuesta al incidente debería desencadenar una acción apropiada de ATCN. Esta respuesta
debería integrarse con la respuesta general de incidentes de GCN y puede activar a un equipo de
gestión de incidentes o, en una pequeña organización, a un solo individuo con la responsabilidad de
la gestión de continuidad de negocio y de incidentes.
Una organización más grande puede utilizar un enfoque escalonado y puede establecer diferentes
equipos para centrarse en diferentes funciones. Dentro de TIC, eso se puede basar en cuestiones
técnicas o relacionadas con el servicio.
Aquellas personas responsables de la gestión de incidentes deberían tener planes para la activación,
la operación, la coordinación y la comunicación de la respuesta a los incidentes.
7.4 Documentos del plan de la ATCN
7.4.1 Generalidades
La organización debería tener documentación (planes) para gestionar una interrupción potencial y así
permitir la continuidad de servicios de TIC y la recuperación de actividades críticas.
La gestión de incidentes de TIC, la continuidad de negocio y los planes técnicos de recuperación de

la organización se pueden activar en una rápida sucesión o simultáneamente.
La organización puede desarrollar documentos específicos del plan para recuperar o reiniciar los
servicios de TIC a un estado “normal” (planes de recuperación). Sin embargo, no podría ser posible
de definir qué es “normal” hasta algún tiempo después del incidente, así que no podría ser posible
implementar los planes de recuperación de inmediato. Por lo tanto, la organización debería asegurar
que las disposiciones de continuidad puedan realizar una operación extensa para apoyar a la
continuidad de negocio en su forma más amplia, dando tiempo para el desarrollo de los planes de
recuperación (“volver a la normalidad”).
© INEN 2015
7.4.2 Contenido de los documentos del plan
Una pequeña organización puede tener un único documento a manera de plan que abarque a todas
las actividades para recuperar los servicios de TIC en toda su operación. Una organización muy
grande puede tener muchos documentos para el plan, de los cuales cada uno especifica en detalle la
recuperación de un elemento particular de sus servicios de TIC.
La respuesta de TIC y los planes de recuperación deberían ser concisos y accesibles para aquellos
que tienen las responsabilidades definidas en los planes. Los planes deberían contener los siguientes
elementos:
a) Propósito y alcance
El propósito y el campo de aplicación de cada plan específico deberían ser definidos, aceptados por
la alta dirección, y entendidos por aquellos a quienes se invocará en el plan. Cualquier relación con
otros planes pertinentes o documentos dentro de la organización, particularmente con los planes de
CN, deberían ser referenciados claramente, y el método para obtener y acceder a esos planes
debería ser descrito.
Cada gestión de incidentes y cada respuesta de TIC y cada plan de recuperación debería exponer los
objetivos priorizados en los términos de:
i) los servicios críticos de TIC que se deben recuperar;
ii) la escala de tiempo en la cual estos se deben recuperar;
iii) los niveles de recuperación necesarios para cada actividad crítica de servicio de TIC; y
iv) la situación en la cual cada plan puede ser activado.
También, los planes pueden contener, cuando sea apropiado, procedimientos y listas de verificación
que apoyan al proceso de revisión posterior al incidente.
b) Cargos y responsabilidades
Los cargos y las responsabilidades de las personas y de los equipos que tienen autoridad (tanto en
términos de toma decisiones y de autoridad para gastar) durante y después de un incidente se
deberían documentar claramente.
c) Activación del plan
NOTA Invariablemente la pérdida de tiempo durante una respuesta no se puede recuperar. Casi siempre es mejor iniciar una
respuesta de TIC y luego detenerla, que perder una oportunidad de contener un incidente temprano y evitar así una escalada.
Por lo tanto, la organización tiene que utilizar los protocolos de escalamiento y activación de gestión
de incidentes contenidos dentro de sus amplios planes de gestión de incidentes para la continuidad
del negocio para formar una base sobre la cual se pueda gestionar las potenciales interrupciones del
servicio relacionado con TIC.
El método por el cual se activa una respuesta de TIC y un plan de recuperación se debería
documentar claramente. Por lo tanto, este proceso debería permitir que se activen los planes
pertinentes o a las partes del mismo, en el tiempo más corto posible, o bien por adelantado en el caso
de un evento potencialmente disruptivo o inmediatamente después de la ocurrencia de un evento.
El plan debería incluir una descripción clara y precisa de:
i) cómo movilizar el individuo o equipo asignado;

© INEN 2015
ii) los puntos de encuentro inmediato;
iii) las subsiguientes ubicaciones de encuentro del equipo y detalles de cualquier ubicación
alternativa (en una organización más grandes se puede referir a estos lugares de encuentro
como centros de mando); y
iv) las circunstancias bajo las cuales la organización considera que una respuesta de ATCN no
sea necesaria (por ejemplo, fallas y cortes de energía leves, tal vez en los servicios críticos de
TIC, pero que son gestionados por el servicio de asistencia normal y por disposiciones y
convenios de soporte).
La organización debería documentar un proceso claro para que se retire el equipo de respuesta de
TIC una vez que el proceso ha terminado, y para regresar a la operación normal del negocio.
d) El propietario y mantenedor de la documentación del plan de respuesta y recuperación de TIC
La dirección debería nominar a un propietario de la documentación del plan de respuesta y

recuperación de TIC, haciéndolo responsable de la revisión y actualización regular de la
documentación.
Un sistema del control de versión se debería emplear, y los cambios se deberían notificar
formalmente a todas las partes interesadas con el uso de un registro formal de distribución de
documentos del plan de continuidad.
e) Detalles de contacto
NOTA Los registros de contacto pueden incluir detalles de contacto de “fuera de la hora de operación”. Sin embargo,
cuando los planes se refieren a tales tipos de detalles privados, el respeto a la privacidad de información tiene que ser una
consideración primordial.
Cuando sea apropiado, cada documento del plan debería contener o proporcionar una referencia a
los detalles esenciales de contacto para todas las partes interesadas clave.
7.4.3 Documentación del plan de respuesta y de recuperación de TIC
La documentación del plan de respuesta y recuperación de TIC debería:
a) ser flexible, viable y pertinente;
b) ser fácil de leer y entender; y
c) proporcionar la base para la gestión de cuestiones graves que, la organización considera,

merecen una respuesta de ATCN (típicamente después de un evento significativo de
interrupción).
La documentación debería definir el marco general dentro del cual se organizan los planes de
recuperación, cubriendo:
a) una estrategia general;
b) los servicios críticos (con OTR/OPR);
c) los cronogramas para la recuperación; y
d) los equipos de recuperación y sus responsabilidades.
Los planes se deberían documentar de tal manera que el personal competente pueda utilizarlos en el
evento de un incidente. Deberían incluir:

© INEN 2015
a) Los objetivos: una corta descripción de los objetivos de los planes;
b) Campo de aplicación: que abarca lo siguiente, con referencia a los resultados del AIN:
i) lo crítico de los servicios: una descripción de los servicios pertinentes y la identificación de su

nivel de criticidad;
ii) tecnología: una descripción general de la tecnología principal que apoya a los servicios,
incluyendo donde se hospeda;
iii) organización: una descripción de las organizaciones (departamentos, personas vitales y

procedimientos) que gestionan la tecnología; y
iv) documentación: una descripción de la documentación más importante para la tecnología, que
incluye las ubicaciones (fuera del sitio) donde se almacenan.
c) Requisitos de disponibilidad: los requisitos definidos por el negocio, para la disponibilidad

de los servicios y la tecnología relacionada;
d) Requisitos de seguridad de información: los requisitos para la seguridad de información de

servicios, sistemas y datos, que incluyen sus requisitos de confidencialidad, integridad y
disponibilidad;
e) Procedimientos de recuperación de tecnología: una descripción de los procedimientos a seguir

para recuperar el servicio de TIC, que incluye lo siguiente:
i) una lista de actividades, por ejemplo, la información de contacto de la empresa de soporte

y restauración;
ii) una lista de actividades para recuperar la red, los sistemas, las aplicaciones, las bases de
datos, etc., hasta un nivel acordado en una ubicación alternativa, teniendo en cuenta el
ambiente alterado (por ejemplo, eso podría afectar la capacidad de la línea, las
comunicaciones de sistema-a-sistema, etc.);
iii) una lista de actividades para restaurar las funcionalidades básica como la seguridad, el
enrutamiento y el registro;
iv) la coordinación dentro de la aplicación y entre aplicaciones, sincronización de datos, y

procedimientos potenciales automatizados para manejar un cúmulo de información;
v) los procesos necesarios para restaurar los servicios de TIC y entregarlos a sus usuarios
para que estos operen en modo de recuperación;
vi) los procedimientos de respaldo; y
vii) dónde y cómo las personas pueden obtener más información, instrucciones, etc., por
ejemplo, números de línea directa; y los pasos a seguir para volver a la normalidad.
f) Apéndices
i) un inventario de sistemas de información, aplicaciones y bases de datos;
ii) una descripción de la infraestructura de red y los nombres del servidor;
iii) un inventario de hardware y de software de los sistemas; y
iv) los contratos y los acuerdos de nivel de servicio.
g) Los proveedores claves de TIC

© INEN 2015
i) proveedores usuales del negocio; y
ii) los proveedores de servicio de recuperación.
7.5 Programa de concienciación, competencia y capacitación
Se debería implementar un programa coordinado para asegurar que los procesos estén
implementados para promocionar regularmente una concienciación de la ATCN en general, así como
para evaluar y mejorar la competencia de todo el personal clave pertinente para la implementación
exitosa de la ATCN (referirse a 7.2.1).
7.6 Control de documentos
7.6.1 Control de registros de ATCN
Los controles se deberían establecer sobre los registros de ATCN con el fin de:
a) asegurar que permanecen legibles, fácilmente identificables y recuperables; y
b) prever su almacenamiento, protección y recuperación.
7.6.2 Control de la documentación de ATCN
Se deberían establecer controles sobre la documentación de ATCN para asegurar que:
a) los documentos sean aprobados para que sean revisados antes de su emisión;
b) se revisen y actualicen los documentos según sea necesario y sean reaprobados;
c) se identifiquen los cambios y el estado actual de revisión de los documentos;
d) las versiones pertinentes de documentos aplicables estén disponibles en los puntos de uso;
e) se identifiquen los documentos de origen externo y se controle su distribución; y
f) se impida el uso no intencionado de los documentos obsoletos y dichos documentos se

identifiquen adecuadamente como tales si estos son retenidos por cualquier motivo.
8 Monitoreo y revisión
8.1 Mantenimiento de la ATCN
8.1.1 Generalidades
Los cambios traen riesgos; no solamente el riesgo de fallos, sino también el riesgo de desestabilizar
las políticas y estrategias existentes. Por lo tanto, las estrategias de ATCN deberían ser resistentes y
adaptables.
Cualquier cambio en los servicios de TIC que pueda afectar la capacidad de ATCN se debería
implementar solamente después de que las implicaciones del cambio de la continuidad de negocio
hayan sido evaluadas y tratadas.
Para asegurar que las estrategias y los planes de ATCN sigan siendo apropiados para la
organización:

© INEN 2015
a) la alta dirección debería asegurar que las estrategias de ATCN sigan apoyando a los requisitos
de GCN de la organización;
b) el proceso de gestión de cambio debería incluir a todas las partes responsables en las
estrategias de ATCN, tanto en su planificación como en su implementación;
c) el proceso de desarrollo para nuevos servicios de TIC debería incluir la aceptación de que la
capacidad de recuperación no se ha visto comprometida incluso por las actualizaciones y
mejoras más simples;
d) la debida diligencia en actividades de fusiones y adquisiciones debería incluir una evaluación de

la capacidad de recuperación; y
e) el desmantelamiento de componentes de TIC debería reflejarse dentro de sistemas de gestión

de ATCN.
8.1.2 Monitoreo, detección y análisis de amenazas
La organización debería establecer un proceso para monitorear y detectar continuamente la aparición

de amenazas de seguridad de TIC, incluyendo, pero no limitado a, las siguientes áreas:
a) la retención de personal, de habilidades y de conocimiento;
b) la gestión de instalaciones para alojar el equipo de TIC (por ejemplo, mediante el monitoreo del
número y la naturaleza de incidentes/vulnerabilidades de seguridad, relacionados con los cuartos
de computadoras);
c) los cambios en la tecnología, planta, equipo y redes de apoyo;
d) los cambios en las aplicaciones de información y bases de datos;
e) las finanzas o la asignación presupuestaria; y
f) la eficacia de servicios y proveedores (suministros) externos.
8.1.3 Prueba y ejercicios
8.1.3.1 Generalidades
La organización debería probar no solamente la recuperación del servicio de TIC, sino también sus
elementos de protección y recuperación con el fin de determinar si:
a) se puede proteger, mantener o recuperar el servicio, independientemente de la severidad del

incidente;
b) las disposiciones de gestión de ATCN pueden minimizar el impacto en el negocio; y
c) los procedimientos para volver a la operación normal del negocio, son válidos.
8.1.3.2 Programa de prueba y ejercicio
En la mayoría de los casos, el conjunto completo de los elementos y procesos de ATCN, incluyendo
la recuperación de TIC, no puede ser probado en una sesión de prueba y ejercicios. Por lo tanto, un
régimen progresivo de ejercicios podría ser apropiado hasta que exista la construcción de una
simulación completa de un incidente real. El programa debería incluir diferentes niveles de ejercicios
desde la familiarización hasta la recuperación de la sala de computadores, como está definido en la
Figura 5, y este debería considerar todos aspectos de la entrega del servicio de TIC de extremo-a-
extremo.

© INEN 2015
Hay riesgos asociados con las pruebas y los ejercicios, y semejantes actividades no deberían
exponer a la organización a un nivel de riesgo inaceptable. El programa de prueba y ejercicios
debería definir como se aborda el riesgo de ejercicios individuales. Se debería obtener la aprobación
del programa por la alta dirección y también se debería documentar una explicación clara de los
riesgos asociados.
Los objetivos del programa de prueba y ejercicio se deberían alinear estrictamente con el alcance y
los objetivos de la amplia gestión de continuidad de negocio y debería ser complementario al amplio
programa de ejecución de la organización. Cada prueba y ejercicio debería tener tanto objetivos de
negocio (incluso cuando no hay una participación directa de negocio) como objetivos técnicos
definidos para probar o para validar un elemento específico de la estrategia de ATCN.
El ejercicio de los elementos individuales en aislamiento a nivel de componentes es complementario a

la ejercitación completa del sistema y se debería mantener como parte de un programa continuo de
prueba y ejercicio.
El programa de prueba y ejercicio debería definir la frecuencia, el alcance y el formato de cada

ejercicio. Los siguientes son ejemplos de alto nivel de alcance de ejercicios:
a) la recuperación de datos: la recuperación de un único archivo o base de datos, después de su

daño;
b) la recuperación de un único servidor (incluyendo una reconstrucción completa);
c) la recuperación de una aplicación (eso puede consistir de varios servidores, subaplicaciones e

infraestructura);
d) recuperación de fallos de servicios alojados en una plataforma de alta disponibilidad (por

ejemplo, agrupamiento: simulación de la pérdida de cualquier miembro de un grupo – ver el
Anexo B);
e) la recuperación de datos de una cinta (recuperación de archivos individuales o series de archivos

de almacenamiento de una cinta fuera del sitio);
f) pruebas de red; y
g) pruebas de falla de infraestructura de comunicaciones.
Los ejercicios deberían ser progresivos para que incluyan una prueba de crecientes dependencias e
interrelaciones y de comunidades pertinentes de usuarios finales.
8.1.3.3 Alcance de los ejercicios
El ejercicio se debería llevar a cabo para:
a) construir confianza a lo largo de la organización de que la resistencia y la estrategia de

recuperación cumplirán con los requisitos del negocio;
b) demostrar que los servicios críticos de TIC se pueden mantener y recuperar dentro de los niveles
u objetivos de recuperación acordados, independientemente del incidente;
c) demostrar que los servicios críticos de TIC se pueden restaurar a un estado previo a la prueba
en el evento de un incidente en la ubicación de recuperación;
d) proporcionar la oportunidad para que el personal se familiarice con el proceso de recuperación;
e) entrenar el personal y asegurar que tengan el conocimiento adecuado de los planes y

procedimientos de ATCN;

© INEN 2015
f) comprobar que la ATCN permanece sincronizada con la infraestructura de TIC y la

infraestructura general;
g) identificar cualquier mejora que sea requerida para la estrategia de ATCN, la arquitectura o los
procesos de recuperación; y
h) proporcionar evidencias para auditorías y demostrar la competencia de servicio de TIC de la

organización.
El ejercicio se debería aplicar a todo el ambiente de TIC y a todos los componentes que entregan el
servicio de extremo-a-extremo, desde la sala de computadoras hasta el escritorio del usuario o a
cualquier otro canal de distribución de servicio.
8.1.3.4 Elementos de recuperación de servicio
La organización debería ejercitar todos los elementos de la recuperación de servicio de TIC como sea
apropiado para su tamaño y complejidad y alcance de la gestión de continuidad de negocio. El
ejercicio no se debería centrar únicamente en la recuperación y la reanudación de servicio, sino que
también debería incluir la confiabilidad en la capacidad de resistencia, el monitoreo del sistema y la
gestión de alertas.
La organización debería ejercitar pruebas a nivel de componentes de los sistemas basados

completamente en la ubicación con el fin de lograr altos niveles de confianza y recuperación.
Figura 6 – Prueba progresiva y programa de ejercicios
Los siguientes elementos deberían ser ejercitados:
a) sala de computadoras, tal como la seguridad física; los sistemas de detección de fugas de agua
y de incendios; los procesos de evacuación; calefacción, ventilación y aire acondicionado; el
monitoreo del ambiente; y los protocolos de alerta y los servicios eléctrico;
b) la infraestructura incluyendo la resistencia general de la conectividad de la red; la diversidad de

la red; y la seguridad de la red, incluyendo la protección antivirus y la prevención y detección de
intrusiones;

© INEN 2015
c) hardware, incluyendo servidores, equipo de telecomunicaciones, arreglos de almacenamiento y

medios extraíbles;
d) software;
e) datos;
f) servicios; y
g) rol y responsabilidad de los proveedores.
8.1.3.5 Planificación de un ejercicio
Para asegurar que un ejercicio no cause incidentes o perjudique la capacidad de servicio, un ejercicio
se debería planificar cuidadosamente para minimizar el riesgo de un incidente que pueda ocurrir
como un resultado directo del ejercicio.
La gestión de riesgos debería ser apropiada al nivel de ejercicio que se lleva a cabo (por ejemplo, los
elementos de la recuperación de servicio). Esto puede incluir:
a) asegurar que todos los datos sean respaldados justo antes del ejercicio;
b) manejar los ejercicios en ambientes aislados; y
c) programar ejercicios “fuera de las horas de operación” o durante horas tranquilas en el ciclo de
negocio, con el conocimiento del usuario final.
Los ejercicios deberían ser realistas, planificados cuidadosamente y acordados con las partes
interesadas, para que exista un riesgo mínimo de interrupción de los procesos de negocio. Sin
embargo, no se deberían llevar a cabo durante incidentes.
La escala y complejidad de los ejercicios debería ser apropiada para los objetivos de recuperación de
la organización.
Cada ejercicio debería tener unos “términos de referencia”, acordados y firmados por adelantado por
el patrocinador del ejercicio, que puede incluir lo siguiente:
a) descripción;
b) objetivos;
c) alcance;
d) supuestos;
e) restricciones;
f) riesgos;
g) criterios de éxito;
h) recursos;
i) roles y responsabilidades;
j) línea del tiempo de alto nivel/cronograma;
k) captura de datos del ejercicio;

© INEN 2015
l) registro del ejercicio/incidentes;
m) informe; y
n) acciones posteriores al ejercicio (seguimiento y presentación de informes).
Planificar un ejercicio debería permitir a la organización lograr los criterios de éxito identificados.
8.1.3.6 Gestión de un ejercicio
Se debería desarrollar una estructura clara del responsable para el ejercicio con roles y
responsabilidades asignados a los individuos apropiados. La estructura del responsable del ejercicio
puede incluir:
a) un responsable del ejercicio (un(os) participante(s) con el control total de la prueba y ejercicio);
b) comunicaciones de ejercicio;
c) la confirmación de que hay suficiente personal disponible para emprender el ejercicio con
seguridad;
d) suficientes observadores y o facilitadores para capturar los procedimientos del ejercicio y

mantener un registro de problemas;
e) los hitos claves del ejercicio;
f) el fin de los protocolos de ejercicio; y
g) los protocolos de interrupción de emergencia del ejercicio.
El ejercicio se debería ejecutar a través del responsable del ejercicio para asegurar que:
a) se cumplan los objetivos e hitos claves;
b) todo el material del ejercicio y todas las actividades tienen niveles apropiados de
confidencialidad;
c) se controla y mitiga cualquier riesgo continuo;
d) cualquier visitante/observador haya sido autorizado;
e) se capturen los procedimientos del ejercicio de forma consistente; y
f) todos los participantes hayan sido entrevistados y se haya recolectado retroalimentación.
8.1.3.7 Revisión, informe y seguimiento
Al final de un ejercicio sus hallazgos deberían ser revisados y tratados con prontitud. Eso debería
incluir:
a) reunir los resultados y hallazgos;
b) analizar los resultados y hallazgos frente a los objetivos del ejercicio y los criterios de éxito;
c) identificar cualquier brecha;
d) asignar los puntos de acción con tiempos definidos en la línea de tiempo;
e) crear un informe del ejercicio para una consideración formal por el patrocinador del ejercicio; y
© INEN 2015
f) consolidar y seguir las acciones del informe del ejercicio.
8.2 Auditoría interna de la ATCN
El plan de auditoría interna de ATCN debería definir y documentar los criterios de auditoría, el
alcance, el método y la frecuencia de auditoría (por ejemplo, la auditoría interna de ATCN, realizada
anualmente). El plan de auditoría debería asegurar que solamente los auditores internos calificados
sean nombrados para la auditoría. La selección de auditores y el manejo de la auditoría deberían
asegurar la objetividad y la imparcialidad del proceso de auditoría. Los auditores que manejan la
auditoría interna de ATCN deben ser competentes para emprender la tarea. Por ejemplo, los
auditores deberían asistir a la capacitación pertinente de auditoría para que puedan adquirir las
competencias necesarias y el conocimiento necesario para realizar la auditoría.
Un procedimiento se debería establecer para asegurar que las deficiencias identificadas en las
auditorías internas de ATCN sean rectificadas.
También, el plan de auditoría debería abarcar las partes externas. Por ejemplo, los proveedores
subcontratados deberían ser auditados para evaluar su capacidad de apoyar a las estrategias y
planes de ATCN de la organización durante la operación diaria, y para responder y recuperarse del
desastre.
Una auditoría interna se debería llevar a cabo cuando haya cambios significativos en los servicios
críticos de TIC, en los requisitos de continuidad de negocio (según sea relevante para el campo de
aplicación de la ATCN) o en los requisitos del ATCN.
Los resultados de la auditoría interna de ATCN se deberían grabar y comunicar. El gestor debería
revisar los resultados de las auditorías internas de ATCN y el estado de las medidas correctivas de
seguimiento.
8.3 Revisión de la gestión
8.3.1 Generalidades
La alta dirección debería asegurarse de que el sistema de gestión de la ATCN se revisa en intervalos
planificados. Esta revisión puede tomar como datos de entrada las auditorías internas o externas, o
de las autoevaluaciones. La revisión debería incluir la evaluación de oportunidades para la mejora y la
necesidad para cambios en la gestión de la ATCN, incluyendo la política y los objetivos de la ATCN.
Además, la alta dirección debería revisar anualmente los requisitos firmados de ATCN, incluyendo las
definiciones de los servicios de TIC, la lista documentada de servicios críticos de TIC y los riesgos
asociados con las brechas identificadas entre la capacidad crítica de la Adecuación de TIC y los
requisitos de continuidad del negocio.
Los resultados de la revisión se deberían documentar claramente y los registros se deberían

mantener.
8.3.2 Revisión de entradas
Los datos de entrada para una revisión de gestión deberían incluir información sobre:
a) los niveles internos de servicio
b) la capacidad de proveedores externos de servicios para mantener los niveles apropiados de

servicio;
c) los resultados de las auditorías pertinentes;
d) la retroalimentación de partes interesadas, incluyendo observaciones independientes;

© INEN 2015
e) el estado de acciones preventivas y correctivas;
f) el nivel del riesgo residual y del riesgo aceptable;
g) las acciones de seguimiento de las revisiones y recomendaciones anteriores de gestión;
h) las lecciones aprendidas de las pruebas y ejercicios, los incidentes y el programa de educación y
concienciación; y
i) nuevas buenas prácticas y directrices.
8.3.3 Revisión de salidas
Las salidas resultantes de la revisión se deberían firmar por la alta dirección e incluir:
a) variación del alcance de sistemas de gestión de ATCN;
b) mejoramiento de la efectividad del sistema de gestión de ATCN;
c) los requisitos revisados de ATCN, incluyendo las definiciones de servicio de TIC, la lista
documentada de servicios críticos de TIC y los riesgos asociados con las brechas identificadas
entre la capacidad crítica de adecuación de TIC y los requisitos de continuidad de negocio;
d) modificación de la estrategia y los procedimientos de ATCN, según sea necesario, para

responder a los eventos internos o externos que podrían tener un impacto en los servicios de
TIC, incluyendo cambios en:
i) los requisitos de negocio;
ii) los requisitos de resistencia; y
iii) los niveles de riesgo o los niveles de aceptación de riesgos.
e) necesidad de recursos; y
f) requisitos financieros y de presupuesto.
8.4 Medición de los criterios de desempeño de la adecuación de TIC
8.4.1 Monitoreo y medición de la adecuación de TIC
La organización debería supervisar y medir su adecuación de TIC a través de la implementación del

proceso de medición de los Criterios Definidos de Desempeño de adecuación de TIC (referirse a 6.7).
8.4.2 Criterios cuantitativos y cualitativos de desempeño
Los criterios de desempeño para la ATCN pueden ser cuantitativos o cualitativos.
Los criterios cuantitativos pueden incluir:
a) durante un período de tiempo, el número de incidentes que no han sido detectados antes de la
interrupción (eso puede proporcionar una indicación de la integridad de mecanismos de
detección y de alerta);
b) el tiempo de detección para incidentes;
c) el número de incidentes que no se pueden contener efectivamente para reducir el impacto;

© INEN 2015
d) la disponibilidad de fuentes de datos para indicar la aparición de incidentes a través del control
de las tendencias de eventos; y
e) el tiempo para reaccionar y responder ante los incidentes emergentes detectados.
Los criterios cualitativos son subjetivos cuando estos se utilizan para determinar el desempeño de la
ATCN pero normalmente requieren menos recursos en el proceso de medición (lo cual puede ser
apropiado para una organización pequeña o de tamaño medio que está sujeta a restricciones de
recursos). Eso puede incluir determinar la eficiencia de los procesos utilizados en la planificación, la
preparación y la ejecución de las actividades de ATCN y se puede medir a través de:
a) un estudio que utiliza cuestionarios estructurados o no estructurados;
b) la retroalimentación de participantes y partes interesadas;
c) la realización de talleres de retroalimentación; y
d) otras reuniones de grupos de enfoque.
9 Mejoramiento de la ATCN
9.1 Mejoramiento continuo
La organización debería mejorar continuamente la ATCN a través de la aplicación de acciones

preventivas y correctivas que son apropiadas para los impactos potenciales, determinados por el
análisis de impacto de negocio (AIN) de la organización y su apetito al riesgo.
9.2 Acción correctiva
La organización debería tomar acciones para corregir cualquier falla real del servicio de TIC y de los
elementos de ATCN. El procedimiento documentado para la acción correctiva debería definir los
requisitos para:
a) identificar las fallas;
b) determinar las causas de las fallas;
c) evaluar la necesidad de las acciones para asegurar que las no conformidades no se repitan;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de las acciones adoptadas; y
f) revisar las acciones correctivas adoptadas.
9.3 Acción preventiva
La organización debería identificar las debilidades potenciales en los elementos de ATCN y

establecer un procedimiento documentado para:
a) identificar las fallas potenciales;
b) identificar las causas de las fallas;
c) determinar e implementar la acción preventiva necesaria; y
d) registrar y revisar los resultados de acciones adoptadas.

© INEN 2015
Anexo A
(informativo)
La ATCN y los hitos durante una interrupción

La Figura A.1 ilustra cómo los elementos de ATCN apoyan a los hitos claves durante una interrupción
importante. Los eventos e hitos suceden a lo largo de una línea de tiempo, a partir del Tiempo Cero
cuando ocurre un evento de interrupción/desastre de servicio de TIC. Un ejemplo del escenario de
desastre es aquel que ha surgido a partir de un ataque de intrusión de sistema dirigido (comúnmente
llamado “piratería [hacking]”) al sistema crítico de TIC de la organización.
El Objetivo de Punto de Recuperación (OPR) se refiere a la cantidad de datos perdidos e

irrecuperables debido a la interrupción. Esto se representa en el cronograma como la cantidad de
tiempo entre la última copia buena de respaldo y cuando ocurre el evento de interrupción. El OPR
varía de acuerdo con la estrategia empleada de recuperación del servicio de TIC, particularmente en
los arreglos del respaldo.
Al Tiempo Cero, el sistema crítico de TIC fue invadido por los piratas (hackers) y los servicios fueron
derribados. El primer hito después de que ocurre el evento de interrupción de servicio de TIC es la
detección directa del incidente de seguridad (por ejemplo, el evento de intrusión) o la detección
indirecta de la pérdida (o degradación) del servicio, para lo cual un tiempo habrá transcurrido antes de
la notificación; por ejemplo, en algunas instancias, la notificación podría llegar a través de una
llamada al servicio de asistencia de TI, por parte de un usuario.
Aún más tiempo podría pasar mientras la interrupción de servicio de TIC es investigada, analizada,
comunicada y una decisión es tomada para activar la ATCN. El proceso podría durar varias horas a
partir del comienzo de la interrupción de servicio de TIC hasta que se tome una decisión para activar
la ATCN, si se toma en cuenta el tiempo de comunicación y el tiempo para tomar una decisión. La
decisión de activación podría requerir la cuidadosa consideración en algunas situaciones, por
ejemplo, donde el servicio no se ha perdido por completo o cuando parece que hay una fuerte
probabilidad de recuperación inminente del servicio, porque la activación de ATCN tiene a menudo
impactos en las operaciones normales de negocio.
Una vez activada, la recuperación de servicio de TIC puede iniciar. Esto se puede dividir en la
infraestructura (red, equipos, sistemas operativos, programa de respaldo, etc.) y la recuperación de
las aplicaciones (base de datos, aplicación, procesos de lote, interfaces, etc.). (Para más información
referirse a ISO/IEC 24762).
Una vez que el servicio de TIC ha sido recuperado y las pruebas del sistema han sido realizadas por
el personal de TIC, el servicio se puede hacer disponible para la prueba de aceptación del usuario
antes de que este sea liberado al personal para su uso en las operaciones de continuidad del
negocio.
A partir de una perspectiva de continuidad del negocio, hay un objetivo de tiempo de recuperación
(OTR) por producto, servicio o actividad y que este OTR empieza desde el punto en el cual la
interrupción se produce y se ejecuta hasta que el producto, servicio o actividad sea recuperado, pero
podría haber una serie de servicios de TIC que se requieren para permitir eso y cada uno de esos
servicios de TIC podría comprometer a un número de sistemas de TIC o de aplicaciones. Cada uno
de esos componentes de los sistemas de TIC o de esas aplicaciones tendrá su propio OTR como un
subconjunto del OTR de servicio de extremo-a-extremo de TIC y eso debería ser menos que el OTR
de continuidad de negocio, teniendo en cuenta el tiempo para la detección y para tomar una decisión
y el tiempo de prueba de aceptación del usuario (a menos que el producto, servicio o actividad de
continuidad de negocio se pueda soportar sin TIC por un período de tiempo, por ejemplo, utilizando
procedimientos manuales).
Típicamente, los servicios de TIC funcionan durante un período de tiempo, apoyando a la actividad de
continuidad de negocio y si esto es un período extendido entonces los servicios recuperados de TIC
podrían necesitar ser escalados para apoyar a un volumen aumentado de actividad, potencialmente

© INEN 2015
hasta el punto en el cual el producto, servicio o actividad sea completamente recuperado a

volúmenes normales de transacción.
Posteriormente, en algún punto de la línea de tiempo, la restauración será factible y deseable, y las
operaciones de DR estarán en transición para volver a las operaciones “normales”. Las operaciones
“normales” restituidas pueden ser bien el estado o ambiente original antes de la interrupción o un
nuevo arreglo de operación (especialmente cuando el desastre de interrupción ha obligado a un
cambio permanente en el negocio).
Aunque el personal tenga la oportunidad de planificar cuidadosamente la restauración y programarla

para que suceda durante un período natural de actividad baja, esto es una tarea sustancial en sí
misma.
Las flechas en la parte superior del diagrama indican como los principios de ATCN, detallados en
ISO/IEC 27031, se alinean con la línea del tiempo de la interrupción.
Figura A.1 – La ATCN y los hitos durante una interrupción

© INEN 2015
Anexo B
(informativo)
Sistemas integrados de alta disponibilidad

En la tecnología de información y comunicaciones, la “alta disponibilidad” se refiere a los sistemas o
componentes que están continuamente operacionales durante un deseablemente largo período de
tiempo. La disponibilidad se puede medir relativa a “100 % operacional” o “nunca falla”. Hay un
estándar de disponibilidad que es ampliamente generalizada pero difícil de lograr para un sistema o
producto que se conoce como la disponibilidad de “cinco 9s” (99,999 por ciento).
Un sistema de computadora o una red se compone de muchos componentes, todos los cuales
necesitan por lo general el estar presentes y funcionales para que todo el conjunto sea operacional, y
mientras se planifica la alta disponibilidad, se centra con frecuencia en el procesamiento de respaldos
y de la configuración y en el almacenamiento y acceso de datos, otros componentes de
infraestructura tales como energía y refrigeración son igualmente importantes.
Por ejemplo, la disponibilidad de energía se puede asegurar mediante medidas como:
a) suministro eléctrico ininterrumpido, UPS;
b) capacidad de generación de energía de emergencia; y
c) fuentes duales de energía de una red de energía.
La copia de respaldo y la disponibilidad de datos se pueden alcanzar mediante el uso de una

variedad de tecnologías de almacenamiento tales como una matriz redundante de discos, RAID, una
red de área de almacenamiento, SAN, etc.
También se debe considerar la disponibilidad de aplicaciones que a menudo se logran por medio de
la agrupación.
Dichas tecnologías solo pueden ser realmente eficaces en la entrega de alta disponibilidad, a través
de una implementación concurrente en más que una ubicación. Por ejemplo, simplemente tener un
servidor de “recuperación de fallos” en la misma ubicación que un servidor primario o un servidor de
“producción” no va a proporcionar los niveles necesarios de resistencia si este sitio se ve afectado por
una interrupción grave. Ambos servidores se verán afectados por la misma interrupción. El servidor
de “recuperación de fallos” y otras tecnologías de apoyo tendrían que ser ubicados en otro sitio para
que los niveles requeridos sean alcanzados.
Para muchas organizaciones los costos y esfuerzos, involucrados para lograr semejantes niveles de
alta disponibilidad, pueden ser desalentadores y en los últimos años ha habido un enorme
crecimiento en el uso de los proveedores de servicio subcontratados que son capaces de ofrecer las
habilidades, los recursos y las tecnologías resistentes a un precio asequible o a través de la provisión
de servicios gestionados o de servicios en la nube.
Sin embargo, se debería recordar, que pese a que la alta disponibilidad sea una vía eficaz para
mejorar la resistencia, la posibilidad de fallos permanece. Así que es vital que los procesos de RD y
procesamientos bien planificados y probados estén implementados.

© INEN 2015
Anexo C
(informativo)
Evaluación de los escenarios de falla

C.1 Generalidades
Existe un rango de técnicas de gestión de riesgos potenciales, las cuales pueden ayudar en la
evaluación de la Adecuación de la TIC para la CN y en el desarrollo de un marco apropiado para el
desarrollo y la mejora continua de la resistencia de TIC.
ISO 31010-2009 “Gestión de riesgos – Técnicas de Evaluación de Riesgos” pretende reflejar las
buenas prácticas actuales de selección y utilización de técnicas de evaluación de riesgos. Se debería
hacer referencia a esta norma para determinar cuál sería la técnica más apropiada a ser utilizada
dentro de una organización.
La evaluación de los escenarios de falla es una técnica que puede ser beneficiosa en el mejoramiento
de la eficacia del ATCN y este anexo proporciona información adicional sobre cómo se puede
implementar.
C.2 Metodología de evaluación
Problemas de riesgos desconocidos pueden emerger entre las evaluaciones como resultado de los
cambios en un ambiente externo a la organización que pueden obstaculizar la continuidad y la
resistencia del negocio. El propósito de la evaluación de los escenarios de fallo es identificar los
indicadores de eventos adecuados y asegurar que los planes de ATCN sean capaces de detectar
semejantes problemas de riesgos emergentes y sean capaces de preparar a la organización para
asegurar que las acciones apropiadas se puedan tomar antes de que ocurra el fallo.
Un número de metodologías específicas están disponibles para semejante propósito, incluyendo el

Análisis de los Efectos del Modo de Fallo, AEMF (Failure Mode Effect Analysis), y el Análisis del
Impacto del Fallo en los Componentes, AIFC (Component Failure Impact Analysis). Para los fines de
demostración, este anexo profundiza en la metodología específica de AEMF aunque una
organización debería seleccionar una metodología apropiada para su ambiente y marco de
referencia.
El Análisis de los Efectos del Modo de Fallo (AEMF) es un proceso para identificar y analizar los
modos de fallo potencial de un sistema para clasificarlos de acuerdo a su severidad o la
determinación de los afectos de los fallos en el sistema. En el contexto de esta norma, el AEMF se
puede aplicar para determinar los indicadores críticos de eventos que se deberían controlar con el fin
de detectar los modos de fallos potenciales graves en un sistema de TIC de la organización. El
proceso, basado en el enfoque del AEMF, se puede aplicar a cada componente crítico del servicio de
TIC, como está descrito en 6.3.2.
Para cada componente crítico:
a) se identifica el modo de fallo potencial;
b) se determina el impacto potencial en el servicio de TIC, por ejemplo, la severidad de cada modo
de fallo y qué consecuencias resultarían de cada uno;
c) se identifica la frecuencia de aparición de un modo de fallo con el cual la organización tiene

experiencia previa, así como la facilidad de monitoreo y detección del modo de fallo;
d) se identifican los indicadores que proporcionarán una señal o una información de que el
componente está fallando;

© INEN 2015
e) se identifican los eventos directos e indirectos que son relacionados, y se cambiará el estado de
cada indicador;
f) se identifican los controles existentes que eviten que los componentes críticos fallen, o se puede
detectar cuando semejantes fallos ocurran;
g) se identifican las fuentes relacionadas de datos y métodos posibles de monitoreo para detectar
los cambios por el valor del indicador; se clasifican por categorías los indicadores de eventos
mediante la disponibilidad de los métodos de monitoreo y la facilidad de monitoreo; y
h) se identifica si una reducción adecuada de riesgo o unos controles de eliminación se pueden

aplicar para impedir su ocurrencia.
C.3 Resultados de evaluación
La salida de AEMF incluye una lista de modos de fallos y efectos potenciales, eventos relacionados –
que puede utilizar para determinar los indicadores de eventos que se deben supervisar.
Los Modos de Fallo identificados a través del proceso de AEMF se pueden priorizar de acuerdo con
la severidad evaluada, su frecuencia de ocurrencia y la facilidad de monitoreo y detección.
También, un AEMF documenta el conocimiento actual y las acciones sobre los riesgos de fallos, para
el uso en su mejora continua. Si un AEMF se utiliza durante la etapa de diseño con el objetivo de
evitar los fallos futuros, el AEMF se puede utilizar para el control de proceso, antes y durante una
operación continua del proceso. Idealmente, el AEMF empieza durante la etapa conceptual más
temprana y continua a lo largo de la vida del producto o del servicio.

© INEN 2015
Anexo D
(informativo)
El Desarrollo de los criterios de desempeño

Puesto que el desempeño difiere de una organización a otra, cada organización debería desarrollar
sus criterios de desempeño de ATCN y mantenerlos como parte del proceso continuo de mejora.
Un enfoque básico utiliza los escenarios conocidos de incidentes y los eventos relacionados para
establecer las líneas de base de la respuesta para cada categoría de incidentes y eventos
relacionados de la siguiente manera:
a) Como parte de los procesos de SGSI y GCN, los incidentes e indicadores de eventos conocidos
se han establecido como datos de entrada de los próximos pasos.
b) Se da un conjunto de incidentes conocidos (por ejemplo, el ataque de intruso de contraseña, el

fallo del servidor debido al espacio insuficiente del disco duro).
c) Se determinan los eventos que propician estos incidentes (por ejemplo, los intentos fallidos de
conexión; la utilización del disco duro).
d) Se determina el tiempo de detección adecuado (por ejemplo, el umbral para comunicar/avisar los
eventos al sistema/administrador).
e) Se determina un tiempo adecuado de respuesta (por ejemplo, la línea de tiempo para que el
administrador realice acciones para impedir que un incidente se materialice).
f) Se clasifican los eventos en grupos de bloques deseados de tiempo de respuesta y los tipos de
acciones de respuesta; los eventos se pueden clasificar por grupo de amenaza, grupo de
aplicación, grupo de acciones de respuesta, o grupo de tiempo de respuesta.
g) Se refinan las matrices y las mediciones a través de pruebas del escenario y

simulacros/ejercicios.
h) Se realizan pruebas para determinar si las acciones de respuesta son factibles, y si el objetivo se
puede alcanzar.
i) Se refinan las categorías, el tiempo esperado de respuesta de evento, y las acciones esperadas
de respuesta al evento (por ejemplo, se busca un método alternativo para monitorizar, detectar y
actuar).
j) Se mejora mediante la captura de nuevos incidentes y escenarios de fallo y se repite el proceso.

© INEN 2015
Bibliografía
[1] SS 540:2008, Singapore Standard for Business Continuity Management
[2] BS 25999-1:2006, Business continuity management — Part 1: Code of practice
[3] ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
[4] ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment

and operations of intrusion detection systems
[5] ISO/IEC 20000-1:2005, Information technology — Service management — Part 1:

Specification
[6] ISO/IEC 20000-2:2005, Information technology — Service management — Part 2: Code of

practice
[7] ISO 22301, Societal security — Preparedness and continuity management systems —
2)
Requirements
[8] ISO/IEC 24762:2008, Information technology — Security techniques — Guidelines for

information and communications technology disaster recovery services
[9] ISO/IEC 27003, Information technology — Security techniques — Information security

management system implementation guidance
[10] ISO/IEC 27004, Information technology — Security techniques — Information security

management — Measurement
[11] ISO 31010:2009, Risk management — Risk assessment techniques
2) En preparación

© INEN 2015
INFORMACIÓN COMPLEMENTARIA
Documento: TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS Código ICS:

NTE INEN- DE SEGURIDAD – DIRECTRICES PARA LA ADECUACIÓN DE 35.040
ISO/IEC 27031 TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
PARA LA CONTINUIDAD DEL NEGOCIO (ISO/IEC
27031:2011, IDT)
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
2014-07-22 Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Fechas de consulta pública: 2014-08-06 hasta 2014-10-04
Comité Técnico de: Técnicas de Seguridad – Gestión del negocio

Fecha de iniciación: 2015-02-20 Fecha de aprobación: 2015-02-20
Integrantes del Comité:
NOMBRES: INSTITUCIÓN REPRESENTADA:
Ing. Esteban Hidalgo (Presidente) MINTEL

Ing. Wilson Puente MINTEL
Ing. Norma Zambrano CFN
Ing. David Mayorga SRI
Ing. Augusto Montoya SUPERINTENDENCIA DE BANCOS
Ing. Patricio Raza SAE
Ing. Giovanni Salazar ISSFA
Ing. Carlos Castro Quinde SIN
Ing. Andrea Santana (Secretaria técnica) INEN DIRECCIÓN DE NORMALIZACIÓN
Otros trámites:
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de

norma
Oficializada como: Voluntaria Por Resolución No. 15291 de 2015-09-18

Registro Oficial No. 607 de 2015-10-14
CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA

Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891
Dirección Ejecutiva: E-Mail: direccion@normalizacion.gob.ec
Dirección de Normalización: E-Mail: consultanormalizacion@normalizacion.gob.ec
Dirección Zonal Guayas: E-Mail: inenguayas@normalizacion.gob.ec
Dirección Zonal Azuay: E-Mail: inencuenca@normalizacion.gob.ec
Dirección Zonal Chimborazo: E-Mail: inenriobamba@normalizacion.gob.ec
URL:www.normalizacion.gob.ec
CON LICENCIA DE USO PARA GET TOTAL GETCONS CIA LTDA


Nte Inen-Iso/Iec 27031: Norma Técnica Ecuatoriana

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Nte Inen-Iso/Iec 27031: Norma Técnica Ecuatoriana

Загружено:

Авторское право:

Доступные форматы

Quito – Ecuador

NORMA NTE INEN-ISO/IEC 27031

TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR INFORMATION

DESCRIPTORES: Tecnología de la información, técnicas, seguridad, directrices, adecuación, comunicación, 37

© ISO/IEC 2011  Todos los derechos reservados

Documento Normativo Internacional Documento Normativo Nacional

ISO/IEC 27000, Information technology — NTE INEN ISO/IEC 27000:2012, Tecnología

ISO/IEC 27001, Information technology — NTE INEN-ISO/IEC 27001:2011, Tecnología

ISO/IEC 27002, Information technology — NTE INEN-ISO/IEC 27002:2009, Tecnología

ISO/IEC 27005, Information technology — NTE INEN ISO/IEC 27005:2012, Tecnología

© ISO/IEC 2011  Todos los derechos reservados

1 Objeto y campo de aplicación .................................................................................................. 1

6 Planificación de la ATCN ......................................................................................................... 9

7 Implementos y operaciones ................................................................................................... 16

7.5 Programa de concienciación, competencia y capacitación ................................................... 22

8 Monitoreo y revisión ............................................................................................................... 22

9 Mejoramiento de la ATCN ...................................................................................................... 30

Anexo A (informativo) La ATCN y los hitos durante une interrupción .............................................. 31

Anexo B (informativo) Sistemas integrados de alta disponibilidad .................................................. 33

Anexo C (informativo) Evaluación de los escenarios de falla .......................................................... 34

Anexo D (informativo) El desarrollo de los criterios de desempeño ................................................ 36

© ISO/IEC 2011  Todos los derechos reservados

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)

© ISO/IEC 2011  Todos los derechos reservados

Mientras tanto, la necesidad de la gestión de continuidad de negocio (GCN), que incluye la

Preparar las TIC para muchas organizaciones es un componente esencial en la implementación de la

Tabla 1 – Ciclo de planificar-hacer-verificar-actuar en ATCN

© ISO/IEC 2011  Todos los derechos reservados

En la planificación y la implementación de la ATCN, una organización se puede referir a ISO/IEC

Figura 1 – Integración de ATCN y SGCN

© ISO/IEC 2011  Todos los derechos reservados

Tecnologías de la información – Técnicas de seguridad – Directrices para la

1 Objeto y campo de aplicación

ISO/IEC 27000, Tecnología de información – Técnicas de seguridad – Sistemas de gestión de

ISO/IEC 27001, Tecnología de información – Técnicas de seguridad – Sistemas de gestión de

ISO/IEC 27002, Tecnología de información – Técnicas de seguridad – Código de prácticas para la

ISO/IEC 27005, Tecnología de información – Técnicas de seguridad – Gestión de riesgos de

© ISO/IEC 2011  Todos los derechos reservados

NOTA En algunas organizaciones se llama plan de continuidad de TIC.

© ISO/IEC 2011  Todos los derechos reservados

NOTA También se conoce como evento desencadenante.

SGSI Sistema de Gestión de Seguridad de Información

a) responder al ambiente de riesgo que cambia constantemente;

d) para responder y recuperarse de incidentes/desastres y fallos.

Figura 2 ̶ Marco de referencia de continuidad de negocio y sus salidas de TIC deseadas

Como muestra la Figura 3, el objetivo de dichas actividades de adecuación es:

© ISO/IEC 2011  Todos los derechos reservados

a) mejorar las capacidades de detección de incidentes;

b) prevenir un fallo repentino o drástico;

c) permitir una degradación aceptable de un estado operacional si el fallo no se pudiera detener;

d) disminuir en lo posible el tiempo de recuperación; y

e) minimizar el impacto después de las eventuales ocurrencias del incidente.

Figura 3 – El concepto de la preparación de las TIC para la continuidad de negocio

5.2 Los principios de la ATCN

La ATCN se basa en los siguientes principios claves:

b) Detección de incidente – Detectar los incidentes en la primera oportunidad minimizará el impacto

c) Respuesta – Responder a un incidente de la manera más adecuada conducirá a una recuperación

d) Recuperación – Identificar e implementar la estrategia adecuada de recuperación asegurará la

e) Mejoramiento – Las lecciones aprendidas de pequeños y grandes incidentes se deberían

La Figura 4 ilustra cómo el elemento respectivo de ATCN apoya un cronograma típico de

NOTA El estado de recuperación incluye actividades en la recuperación/reanudación de servicios, operaciones sostenibles

5.3 Los elementos de la ATCN