17.1 CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN
Objetivo: La continuidad de seguridad de la información se debería incluir en los sistemas de
gestión de la continuidad de negocio de la organización.
17.1.1 Planificación de la continuidad de la seguridad de la información
Control
La organización debería determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre.
Guía de implementación
Una organización debería determinar si la continuación de la seguridad de la información se ha incluido dentro del proceso de gestión de continuidad de negocio o dentro del proceso de gestión para recuperación de desastres.
Los requisitos de seguridad de la información se deberían determinar cuando se planifican la continuidad de negocio y la recuperación en caso de desastres.
En ausencia de una planificación formal de continuidad de negocio y recuperación de desastres, la dirección de seguridad de la información debería suponer que los requisitos de seguridad de la información siguen siendo los mismos en situaciones adversas, en comparación con las condiciones operacionales normales. Como alternativa, una organización puede llevar a cabo un análisis de impacto en el negocio de los aspectos de seguridad de la información, para determinar los requisitos de seguridad de la información aplicables a situaciones adversas.
Información adicional
Con el fin de reducir el tiempo y el esfuerzo que implica un análisis “adicional” del impacto en el negocio de la seguridad de la información, se recomienda capturar los aspectos de seguridad de la información dentro de la gestión normal de la continuidad de negocio, o el análisis de impacto en el negocio, de la recuperación de desastres. Esto implica que los requisitos de continuidad de seguridad de la información se formulan explícitamente en los procesos de continuidad de negocio o de gestión de recuperación de desastres.
La información sobre la gestión de la continuidad de negocio se puede encontrar en las normas ISO/IEC 27031,[14] ISO 22313[9] e ISO 22301.[8]
17.1.2 Implementación de la continuidad de la seguridad de la información
Control
La organización debería establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa.
Guía de implementación
Una organización debería asegurar que:
a) se cuente con una estructura de gestión adecuada para prepararse, mitigar y responder a un evento perturbador usando personal con la autoridad, experiencia y competencia necesarias.
b) se nombre personal de respuesta a incidentes con la responsabilidad, autoridad y competencia necesarias para manejar un incidente y mantener la seguridad de la información.
c) se desarrollen y aprueben planes, procedimientos de respuesta y recuperación documentados, en los que se especifique en detalle como la organización gestionará un evento perturbador y mantendrá su seguridad de la información en un límite predeterminado, con base en los objetivos de continuidad de seguridad de la información aprobados por la dirección (véase el numeral 17.1.1).
De acuerdo con los requisitos de continuidad de la seguridad de la información, la organización debería establecer, documentar, implementar y mantener:
a) los controles de la seguridad de la información dentro de procesos de continuidad de negocio o recuperación de desastres, y sistemas y herramientas de apoyo;
b) los cambios en los procesos, procedimientos e implementación, para mantener los controles de seguridad de la información existentes, durante una situación adversa; c) los controles de compensación para los controles de seguridad de la información que no
se pueden mantener durante una situación adversa.
Información adicional
Dentro del contexto de continuidad de negocio o recuperación de desastres, se pueden haber definido procesos y procedimientos específicos. Se debería proteger la información que es
manejada dentro de estos procesos y procedimientos, o dentro de sistemas de información dedicados que los apoyan. Por tanto, una organización debería involucrar especialistas en seguridad de la información cuando se establecen, implementan y mantienen procesos y procedimientos de continuidad de negocio o de recuperación de desastres.
Los controles de seguridad de la información que se han implementado deberían continuar operando durante una situación adversa. Si los controles de seguridad no están en capacidad de seguir brindando seguridad a la información, se deberían establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad de la información. 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
información
Control
La organización debería verificar a intervalos regulares los controles de continuidad de la seguridad de la información establecidos e implementados, con el fin de asegurar que son válidos y eficaces durante situaciones adversas.
Guía de implementación
Los cambios organizacionales, técnicos, procedimentales y de los procesos, ya sea en un contexto operacional o de continuidad, pueden conducir a cambios en los requisitos de continuidad de la seguridad de la información. En estos casos, la continuidad de los procesos, procedimientos y controles para seguridad de la información se debería revisar contra los requisitos que han sufrido cambios.
Las organizaciones deberían verificar la continuidad de la gestión de la seguridad de su información:
a) ejercitando y poniendo a prueba la funcionalidad de los procesos, procedimientos y controles de continuidad de la seguridad de la información, para asegurar que son coherentes con los objetivos de continuidad de la seguridad de la información;
b) ejercitando y poniendo a prueba el conocimiento y rutina para operar los procesos, procedimientos y controles de continuidad de la seguridad de la información, para asegurar que su desempeño es coherente con los objetivos de continuidad de la seguridad de la información;
c) revisando la validez y la eficacia de las medidas de continuidad de la seguridad de la información cuando cambian los sistemas de información, los procesos, procedimientos y controles de seguridad de la información, o los procesos y soluciones de gestión de recuperación de desastres/gestión de continuidad de negocio.
Información adicional
La verificación de los controles de continuidad de la seguridad de la información es diferente de las pruebas y verificación generales de seguridad de la información, y se debería llevar a cabo aparte de las pruebas que se llevan a cabo cuando hay cambios. Si es posible, es preferible integrar la verificación de los controles de continuidad de negocio de seguridad de la información con las pruebas de recuperación de desastres y de continuidad de negocio de la organización.
17.2 REDUNDANCIAS
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de información.
17.2.1 Disponibilidad de instalaciones de procesamiento de información.
Control
Las instalaciones de procesamiento de información se deberían implementar con redundancia suficiente para cumplir los requisitos de disponibilidad.
Guía de implementación
Las organizaciones deberían identificar los requisitos del negocio para la disponibilidad de los sistemas de información. Cuando no se puede garantizar disponibilidad usando la arquitectura de los sistemas existentes, se deberían considerar componentes o arquitecturas redundantes. Cuando sea aplicable, los sistemas de información redundante se deberían poner a prueba para asegurar que la conexión automática de emergencia después de una falla de un componente a otro funcione de la forma prevista.
Información adicional
La implementación de las redundancias puede introducir riesgos a la integridad o confidencialidad de la información y de los sistemas de información, y es necesario considerarla cuando se diseñan sistemas de información.