Sistemas de Gestin

Seguridad de la Informacin y Continuidad del Negocio

Temario
S Qu es Riesgo? S Qu es Informacin? S Qu protegemos? S Sistema de Gestin de Seguridad de la Informacin S Sistema de Gestin de Continuidad del Negocio S Por qu son sistemas? S Organigrama del Equipo de Trabajo S Prximos Pasos a Seguir S Poltica del Sistema de Gestin

Qu es el riesgo?
1. La International Organization for Standarization (ISO) define al

riesgo como la Combinacin de la Probabilidad de un Evento y su Consecuencia. ISO aclara que el trmino riesgo es generalmente usado siempre y cuando exista la posibilidad de prdidas (resultado negativo).
2. The Institute of Internal Auditors (The IIA) define al riesgo como

La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en trminos de impacto y probabilidad.
3. Es tambin el potencial de que una amenaza explote las

vulnerabilidades de un activo o grupo de activos, causando prdida o dao a los mismos.

Tipos de Riesgo

S Riesgos Sistemticos: Riesgo de Inflacin, Riesgo de

Inters, Riesgo de Cambio, Riesgo de Reinversin, Riesgo Pas.

S Riesgos Especficos: Riesgo Econmico, Riesgo

Financiero, Riesgo de Crdito, Riesgo de Liquidez, Riesgos Industriales, Riesgo debido a cambios tecnolgicos, Riesgo relacionado con las inversiones, Riesgo relacionado con la demanda, Riesgos de Operacin, Riesgo de Empresa.

Riesgo Operacional
S Es el riesgo derivado de la posibilidad de que se produzcan

prdidas directas o indirectas asociadas a errores humanos, fallos en los sistemas, existencia de polticas, procesos o controles inadecuados y eventos externos. S Personas: relativos a fraude interno, fraude externo. S Sistemas: relativos a interrupciones de negocio y fallos en los sistemas. S Polticas y procesos: relativos a incumplimiento de polticas laborales, clientes, productos y prcticas comerciales no apropiadas y ejecucin, entrega y gestin de los procesos. S Externos: riesgos operacionales no encuadrados en las categoras anteriores.

Qu es Informacin?

S De acuerdo con el estndar ISO/IEC 27001:2005, la

informacin es:
Un activo que, al igual que otros activos importantes de la empresa, es esencial para la organizacin y consecuentemente necesita estar protegido adecuadamente.

Tipos de Informacin

S Verbal/Conversaciones

S Escrita/Impresa
S Electrnica/Digital S Presentaciones S Enviada por correo

Cules son los Activos de Informacin?

S Las personas,

el conocimiento, las relaciones y secretos comerciales, las patentes, las licencias, la imagen corporativa/marca/reputacin/confianza, la documentacin y los manuales, el material de formacin, los procedimientos operativos o de soporte, los planes de continuidad, la maquinaria industrial, las instalaciones y edificios, las redes y sistemas de comunicacin, los equipos de computacin, las aplicaciones de software, las investigaciones, las estrategias. empresa y sustente uno o ms procesos de negocios de

S Cualquier otro componente que tenga valor para la

Qu activos de informacin tiene CAEU?

S Archivo S Bocetos S Biblioteca S Dpto. de Arte S Planchas S Bobinas S Rotativa S Editores S Corresponsales S Editor Grfico

S Tecnologa
S Agencias

S Redaccin
S Jefe de

S Publicidad
S Diseo y

Internacionales
S Transporte/Distri

Redaccin
S Reportero
S Periodistas

Diagramacin

bucin

Qu protegemos?

S Cualquiera que sea la forma que tome la informacin, o

el medio por el cual sea compartida o almacenada, sta siempre debe estar protegida apropiadamente. ISO/IEC 27001:2005

Sistema de Gestin de Seguridad de Informacin

ISO 27001:2005
S La adopcin de un SGSI es una decisin estratgica de la

direccin de una organizacin.

S En las empresas las personas reciben informacin, la

procesan y luego la envan al prximo procesador; as todos en una organizacin son clientes, procesadores y proveedores, por lo tanto deben proteger la informacin que manejan.
S El SGSI est orientado a establecer un sistema gerencial que

permita minimizar el riesgo y proteger la informacin de la empresa de amenazas internas o externas.

Qu se debe garantizar?

1. CONFIDENCIALIDAD S Garantizando que la informacin es accesible slo a aquellas

personas autorizadas.

Qu se debe garantizar?
2. INTEGRIDAD
S Salvaguardando la exactitud y totalidad de la informacin

y los mtodos de procesamiento y transmisin.

Qu se debe garantizar?
3. DISPONIBILIDAD S Garantizando que los usuarios autorizados tienen acceso a

la informacin y a los recursos relacionados toda vez que lo requieran.

Qu es Continuidad del Negocio?

S La continuidad del negocio involucra capacidades

estratgicas y tcticas, definidas por la direccin de la empresa, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente acordado.

Plan de Continuidad (Origen)

S Gobierno Corporativo: OECD.

S Control Interno: COSO, CoCo (Canad), Turnbull (Gran

Bretaa), Kon Trag (Alemania), Cobit (USA).

S Gestin de Riesgos: ORMBOK, NTP 537, HAZOP.

S Gestin de Seguridad: SGSI, ISO27001:2005

Qu es un Plan de Continuidad de Negocios?

S Existen muchas definiciones:

Qu es un Plan de Continuidad de Negocios?

S BCP (Business Continuity Plan): Es un plan documentado y

probado con el fin de responder ante una emergencia de manera adecuada, logrando as el mnimo impacto a la operacin del negocio. ISO/IEC 27001:2005

Sistema de Gestin de Continuidad de Negocios

ISO 22301:2012
S Es la parte del Sistema de Gestion general que establece,

implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

S ISO 22301:2012 especifica los requisitos para planificar,

establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un Sistema de Gestin de la Continuidad del Negocio.
S La norma desarrolla los requisitos a cumplir en un SGCN o

BCMS (Sistema de Gestin de la Continuidad del Negocio) en cada uno de los mbitos de la organizacin: alcance, liderazgo, responsabilidad de la direccin, planificacin, soporte, designacin de recursos, operacin, evaluacin y mejora

Partes de la Gestin de la Continuidad del Negocio

Plan de Contingencia

S Es un subconjunto de un plan de continuidad de negocio

(BCP), que contempla cmo reaccionar ante una situacin que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas, sean estos informticos (Sistemas), productivos (CTP, Imprentas, Rotativas, Transporte) o procedimentales (Procedimientos, Formularios y Documentos).
S Una contingencia puede ser un problema de corrupcin de

datos, falla en el suministro elctrico, dao en equipos industriales, un problema de software o hardware, errores humanos, intrusin, etc.

Plan de Recuperacin de Desastres

S DRP Disaster Recovery Plan: Es aquella parte del

plan de contingencia y del plan de continuidad de negocio (BCP), que aborda aquellas contingencias que, por su gravedad, no permiten a una empresa continuar prestando el servicio desde su Oficina Matriz y debe realizarse desde un nuevo centro operativo.
S Este plan debe contemplar el retorno a la operacin

normal cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en la Oficina Matriz.

Por qu son Sistemas? Kaizen

S Kaizen (Kai Cambio, Zen Mejora) es un concepto

arraigado en Japn que define una forma de gestionar las organizaciones hacia la mejora de la productividad.
S La traduccin ms comn que se utiliza para definir de esta

palabra es mejora continua o gradual y tiene mucha relacin con los ciclos de calidad que tradicionalmente han propulsado a las empresas japonesas hacia el xito.

Organigrama del Equipo

Prximos pasos a seguir

1. Inventario y Tasacin de los Activos de Informacin

2. Anlisis de los procesos de negocio de la cadena de

valor
3. Anlisis de Riesgos

4. Business Impact Analysis (BIA)

5. Statement Of Applicability (SOA) 6. Business Continuity Plan and Strategies (BCP)

3. Anlisis de Riesgos Tipologa del Riesgo (1/4)

3. Matriz de Riesgos (2/4)

3. Matriz de Riesgos (3/4)

3. Matriz de Frecuencia Severidad (4/4)