Introducción a la norma ISO 27001
Construcción de un Plan de Continuidad de Negocio
Clase 37 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
08:28 - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 - 12
Clasificación de Activos de Información en Excel
11:46 - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
11:40 - 14
Clasificación de Activos de Información en Excel
06:30 - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 - 17
Controles para Mitigar Riesgos según ISO 27001
07:28 - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
01:40
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
Gestión de la Continuidad del Negocio
Cierre del curso
Resumen
¿Cómo construir un plan de continuidad para el negocio?
El desarrollo de un plan de continuidad es una tarea monumental que requiere tiempo, esfuerzo y una planificación meticulosa. Si bien es un proyecto que a menudo toma años y varias fases para completarse, es esencial para asegurar que tu negocio pueda enfrentar y recuperarse de interrupciones significativas. En esta guía, te presentaremos un procedimiento detallado basado en plantillas y conceptos fundamentales.
¿Cuál es el punto de partida para crear un plan de continuidad?
Primero, es necesario documentar los detalles básicos de la empresa. Debemos empezar por establecer:
- Nombre del negocio: Identifica la empresa para la que se está desarrollando el plan.
- Número de empleados: Indica cuántas personas trabajan en la organización.
Estos datos iniciales son críticos para tener un panorama claro del contexto y alcance del negocio que estamos evaluando.
¿Cómo identificar los procesos críticos?
El análisis de impacto al negocio (BIA) es clave para identificar las actividades críticas. Este proceso nos ayuda a determinar cuáles son los procesos que, en caso de fallar, podrían detener el funcionamiento de la empresa:
- Procesos de la empresa: Lista todos los procesos para poder identificar los más críticos.
- Proceso padre: Identifica el proceso principal que sustenta el negocio, como la venta de productos o servicios.
- Escenario de interrupción: Determina las situaciones que podrían interrumpir el proceso clave, tal como una caída en los sistemas tecnológicos.
¿Cuál es el papel de la amenaza y el impacto?
Es crucial definir amenazas potenciales y su impacto cualitativo y financiero:
- Amenaza: Documentar detalles sobre las situaciones que podrían causar interrupciones, como problemas en las comunicaciones.
- Impacto financiero: Estima las pérdidas financieras asociadas a la interrupción de los procesos principales.
- Impacto cualitativo: Considera consecuencias no monetarias como daño reputacional o pérdida de clientes.
¿Cómo definir el orden de prioridad y los roles?
El siguiente paso es determinar la prioridad de recuperación de cada proceso:
- Orden de prioridad: Una vez identificados todos los procesos, prioriza cuáles deben ser recuperados primero.
- Actividades y dueños del proceso: Detalla las actividades que se verían interrumpidas y quién es responsable de cada una, lo que podría ser un proveedor externo o un área interna de la empresa.
¿Cómo calcular el riesgo y tiempo de recuperación?
Es vital evaluar el riesgo asociado y estimar el tiempo necesario para la recuperación:
- Riesgo: Utiliza una matriz de riesgos para evaluar la posibilidad y el impacto de una amenaza.
- Probabilidad: Asigna un nivel de probabilidad a cada amenaza, desde constante hasta improbable.
- Impacto del riesgo: Clasifica el impacto de la amenaza, desde catastrófico hasta insignificante.
¿Qué son RTO y RPO?
Estos dos conceptos son fundamentales en el plan de continuidad:
- RTO (Tiempo Objetivo de Recuperación): Determina el tiempo máximo que un proceso puede estar inactivo. Se expresa comúnmente en horas y puede variar desde una hasta 48 horas o más.
- RPO (Punto Objetivo de Recuperación): Marca la cantidad de datos que es aceptable perder durante una interrupción, también expresada en horas.
¿Cómo manejar la recuperación del personal?
Establece planes de contingencia para el personal y la infraestructura:
- Tiempo de recuperación del personal: Si es necesario desplazar personal debido a una interrupción física o infraestructura, documenta el proceso, como el uso del árbol de llamadas para contactar proveedores de transporte.
¿Cómo usar tablas y estándares?
La norma ISO 22301 proporciona una guía pero no es una camisa de fuerza:
- Tablas de RTO y RPO: Decide si prefieres usar un sistema de numeración para marcar la criticidad (por ejemplo, disponibilidad al 100% para RTO) o directamente especifica el tiempo en horas.
- Amenazas comunes: Considera una serie de amenazas típicas en varios contextos, como financiero, operativo y tecnológico, para completar tu plantilla.
Recuerda que crear un plan de continuidad es una tarea extensa pero indispensable para la resiliencia de cualquier organización. Aprovecha las plantillas, estandariza donde sea posible y mantén una comunicación abierta con todas las áreas del negocio. El objetivo es establecer un proceso robusto y efectivo que proteja a la empresa en cualquier eventualidad. ¡Sigue adelante con confianza!