GUÍA TÉCNICA
GTC-ISO/IEC
COLOMBIANA
27031
2016-12-07
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. DIRECTRICES PARA
LA PREPARACIÓN DE LA TECNOLOGÍA DE
INFORMACIÓN Y LAS COMUNICACIONES PARA
LA CONTINUIDAD DE NEGOCIO
E: INFORMATION TECHNOLOGY. SECURITY
TECHNIQUES-GUIDELINES FOR INFORMATION AND COMMUNICATION TECHNOLOGY READINESS FOR BUSINESS CONTINUITY
CORRESPONDENCIA: esta norma es idéntica por traducción (IDT) de la ISO/IEC 27031:2011.
DESCRIPTORES: seguridad de la información; TIC; continuidad de negocio; tecnologías de la información; gestión de la seguridad.
I.C.S.: 35.040
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 1595 de 2015.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general.
La guía GTC-ISO/IEC 27031 fue ratificada por el Consejo Directivo de 2016-12-07.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 181 Gestión de la tecnología de la información. ARCHIVO GENERAL DE LA NACIÓN
AVIANCA
AZTECA COMUNICACIONES BANCO AGRARIO DE COLOMBIA BANCO DE LA REPUBLICA
CÁMARA DE COMERCIO DE MEDELLÍN CENET S.A.
CROSS BORDER TECHNOLOGY S.A.S. FIDUCIARIA POPULAR
FLUIDSIGNAL GROUP S.A. GEMAS S.A. GEOCONSULT GESTIÓN ESTRATEGIA HALLIBURTON HELM BANK INSTITUTO ROOSEVELT INTEK S.A. IQ INFORMATION QUALITY ITEAM LA POLAR- CF MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES DE COLOMBIA NEWNET S.A. ONAC OUTSOURCING S.A.
PROJECT ADVANCED MANAGEMENT S.A.S. QUALTIC S.A.S. SCHLUMBERGER SELTIKA SERVIENTREGA TELMEX
TOP FACTORY S.A.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas:
A TODA HORA S.A. ACDECC ALIANZA SINERTIC ASIBANCARIA ATLAS TRANSVALORES BANCO DE BOGOTÁ CCIT CHOUCAIR TESTING CINTEL COLSUBSIDIO
DAKYA DIJIN E.T.B ECOPETROL IPX LTDA. IQ OUTSOURCING JTCCIA MAREIGUA MEGABANCO PIRAMIDE ADMINISTRACIÓN DE INFORMACIÓN LTDA.
PONTIFICIA UNIVERSIDAD JAVERIANA
SOCIEDAD COLOMBIANA DE ARCHIVISTAS
SUN GEMINI S.A. SYNAPSIS
TELEFÓNICA TELECOM TMC & CIA
UNIVERSIDAD AUTÓNOMA OCCIDENTE UNIVERSIDAD JAVERIANA
UNIVERSIDAD NACIONAL DE COLOMBIA UNIVERSIDAD SANTO TOMAS
VISA
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados.
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
CONTENIDO
Página
INTRODUCCIÓN ... i
1. OBJETO Y CAMPO DE APLICACIÓN ... 1
2. REFERENCIAS NORMATIVAS ... 1
3. TÉRMINOS Y DEFINICIONES ... 2
4. ABREVIACIONES... 3
5. VISIÓN GENERAL ... 3
5.1 EL ROL DEL IRBC EN LA GESTIÓN DE CONTINUIDAD DE NEGOCIO ... 3
5.2 LOS PRINCIPIOS DEL IRBC ... 5
5.3 LOS ELEMENTOS DEL IRBC ... 6
5.4 SALIDAS Y BENEFICIOS DEL IRBC ... 7
5.5 ESTABLECIMIENTO DEL IRBC ... 8
5.6 USANDO EL CICLO PHVA PARA ESTABLECER EL IRBC... 9
5.7 GESTIÓN DE LA RESPONSABILIDAD ... 9
6. PLANIFICACIÓN DEL IRBC ... 10
6.1 GENERAL ... 10
6.2 RECURSOS ... 10
6.3 DEFINICIÓN DE REQUISITOS ... 11
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
2
Página
6.5 FORMALIZACIÓN ... 16
6.6 MEJORAMIENTO DE LAS CAPACIDADES DEL IRBC ... 17
6.7 CRITERIOS DE DESEMPEÑO PARA LA PREPARACIÓN DE TIC ... 17
7. IMPLEMENTACIÓN Y OPERACIÓN ... 18
7.1 GENERAL ... 18
7.2 IMPLEMENTACIÓN DE LOS ELEMENTOS DE LAS ESTRATEGIAS DE IRBC .... 18
7.3 RESPUESTA A INCIDENTES... 20
7.4 DOCUMENTOS DEL PLAN IRBC ... 21
7.5 CONCIENTIZACIÓN, COMPETENCIA Y PROGRAMA DE PRUEBAS ... 24
7.6 DOCUMENTACIÓN Y CONTROL ... 25
8. SEGUIMIENTO Y REVISIÓN ... 25
8.1 MANTENIMIENTO DEL IRBC... 25
8.2 AUDITORÍA INTERNA DEL IRBC ... 31
8.3 REVISIÓN POR LA DIRECCIÓN ... 32
8.4 MEDICIÓN DE LOS CRITERIOS DE DESEMPEÑO DE LA PREPARACIÓN DE TIC ... 33
9. MEJORAMIENTO DEL IRBC ... 34
9.1 MEJORA CONTINUA ... 34
9.2 ACCIONES CORRECTIVAS ... 34
9.3 ACCIONES PREVENTIVAS ... 34
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
Página
DOCUMENTO DE REFERENCIA ...
ANEXOS
ANEXO A (Informativo)
IRBC E HITOS DURANTE UNA INTERRUPCIÓN ... 35 ANEXO B (Informativo)
ALTA DISPONIBILIDAD DE SISTEMAS EMBEBIDOS ... 37 ANEXO C (Informativo)
VALORACIÓN DE ESCENARIOS DE FALLA ... 38 ANEXO D (Informativo)
EL DESARROLLO DE CRITERIOS DE DESEMPEÑO ... 40
FIGURAS
Figura 1. Integración del IRBC con el BCMS ... ii Figura 2. Marco de la continuidad de negocio y sus salidas tic pertinentes
y resultados deseados ... 4 Figura 3. Concepto de la preparación de las tic para la continuidad de negocio ... 5 Figura 4. Principios del IRBC en una línea de tiempo de recuperación
de desastres tipia de las TIC. ... 6 Figura 5. Etapas en el IRBC ... 9 Figure 6. Un programa progresivo de pruebas y ejercicios ... 28
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
i
INTRODUCCIÓN
Con los años, la tecnología de la información y las comunicación (TIC) se ha convertido en parte integral de muchas de las actividades que componen la infraestructura crítica en todos los sectores de la organización, ya sea público, privado o sin ánimo de lucro.La proliferación de la Internet y de otros servicios de redes electrónicas, así como las capacidades actuales de los sistemas y aplicaciones, también ha significado que las organizaciones se hayan convertido en cada vez más dependientes de la confiabilidad, seguridad y protección de las infraestructuras de las TIC.
Mientras tanto, la necesidad de una gestión de continuidad de negocio (BCM), incluyendo la preparación para la atención de incidentes, la planificación de la recuperación de desastres y de respuesta a emergencias y la gestión, han sido reconocidas y soportadas con dominios específicos de conocimiento, experiencia y normas elaboradas y promulgadas en los últimos años, incluyendo la norma internacional BCM desarrollado por ISO / TC 223 (ahora ISO/TC 292).
NOTA El comité ISO/TC 223 (disuelto) publicó la ISO 22301, Societal Security. Business Continuity Management Systems. Requirements.
Las fallas de los servicios de TIC, incluyendo la ocurrencia de problemas de seguridad tales como la intrusión de sistemas y las infecciones de código malicioso, puede afectar la continuidad de las operaciones comerciales. Por lo tanto la gestión de las TIC y la continuidad y otros aspectos relacionados con la seguridad constituyen una parte clave de los requisitos de continuidad de negocio. Por otra parte, en la mayoría de los casos, las funciones críticas del negocio que requieren la continuidad de negocio son por lo general dependientes de las TIC. Esta dependencia significa que las afectaciones de las TIC pueden constituir un riesgo estratégico para la reputación de las organizaciones y su capacidad para operar.
La preparación de las TIC es un aspecto esencial para muchas organizaciones en la implementación de la gestión de la continuidad de negocio y la gestión de seguridad de la información. Como parte de la implementación y operación de un sistema de información de gestión de seguridad (SGSI) especificado en la norma NTC-ISO/IEC 27001 y para el Sistema de Gestión de la continuidad de negocio (BCMS), respectivamente, es fundamental desarrollar e implementar un plan de preparación para los servicios de las TIC con el fin de ayudar a asegurar la continuidad de negocio.
Como resultado, un BCM eficaz es frecuentemente dependiente de una efectiva preparación de las TIC orientada a asegurar que los objetivos de la organización pueden seguirse cumpliendo en el momento de una interrupción. Esto es particularmente importante ya que las consecuencias de las afectaciones de las TIC a menudo tienen adicionalmente la complicación de ser invisibles y/o difíciles de detectar.
Para que una organización logre la preparación de las TIC para la Continuidad de Negocio (IRBC), es necesario poner en marcha un proceso sistemático destinado a prevenir, predecir y gestionar la interrupción o incidentes de las TIC que tengan la posibilidad de interrumpir los servicios de TIC. La mejor forma de alcanzarlo puede ser la utilización del ciclo PHVA (Planear,
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
hacer, verificar y actuar), como parte de un sistema de gestión en TIC IRBC. De esta manera el IRBC apoya el BCM, asegurando que los servicios de las TIC son tan resistentes como adecuados y se pueden recuperar a niveles prestablecidos en los plazos requeridos y acordados por la organización.
Planificar Establecer las políticas, objetivos, metas, procesos y procedimientos para el IRBC relacionados con el manejo de riesgos y el mejoramiento de la preparación de las TIC para el logro de resultados de acuerdo con unas políticas y objetivos generales de continuidad de negocio de la Organización.
Hacer Implementar y operar la política controles, procesos y procedimientos del IRBC.
Verificar Evaluar y, cuando sea aplicable, medir el desempeño del proceso frente a las políticas, objetivos y experiencia del IRBC, y reportar los resultados a la dirección para su revisión.
Actuar Tomar acciones correctivas y preventivas, basadas en los resultados resultados de la revisión por la dirección, para alcanzar la mejora continua del IRBC.
Si una organización está usando NTC-ISO/IEC 27001 para establecer un SGSI, y/o está usando las normas pertinentes para establecer un BCMS, el establecimiento del IRBC debería preferiblemente tener en cuenta los procesos existentes o previstos que están vinculados a estas normas. Esta vinculación puede apoyar el establecimiento de IRBC y también puede evitar procesos redundantes para la organización. La Figura 1 resume la interacción de IRBC y BCMS.
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
1 de 34
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
DIRECTRICES PARA LA PREPARACIÓN DE LA TECNOLOGÍA DE INFORMACIÓN Y LAS COMUNICACIONES PARA LA CONTINUIDAD DE NEGOCIO
1. OBJETO Y CAMPO DE APLICACIÓN
Esta guía describe los conceptos y principios para la preparación de la tecnología de la información y las comunicaciones (TIC) para la continuidad de negocio, y provee un marco de métodos y procesos para identificar y especificar todos los aspectos (tales como criterios de desempeño, diseño e implementación) para mejorar la preparación de la organización de las TIC para garantizar la continuidad de negocio. Esta aplica a cualquier organización (privada, gubernamental, y no gubernamental, independiente de su tamaño) desarrollando su programa IRBC (preparación de TIC para la continuidad de negocio), y que requiera que sus servicios e infraestructura de TIC esté preparada para soportar las operaciones de negocio en el evento de eventos emergentes e incidentes, e interrupciones relacionadas, que puedan afectar la continuidad (incluyendo seguridad) de las funciones críticas. Esto también posibilita a una organización para medir parámetros de desempeño que se relacionen con su IRBC de una manera consistente y reconocida.
El alcance de esta guía abarca todos los eventos e incidentes (incluso los relacionados con seguridad) que podrían tener un impacto en los sistemas e infraestructura de las TIC. Esto incluye las prácticas de manejo y gestión de incidentes de seguridad de la información y el plan y servicios de preparación de las TIC.
2. REFERENCIAS NORMATIVAS
Los siguientes documentos normativos referenciados son indispensables para la aplicación de este documento normativo. Para referencias fechadas, se aplica únicamente la edición citada. Para referencias no fechadas, se aplica la última edición del documento normativo referenciado (incluida cualquier corrección).
NTC-ISO/IEC 27001, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la información (SGSI). Requisitos.
NTC-ISO/IEC 27005, Tecnología de la Información. Técnicas de Seguridad. Gestión del Riesgo en la Seguridad de la Información.
ISO/IEC 27000, Information Technology. Security Techniques. Information Security Management Systems. Overview and Vocabulary.
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
GTC-ISO/IEC 27002, Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para Controles de Seguridad de la Información.GTC-ISO/IEC 27035, Tecnología de la Información. Técnicas de Seguridad. Gestión de Incidentes de Seguridad de la Información.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de esta guía, se aplican los términos y definiciones presentados en la ISO/IEC TR 18044, ISO/IEC 27000, NTC-ISO/IEC 27001, GTC-ISO/IEC 27002, NTC-ISO/IEC 27005 y se aplican los siguientes.
3.1 Sitio alterno. (Alternate Site). Ubicación alterna de operaciones seleccionada para ser utilizada por una organización cuando las operaciones normales no pueden llevarse a cabo utilizando las instalaciones normales después de que se ha producido una interrupción.
3.2 Gestión de continuidad de negocio (Business Continuity Management (BCM), por sus siglas en inglés). Proceso general que identifica amenazas potenciales a una organización y el impacto que se podría causar a la operación de negocio en caso de materializarse, y el cual provee un marco de trabajo para la construcción de la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de las partes interesadas claves, reputación, marca y actividades de creación de valor.
…
BIBLIOGRAFÍA
[1] SS 540:2008, Singapore Standard for Business Continuity Management.
[2] BS 25999-1:2006, Business Continuity Management. Part 1: Code of Practice.
[3] NTC-ISO 9000:2005, Sistemas de gestión de calidad. Fundamentos y vocabulario. [4] ISO/IEC 18043:2006, Information Technology. Security Techniques. Selection,
Deployment and Operations of Intrusion Detection Systems.
[5] ISO/IEC 20000-1:2005, Information Technology. Service Management. Part 1: Specification.
[6] ISO/IEC 20000-2:2005, Tecnología de la Información. Gestión del servicio. Parte 2: Código de práctica.
[7] NTC 5722, Continuidad de negocio. Sistemas de gestión de continuidad de negocio. Requisitos.
[8] ISO/IEC 24762:2008, Information Technology. Security Techniques. Guidelines for Information and Communications Technology Disaster Recovery Services.
[9] GTC-ISO/IEC 27003, Tecnología de la información. Técnicas de seguridad. Guía de implementación de un sistema de gestión de la seguridad de la información.
[10] ISO/IEC 27004, Information Technology. Security Techniques. Information Security Management. Measurement.
GUÍA TÉCNICA COLOMBIANA
GTC-ISO/IEC 27031
RESUMEN
3
