ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Seguridad TIC para la continuidad del negocio - control 5.30 en ISO 27001

# Seguridad de la información y gestión de riesgos

El buen funcionamiento de las tecnologías de la información y la comunicación (TIC) es esencial para mantener los procesos empresariales en el contexto de la digitalización. Incluso los apagones e interrupciones más breves suelen ir acompañados de graves pérdidas financieras. Los piratas informáticos aprovechan este potencial de daño cuando cifran datos y sistemas en sofisticados ataques de ransomware y solo los liberan después de que se han pagado altos rescates.

Las actualizaciones de las normas internacionales de seguridad de la información ISO 27001 e ISO 27002 pretenden frenar esta evolución: La medida de seguridad (control) 5.30 "Preparación de las TIC para la continuidad del negocio" del Anexo A obliga a las empresas a garantizar la disponibilidad de TIC incluso en caso de interrupción. La  nueva norma ISO 27001:2022 envía una fuerte señal aquí con los controles y ayuda a las empresas a armar sus estructuras organizativas y arquitecturas de seguridad contra escenarios de amenazas de manera oportuna. Lea la siguiente publicación de blog para descubrir qué significa el control 5.30 para su sistema de gestión de seguridad de la información y cómo afectará futuras auditorías.

CONTENIDO

La seguridad TIC en la organización y su relevancia para los procesos de negocio actuales

Herramientas de colaboración como Microsoft Teams, aplicaciones en la nube en las plataformas de los grandes hiperescaladores, el uso de servicios en la nube y la producción en red (Industria 4.0) se han convertido en parte del día a día de las empresas modernas, y no sólo desde la pandemia del coronavirus. Las modernas tecnologías de la información y la comunicación permiten flujos de trabajo rápidos y eficientes y se han convertido en herramientas insustituibles para mantener los procesos comerciales en todas las industrias.

Por el contrario, esto significa que la seguridad y la disponibilidad de las TIC son muy importantes y deben ser monitoreadas sistemáticamente y protegidas contra interrupciones mediante medidas y procesos adecuados para garantizar procesos fluidos y mantener los daños potenciales al mínimo. Esto es cada vez más importante, especialmente en tiempos de mayores amenazas cibernéticas alimentadas por conflictos geopolíticos. Las empresas tienen a su disposición una gama de herramientas para este propósito, que se explican en términos generales a continuación y luego se consideran en el contexto del control 5.30 de la norma ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Questions and answers to the new ISO 27001:2022

Lo que necesita saber sobre el "nuevo chico de la cuadra" en materia de seguridad de la información: 38 respuestas de nuestros expertos a 38 preguntas de usuarios.

  • ¿De qué se tratan los nuevos controles?
  • ¿Cuándo deberíamos hacer la transición al nuevo estándar?
  • ¿Dónde puedo encontrar una lista de correspondencias antiguas y nuevas?
  • ... ¡y 35 más!
Descargue ahora las preguntas frecuentes sobre la nueva ISO 27001 y aproveche la experiencia de nuestros expertos

Gestión de la continuidad del negocio

Gestión de la continuidad del negocio (BCM), por ejemplo según  ISO 22301 , es un proceso de gestión que garantiza que las funciones comerciales críticas no se interrumpan por mucho tiempo durante y después de una interrupción o que puedan reiniciarse lo más rápido posible mediante la creación, implementación y revisión de planes y estrategias (de emergencia).

La norma describe precauciones preventivas en términos de organización de preparación (para emergencias) y planificación de emergencias para aumentar la confiabilidad de los procesos comerciales. Además, se planifican y adoptan medidas reactivas (recuperación ante desastres) como parte de la organización de respuesta (de emergencia) para permitir una respuesta rápida y específica en caso de una interrupción de los procesos de TI y para reducir los tiempos de inactividad, por ejemplo debido a altos niveles de TIC. seguridad en la empresa.

BCM como parte de la planificación estratégica incluye identificar riesgos y vulnerabilidades potenciales, evaluar la criticidad de los procesos de negocio, desarrollar planes para responder a las interrupciones y probar estos planes mediante ejercicios y simulaciones periódicas. El objetivo de la gestión de la continuidad del negocio es garantizar que una empresa pueda responder rápida y eficazmente a una interrupción y que mejore la confianza de sus partes interesadas en su capacidad para cumplir y operar.

Análisis de Impacto del Negocio

Análisis de impacto empresarial (BIA) Es el método utilizado en la gestión de la continuidad del negocio para registrar procesos críticos y funciones de negocio dentro de una organización e identificar interdependencias entre ellos y sus recursos subyacentes. Por lo tanto, es un proceso estratégico que ayuda a identificar y evaluar el impacto de las interrupciones en las actividades comerciales. El BIA constituye la base para determinar los tiempos de reinicio requeridos.

BIA normalmente implica evaluar la criticidad de los procesos de negocio, identificar los recursos necesarios para respaldar estos procesos y determinar el impacto de las interrupciones en estos procesos y recursos. El análisis ayuda a las empresas a comprender las posibles consecuencias de las interrupciones y priorizar sus esfuerzos de respuesta y recuperación en consecuencia.

Los resultados de un BIA pueden informar el desarrollo de un plan de continuidad del negocio (BCP) y otras estrategias de gestión de riesgos para garantizar que la empresa esté mejor preparada para gestionar eventos inesperados y minimizar su impacto a través de la alta disponibilidad de sistemas y estructuras.

También se pueden encontrar recomendaciones adicionales para realizar un análisis de impacto empresarial (BIA) en el pautas de  ISO/TS 22317 .

 

ISO 27001:2022 es la columna vertebral de la continuidad del negocio

Las tecnologías de la información y la comunicación (TIC) tienen un impacto significativo en la continuidad del negocio dentro de una empresa. Las perturbaciones pueden tener un impacto significativo, especialmente en el ámbito de las infraestructuras críticas (KRITIS), por ejemplo. Por esta razón, mando 5.30" Preparación de las TIC para la continuidad del negocio" en el Anexo A de la  nueva norma ISO/IEC 27001:2022 es de gran importancia.

El objetivo de la medida es garantizar un alto nivel de disponibilidad del sistema TIC crítico sobre la base de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC derivados, implementados y verificados de ellos. Esto incluye definir tipos de impacto y criterios de impacto dentro del proceso de BIA.

Las actividades operativas prioritarias se identifican sobre esta base y se les asigna un objetivo de tiempo de recuperación (RTO). Luego, la BIA determina qué recursos se requieren para estas actividades prioritarias y también les asigna un RTO. Un subconjunto de estos recursos incluirá servicios de TIC. Además, también se deben definir los puntos de recuperación (RPO = Recovery Point Objective) y sus distancias para los recursos TIC priorizados.

Con base en los resultados de todos estos procesos, las organizaciones deben identificar y seleccionar estrategias de continuidad de las TIC que consideren opciones para antes, durante y después de una disrupción. Sobre esta base, se desarrollan, implementan y prueban planes de continuidad (incluidos los procedimientos de respuesta y recuperación) para cumplir con la preparación requerida de las TIC.

En este contexto, también cabe hacer referencia a la norma ISO/IEC 27031, una guía sobre la preparación de las TIC para la continuidad del negocio, que proporciona a las empresas recomendaciones para garantizar la disponibilidad de los sistemas TIC.

Impacto del control 5.30 en la certificación

Para obtener la certificación según la norma ISO 27001:2022 revisada, las organizaciones deben...

  • Tener una estructura organizativa adecuada para prepararse, contener y responder a un incidente. Esto también requiere personal con la responsabilidad, autoridad y competencia necesarias.
  • han desarrollado planes vinculantes de continuidad de las TIC, incluidos procedimientos de respuesta y recuperación, que detallan cómo la organización pretende abordar una interrupción de los servicios de TIC. Estos planes deben ser aprobados por la alta dirección y evaluados periódicamente mediante ejercicios y pruebas.
  • incluir la siguiente información en sus planes de continuidad:
    - Especificaciones de rendimiento y capacidad para cumplir con los requisitos y objetivos de continuidad del negocio definidos en el BIA.
    - RTO de cada servicio TIC priorizado y los procedimientos para restaurar estos componentes.
    - RPO de recursos TIC priorizados definidos como información y procedimientos para restaurar la información.

Certificación ISO 27001

¿Qué esfuerzo debe esperar para obtener la certificación? Encuéntralo ahora. Sin compromiso y de forma gratuita.

Más sobre la certificación ISO 27001

Seguridad de las TIC para la continuidad del negocio - conclusión

El ejemplo destacado del hackeo administrativo en Anhalt-Bitterfeld, a consecuencia del cual algunos servicios municipales estuvieron indisponibles durante semanas o meses, demuestra la gran importancia de las tecnologías de la información y la comunicación en el mundo actual. Sin embargo, el ejemplo también muestra cuán importantes son la continuidad y los planes de emergencia establecidos.

Por lo tanto, la medida de seguridad 5.30 "Preparación de las TIC para la continuidad del negocio" es un aspecto importante de las normas revisadas de seguridad de la información ISO/IEC 27001:2022 e ISO/IEC 27002:2022 con el fin de fortalecer la resiliencia de las empresas.

Sin embargo, a las organizaciones a veces les resulta difícil evaluar la criticidad de las tecnologías de la información y las comunicaciones utilizadas y su potencial de riesgo durante la implementación, lo que a su vez tiene un impacto directo en la cadena de priorización. BIA y el análisis de riesgos son la columna vertebral de  gestión de continuidad del negocio , por así decirlo. Por lo tanto, en el período previo a la certificación, vale la pena revisar y optimizar sus propios esfuerzos para la continuidad del negocio y la disponibilidad de soluciones TIC con especialistas experimentados.

DQS: Simplemente aprovechando la seguridad.

Gracias a los periodos de transición, las empresas tienen tiempo suficiente para adaptar su gestión de seguridad de la información a los nuevos requisitos y tenerla certificada. Sin embargo, no se debe subestimar la duración y el esfuerzo de todo el proceso de cambio. Si quiere estar seguro, es mejor afrontar los nuevos requisitos y la transición al nuevo estándar lo antes posible.

Estamos encantados de responder a sus preguntas

Infórmate más sobre... sin compromiso y de forma gratuita.

Estamos aquí para usted. Por favor contáctenos.

Como expertos en auditoría y certificación con casi 40 años de experiencia, estaremos encantados de ayudarle a evaluar su estado actual, por ejemplo en el marco de una  auditoría delta . Infórmese de la mano de nuestros expertos sobre los cambios más importantes y su relevancia para su organización.

Confianza y experiencia

Nuestros textos son escritos exclusivamente por nuestros expertos internos en sistemas de gestión y auditores de larga trayectoria. Si tiene alguna pregunta para el autor, por favor  Contáctenos.

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctese con nosotros