Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

BCP, BIA, RTO y RPO

36/39
Recursos

¿Qué es la gestión de continuidad del negocio?

La gestión de continuidad del negocio es un conjunto de procedimientos y estrategias que garantizan la reanudación oportuna de los servicios tras una interrupción. Conocido también como BCP por sus siglas en inglés o PCN, este concepto se centra en asegurar que las operaciones continúen aun sin tecnología. Esta norma ha tomado relevancia en tiempos recientes por la importancia de mantener las operaciones en situaciones imprevistas.

¿Cómo se diferencia el BCP del DRP?

Es fundamental entender la distinción entre un BCP y un DRP. Mientras que el BCP se centra en la continuidad de la operación general de la empresa sin la intervención de la tecnología, el DRP, o plan de recuperación de desastres, se concentra en restaurar los servicios tecnológicos. Ambos deben estar alineados para minimizar el impacto en la organización frente a eventos adversos.

Ejemplo de situaciones donde aplicar BCP y DRP

  • BCP: Durante un incendio, la prioridad es evacuar y proteger a las personas mientras continúan las operaciones manuales.
  • DRP: Restauración de servidores y equipos tecnológicos dañados, reinstauración de backups, etc.

¿Cómo se construye un plan de continuidad de negocio?

  1. Impacto del análisis del negocio (BIA):
    • Involucrar a todos los dueños de procesos.
    • Identificar procesos críticos que sostienen la operación esencial.
    • Priorizar actividades que podrían afectar la supervivencia de la organización.
  2. Identificación de procesos críticos:
    • Ejemplos incluyen el registro de estudiantes en una universidad o la atención al cliente en una institución bancaria.

¿Qué son el RTO y RPO?

Dos conceptos clave que deben integrarse tanto en el análisis del BIA como en la construcción de un BCP:

  • RTO (Tiempo Objetivo de Recuperación): Tiempo máximo que una actividad puede interrumpirse antes de que afecte significativamente la operación.

    • Ejemplo: En un banco, la atención a clientes no debe detenerse más de diez minutos para evitar sanciones.
  • RPO (Punto Objetivo de Recuperación): Nivel aceptable de pérdida de datos medido en tiempo que una organización puede soportar.

    • Ejemplo: Si un servidor se colapsa, ¿cuántos datos pueden perderse antes de reiniciar la operación?

¿Cuáles son las normativas relacionadas con la gestión de continuidad?

  • ISO 22301: Ofrece lineamientos detallados para la gestión de continuidad del negocio.
  • ISO 27001: Exige definir estos parámetros, facilitando una integración efectiva de la seguridad de la información con la continuidad del negocio.

La creación y actualización constante de un plan de continuidad de negocio es fundamental para garantizar una respuesta eficaz ante cualquier interrupción. Integrar adecuadamente BIA, RTO y RPO asegurará un enfoque robusto y eficiente.

Aportes 23

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

¿Qué es un BCP? (PCN) Business Continuity Plan: Conjunto de procedimientos y estrategias definidas para asegurar la reanudación oportuna y ordenada de los procesos de negocio generando un impacto mínimo o nulo ante un evento de máxima afectación.
Nota: Continuidad de la operación sin tecnología el DRP es parte de BCP

¿Qué es BIA? Business Impact Analysis: Permite identificar con claridad los procesos misionales de cada organización y analizar el nivel de impacto con relación a la gestión del negocio.
Factores Claves RTO(Recovery Time Objective). Es el tiempo transcurrido entre una interrupción y la recuperación del servicio. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.
RPO(Recovery Point Objective). Es el rango de tolerancia que la entidad puede tener sobre la perdida de datos y el evento de desastre.

Muy interesante los conceptos de BCP, BIA, RTO, RPO. Si bien existe un plan de continuidad de negocio en la organización estos conceptos no eran tan claros para mí.

Fui el único que en la clase 37 concluyo el curso y mando al examen sin saber en que momento se vio: BCP, BIA, RTo y TPO? xD

Acabo de caer en cuenta de que he estado implementando todo esto en la empresa para la que trabajo, sin saber el nivel de importancia real que tiene y lo que puedo realmente cobrar por ello.
Gracias!

Se me cayo el sistema -> lo ultimo en lo que pienso es en documentar … lo primero es volver a poner todo en marcha -> después podre hacer una forensia a ver que paso y documentar

¿Si se habilita alta disponibilidad en servidores y base de datos, se puede omitir DRP?

BCP, BIA, RTO y RPO

BCP(Business Continuity Plan): Conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un impacto mínimo o nulo ante un evento de máxima afectación.

BIA (Business Impact Analysis): Permite identificar con claridad los procesos misionales de cada organización y analizar el nivel de impacto con relación a la gestión del negocio.

Factores claves:

  • RTO (Recovery Time Objective): Es el tiempo transcurrido entre una interrupción y la recuperación del servicio. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.
  • RPO (Recovery Point Objective): Es el rango de tolerancia que la entidad puede tener sobre la pérdida de datos y el evento de desastre.

Quien es el encargado de Medir el BIA?

clases muy informativas y complementarias.

Objetivo de Punto de Recuperación (RPO): El RPO es el punto en el tiempo al que una organización desea recuperar sus datos después de un incidente. Indica la cantidad máxima de pérdida de datos aceptable para la organización. Por ejemplo, un RPO de una hora significa que la organización está dispuesta a perder como máximo una hora de datos.

Objetivo de Tiempo de Recuperación (RTO): El RTO es el tiempo objetivo en el que una organización desea recuperar sus actividades críticas del negocio después de un incidente. Representa la cantidad máxima de tiempo que una organización puede permitirse estar sin funcionar antes de que se produzcan consecuencias graves.

Análisis de Impacto en el Negocio (BIA): El BIA es un proceso que identifica y evalúa los efectos potenciales de los incidentes en las operaciones de una organización. El objetivo del BIA es determinar las necesidades de recuperación y establecer prioridades para la continuidad del negocio. Ayuda a identificar los procesos y activos más críticos para la organización.

Plan de Continuidad del Negocio (BCP): El BCP es un plan estratégico que define cómo una organización se recuperará y continuará sus operaciones después de un incidente grave o un desastre. El BCP identifica las actividades críticas del negocio, establece procedimientos para la recuperación y asigna responsabilidades a los miembros del equipo de respuesta ante desastres.

esta en desarrollo

La norma ISO 22301 entrega la informacion para implementar la gestion de continuidad del negocio la ISO 27001 exige que aplique.

RPO = Recovery Point Objetive. Es el rango de tolerancia que la entidad puede tener sobre la pérdida de datos y el evento de desastre.

RTO = Recovery Time Objetive. Es el tiempo transcurrido entre una interrupción y la recuperación de l servicio. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.

BIA = Bussines Impact Analysis, permite identificar con claridad los procesos misionales de cada organización y analizar el nivel de impacto con relación a la gestión del negocio.

BCP =Business Continuity Plan, conjunto de procedimiento y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un impacto mínimo o nulo ante un evento de máxima afectación.

Este plan no se encontraba implementado en la compañia donde laboro , muy importante tenerlo listo para cualquier emergencia.

Excelente curso.
Gracias!