Maestría en Auditoria y Seguridad de Sistemas de InformaciónCURCE UASD

GRUPO 4:Melvin Brian JáquezVerenice JavierEmmanuel Ynoa

ISO 22301

ISO 31000

ISO 27005

TIA 942

Facilitador: ING. Miguel Diaz, PhD

Normas a Tratar

• ISO 22301 - Continuidad de Negocio

• ISO 3100 - Gestión de Riesgos

• TIA 942 - Especificaciones para el diseño e instalación de infraestructuras de Data Centers

• ISO 27005 - Manejo y control de los riesgos en la seguridad de la información

ISO 22301 - Continuidad del Negocio

ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.

La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando.

ISO 22301 le ayudará a:

Establecer, implementar, mantener y mejorar sus BCMS, Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su

compromiso con las mejores prácticas reconocidas internacionalmente

Beneficios ISO 22301

Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:

Preservar los intereses de los accionistas. Mejorar el resultado operacional de la empresa:

Reducción de Riesgos, se traduce en una reducción de costes, reducción del tiempos de inactividad, mejora en la competitividad

Mayor eficacia operativa: Reingeniería de negocios Protección de los bienes materiales y el “Know How” del negocio Mejora en el cumplimiento de las legislaciones de Seguridad y Salud. Mejora de la Seguridad Global. Evita las acciones derivadas de la responsabilidad empresarial.

¿Porqué un plan de continuidad del Negocio?

La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización

Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para:

– Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo

– Analizar las interdependencias de nuestros procesos

– Incluir los factores clave: Telecomunicaciones, infraestructuras etc.

– Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados

¿Por qué se ha desarrollado una normativa internacional?

Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.

Ciclo de Vida de la Continuidad de Negocio:

ISO 31000 - Gestión de Riesgos

• La norma denominada ISO 31000:2009, Risk management, tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con efectividad.

• Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.

Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza.

Efecto de la Incertidumbre sobre los Objetivos:

Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

Los riesgos pueden ser varios dependiendo de los enfoques que tomes en cuenta, ejemplos:

Riesgos de mercado Riesgos de liquidez, de créditos Riesgos de desastres naturales Riesgos de problemas legales Entre otros.

GESTIÓN DE RIESGO

Principios Básicos para la Gestión de Riesgos

Características:

o Nos garantiza la aplicación de un sistema eficaz para la buena gestión de los riesgos.

o Es aplicable a cualquier tipo de organización, grande o pequeña, pública o privada.

o No sólo se refiere a riesgos TIC sino que se contemplan todo tipo de riesgos:

Financieros

Información

TIC

Otros …

Beneficios ISO 31000

Aumentar la probabilidad de lograr los objetivos Fomentar la gestión proactiva Ser conscientes de la necesidad de identificar y tratar el riesgo en

toda la organización Mejorar en la identificación de oportunidades y amenazas Cumplir con las exigencias legales y reglamentarias pertinentes,

así como las normas internacionales. Mejorar la información financiera Mejorar la gobernabilidad Mejorar la confianza de los grupos de

interés (stakeholder)

Establecer un base confiable para la toma de decisiones y la planificación Mejorar los controles Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo Mejorar la eficacia y eficiencia operacional Mejorar la salud y de seguridad, así como la protección del medio ambiente. Mejorar la prevención de pérdidas, así como la gestión de incidentes Minimizar las pérdidas Mejorar el aprendizaje organizacional Mejorar capacidad de recuperación de la organización.

Beneficios ISO 31000

Breves Antecedentes

La aplicación de la norma AS/NZ 4360 le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento.

La norma ISO 31000:2009 mejora notablemente las normas COSO y AS/NZS 4360, ya que esta es mucho más practica y concreta en su objetivo de Gestionar los Riesgos con sólo 34 páginas en comparación al COSO ERM con sus 125 paginas.

Objetivos

Considera las actividades de

todos los niveles de la organizaciónE

nte

rpri

se R

isk

Man

agem

ent

(20

04)

COSO

Relación de Principios, Marco de Trabajo (framework) y Proceso de Gestión del Riesgo

NORMA APOYO

ISO 73:2009 El vocabulario de gestión de riesgos, esta norma complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.

ISO 31000 vs ISO 22301Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio

El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia, que su predecesora la norma BS 25999.

La Norma ISO 31000 como estándar internacional para analizar y gestionar los riesgos, está directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías.

Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio.

La causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes de una organización son siempre los riesgos mal gestionados. 

ISO/IEC 27000 - Series

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005 - Tecnología de Información / Técnicas de seguridad / Gestión de Riesgos de Seguridad de Información

Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información.

El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.

El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.

ISO 27005

No proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

Establecimiento del contexto (Cláusula 7) Evaluación del riesgo (Cláusula 8) Tratamiento del riesgo (Cláusula 9) Aceptación del riesgo (Cláusula 10) Comunicación del riesgo (Cláusula 11) Monitorización y revisión del riesgo (Cláusula 12)

TIA 942 - Telecomunication Industry Association

• El estándar TIA 942 provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo), que son los lugares donde se colocan racks, servidores, equipo de comunicaciones, etc

• Este estándar está aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute). El estándar TIA 942 y la categorización de Tiers en Latinoamérica lleva al replanteamiento de las necesidades de infraestructura para la instalación de un Data Center.

Historia

• En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones.

• Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.

Beneficios TIA 942

Las principales ventajas del diseño de centros de datos de conformidad con la norma TIA 942 incluyen:

La nomenclatura estándar

El funcionamiento a prueba de fallos

Sólida protección contra las catástrofes naturales o

manufacturados.

La fiabilidad a largo plazo

Capacidad de expansión y escalabilidad.

Infraestructura de Soporte

Según el estándar TIA-942, la infraestructura de soporte de un Data Center debe estar compuesto por cuatro subsistemas como lo son:

Telecomunicaciones

Arquitectura

Sistema Eléctrico

Sistema Mecánico

Áreas Funcionales

De acuerdo con la TIA 942 un centro de datos debe incluir las siguientes áreas funcionales:

Una o mas entradas al cuarto

Área de distribución principal

Una o mas áreas de distribución horizontal

Área de equipo de distribución

Zona de distribución

El cableado horizontal y el backbone

Tier

 • El concepto de Tier indica el nivel de fiabilidad de un centro

de datos asociados a cuatro niveles de disponibilidad definidos.

• A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo.

• En su anexo G y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.

Infraestructura de Cableado

• Tier1- nivel I (básico)• Tier2- nivel II (componentes redundantes)• Tier3- nivel III (mantenimiento concurrido)• Tier4- nivel IV (tolerante a errores)

Tier I - Nivel I (Básico)

Disponibilidad 99,671%. Sensible a las interrupciones, tanto planificada como no

planificada. Un solo paso de la corriente y la distribución aire

acondicionado, sin componentes redundantes. Puede o no tener un piso elevado. Generador independiente. Toma 3 meses implementar. Tiempo de inactividad anual de 28,8 horas del data centro. Debe estar cerrado por completo para realizar

mantenimiento preventivo.

Tier II- Nivel II (Componentes Redundantes)

Disponibilidad de 99,741%. Es menor susceptible a la interrupción por actividades

planeadas o no. Un solo paso para la corriente y la distribución del aire

acondicionado incluye un componente redundante. Incluye un piso elevado UPS y generador. Toma de 3 a 6 meses para implementar. El tiempo de inactividad anual es de 22,0 horas. Mantenimiento de la trayectoria de alimentación y otras

partes de la infraestructura requieren un cierre de procesamiento.

Tier III - Nivel III (Mantenimiento Concurrido)

99,982 % de disponibilidad. Permite la actividad planeada sin alterar el funcionamiento

de los equipos, pero eventos no planificados pueden causar trastornos.

Múltiples pasos de energía y enfriamiento, pero con solo un camino activo, incluye componentes redundantes ( N + 1 ).

Toma de 15 a 20 meses para aplicar. El tiempo de inactividad anual es 1.6 hora.

Tier IV - Nivel IV (Tolerante a Errores)

99, 995 % de disponibilidad. La actividad planificada no interrumpe el funcionamiento de

los datos críticos. El centro puede sostener por lo menos un caso de interrupción no planificado sin impacto critico.

Múltiples pasos de corrientes y rutas de enfriamiento, incluye componentes redundantes (2(N+1), es decir, 2 UPS cada uno con redundancia N+1).

Toma de 15 a 20 meses para implementar. Tiempo de inactividad anual es de 0,4 horas.

Resumen de los Niveles de Tiers

Gracias!