S

Sistemas de GestiónSeguridad de la Información y

Continuidad del Negocio

Temario

Qué es Riesgo?

Qué es Información?

Qué protegemos?

Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Continuidad del Negocio

Por qué son sistemas?

Organigrama del Equipo de Trabajo

Próximos Pasos a Seguir

Política del Sistema de Gestión

Riesgo

Qué es el riesgo?

1. La International Organization for Standarization (ISO) define al riesgo como la “Combinación de la Probabilidad de un Evento y su Consecuencia”. ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo).

2. The Institute of Internal Auditors (The IIA) define al riesgo como “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”.

3. Es también el potencial de que una amenaza explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a los mismos.

Tipos de Riesgo

Riesgos Sistemáticos: Riesgo de Inflación, Riesgo de Interés, Riesgo de Cambio, Riesgo de Reinversión, Riesgo País.

Riesgos Específicos: Riesgo Económico, Riesgo Financiero, Riesgo de Crédito, Riesgo de Liquidez, Riesgos Industriales, Riesgo debido a cambios tecnológicos, Riesgo relacionado con las inversiones, Riesgo relacionado con la demanda, Riesgos de Operación, Riesgo de Empresa.

Riesgo Operacional

Es el riesgo derivado de la posibilidad de que se produzcan pérdidas directas o indirectas asociadas a errores humanos, fallos en los sistemas, existencia de políticas, procesos o controles inadecuados y eventos externos. Personas: relativos a fraude interno, fraude externo. Sistemas: relativos a interrupciones de negocio y

fallos en los sistemas. Políticas y procesos: relativos a incumplimiento de

políticas laborales, clientes, productos y prácticas comerciales no apropiadas y ejecución, entrega y gestión de los procesos.

Externos: riesgos operacionales no encuadrados en las categorías anteriores.

Información

Qué es Información?

De acuerdo con el estándar ISO/IEC 27001:2005, la información es:

“Un activo que, al igual que otros activos importantes de la empresa, es esencial para la organización y consecuentemente necesita estar

protegido adecuadamente.”

Tipos de Información

Verbal/Conversaciones

Escrita/Impresa

Electrónica/Digital

Presentaciones

Enviada por correo

Cuáles son los Activos de Información?

Las personas,  el conocimiento,  las relaciones y secretos comerciales,  las patentes,  las licencias,  la imagen corporativa/marca/reputación/confianza,  la documentación y los manuales,  el material de formación,  los procedimientos operativos o de soporte,  los planes de continuidad,  la maquinaria industrial,  las instalaciones y edificios,  las redes y sistemas de comunicación,  los equipos de computación,  las aplicaciones de software,  las investigaciones,  las estrategias.

Cualquier otro componente que tenga valor para la empresa y sustente uno o más procesos de negocios de una unidad  o área de negocio.

Qué activos de información tiene CAEU?

Archivo

Bocetos

Biblioteca

Dpto. de Arte

Publicidad

Diseño y Diagramación

Planchas

Bobinas

Rotativa

Tecnología

Agencias Internacionales

Transporte/Distribución

Editores

Corresponsales

Editor Gráfico

Redacción

Jefe de Redacción

Reportero

Periodistas

Qué protegemos?

Qué protegemos?

Cualquiera que sea la forma que tome la información, o el medio por el cual sea compartida o almacenada, ésta siempre debe estar protegida apropiadamente.

ISO/IEC 27001:2005

Sistema de Gestión de Seguridad de la

Información

Sistema de Gestión de Seguridad de Información

ISO 27001:2005

La adopción de un SGSI es una decisión estratégica de la dirección de una organización.

En las empresas las personas reciben información, la procesan y luego la envían al próximo procesador; así todos en una organización son clientes, procesadores y proveedores, por lo tanto deben proteger la información que manejan.

El SGSI está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información de la empresa de amenazas internas o externas.

Qué se debe garantizar?

1. CONFIDENCIALIDAD

Garantizando que la información es accesible sólo a aquellas personas autorizadas.

Qué se debe garantizar?

2. INTEGRIDAD

Salvaguardando la exactitud y totalidad de la información y los métodos de procesamiento y transmisión.

Qué se debe garantizar?

3. DISPONIBILIDAD

Garantizando que los usuarios autorizados tienen acceso a la información y a los recursos relacionados toda vez que lo requieran.

Sistema de Gestión de Continuidad del

Negocio

Qué es Continuidad del Negocio?

La continuidad del negocio involucra capacidades estratégicas y tácticas, definidas por la dirección de la empresa, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente acordado.

Plan de Continuidad(Origen)

Gobierno Corporativo: OECD.

Control Interno: COSO, CoCo (Canadá), Turnbull (Gran Bretaña), Kon Trag (Alemania), Cobit (USA).

Gestión de Riesgos: ORMBOK, NTP 537, HAZOP.

Gestión de Seguridad: SGSI, ISO27001:2005

Qué es un Plan de Continuidad de Negocios?

Existen muchas definiciones:

BCP (Business Continuity Plan): Es un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio.

ISO/IEC 27001:2005

Qué es un Plan de Continuidad de Negocios?

Sistema de Gestión de Continuidad de Negocios

ISO 22301:2012

Es la parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

ISO 22301:2012 especifica los requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un Sistema de Gestión de la Continuidad del Negocio.

La norma desarrolla los requisitos a cumplir en un SGCN o BCMS (Sistema de Gestión de la Continuidad del Negocio) en cada uno de los ámbitos de la organización: alcance, liderazgo, responsabilidad de la dirección, planificación, soporte, designación de recursos, operación, evaluación y mejora continua.

Partes de la Gestión de la Continuidad del Negocio

Plan de Contingencia

Es un subconjunto de un plan de continuidad de negocio (BCP), que contempla cómo reaccionar ante una situación que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas, sean estos informáticos (Sistemas), productivos (CTP, Imprentas, Rotativas, Transporte) o procedimentales (Procedimientos, Formularios y Documentos).

Una contingencia puede ser un problema de corrupción de datos, falla en el suministro eléctrico, daño en equipos industriales, un problema de software o hardware, errores humanos, intrusión, etc.

Plan de Recuperación de Desastres

DRP – Disaster Recovery Plan: Es aquella parte del plan de contingencia y del plan de continuidad de negocio (BCP), que aborda aquellas contingencias que, por su gravedad, no permiten a una empresa continuar prestando el servicio desde su Oficina Matriz y debe realizarse desde un nuevo centro operativo.

Este plan debe contemplar el retorno a la operación normal cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en la Oficina Matriz.

Sistemas

Por qué son Sistemas?Kaizen

Kaizen (Kai ”Cambio”, Zen “Mejora”) es un concepto arraigado en Japón que define una forma de gestionar las organizaciones hacia la mejora de la productividad.

La traducción más común que se utiliza para definir de esta palabra es “mejora continua” o “gradual” y tiene mucha relación con los “ciclos de calidad” que tradicionalmente han propulsado a las empresas japonesas hacia el éxito.

Elementos del Ciclo SGSI

Elementos del Ciclo SGCN

El Equipo

Organigrama del Equipo

Próximos pasos a seguir

1. Inventario y Tasación de los Activos de Información

2. Análisis de los procesos de negocio de la cadena de valor

3. Análisis de Riesgos

4. Business Impact Analysis (BIA)

5. Statement Of Applicability (SOA)

6. Business Continuity Plan and Strategies (BCP)

1. Inventario y Tasación de los Activos de Información (1/3)

1. Inventario y Tasación de los Activos de Información (2/3)

1. Inventario y Tasación de los Activos de Información (3/3)

2. Mapeo de Procesos (1/2)

2. Mapeo de Procesos (2/2)

3. Análisis de RiesgosTipología del Riesgo (1/4)

3. Matriz de Riesgos (2/4)

3. Matriz de Riesgos (3/4)

3. Matriz de Frecuencia – Severidad (4/4)

4. Business Impact Analysis (BIA)

5. Statement Of Applicability (SOA)

6. Business Continuity Plan and Strategies (1/2)

6. Business Continuity Plan and Strategies (2/2)