SlideShare une entreprise Scribd logo

ISO 22301, ISO 31000, TIA 942 e ISO 27005

Télécharger en tant que PPTX, PDF
M
Melvin Jáquez

ISO 22301, ISO 31000, TIA 942 e ISO 27005

Formation
1  sur  33
Maestría en Auditoria y Seguridad de Sistemas de Información CURCE UASD GRUPO 4: Melvin Brian Jáquez Verenice Javier Emmanuel Ynoa ISO 22301 ISO 31000 ISO 27005 TIA 942 Facilitador: ING. Miguel Diaz, PhD
Normas a Tratar • ISO 22301 - Continuidad de Negocio • ISO 3100 - Gestión de Riesgos • TIA 942 - Especificaciones para el diseño e instalación de infraestructuras de Data Centers • ISO 27005 - Manejo y control de los riesgos en la seguridad de la información
ISO 22301 - Continuidad del Negocio  ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.  La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando. ISO 22301 le ayudará a:  Establecer, implementar, mantener y mejorar sus BCMS,  Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su compromiso con las mejores prácticas reconocidas internacionalmente
Beneficios ISO 22301 Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:  Preservar los intereses de los accionistas.  Mejorar el resultado operacional de la empresa:  Reducción de Riesgos, se traduce en una reducción de costes,  reducción del tiempos de inactividad,  mejora en la competitividad  Mayor eficacia operativa: Reingeniería de negocios  Protección de los bienes materiales y el “Know How” del negocio  Mejora en el cumplimiento de las legislaciones de Seguridad y Salud.  Mejora de la Seguridad Global.  Evita las acciones derivadas de la responsabilidad empresarial.
¿Porqué un plan de continuidad del Negocio? La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización
Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para: – Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo – Analizar las interdependencias de nuestros procesos – Incluir los factores clave: Telecomunicaciones, infraestructuras etc. – Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados
¿Por qué se ha desarrollado una normativa internacional? Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.
Ciclo de Vida de la Continuidad de Negocio:
ISO 31000 - Gestión de Riesgos • La norma denominada ISO 31000:2009, Risk management, tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con efectividad. • Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.
Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza. Efecto de la Incertidumbre sobre los Objetivos: Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. Los riesgos pueden ser varios dependiendo de los enfoques que tomes en cuenta, ejemplos:  Riesgos de mercado  Riesgos de liquidez, de créditos  Riesgos de desastres naturales  Riesgos de problemas legales  Entre otros. GESTIÓN DE RIESGO
Principios Básicos para la Gestión de Riesgos Características: o Nos garantiza la aplicación de un sistema eficaz para la buena gestión de los riesgos. o Es aplicable a cualquier tipo de organización, grande o pequeña, pública o privada. o No sólo se refiere a riesgos TIC sino que se contemplan todo tipo de riesgos: Operacionales Financieros Información TIC Otros …
Beneficios ISO 31000  Aumentar la probabilidad de lograr los objetivos  Fomentar la gestión proactiva  Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización  Mejorar en la identificación de oportunidades y amenazas  Cumplir con las exigencias legales y reglamentarias pertinentes, así como las normas internacionales.  Mejorar la información financiera  Mejorar la gobernabilidad  Mejorar la confianza de los grupos de interés (stakeholder)
 Establecer un base confiable para la toma de decisiones y la planificación  Mejorar los controles  Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operacional  Mejorar la salud y de seguridad, así como la protección del medio ambiente.  Mejorar la prevención de pérdidas, así como la gestión de incidentes  Minimizar las pérdidas  Mejorar el aprendizaje organizacional  Mejorar capacidad de recuperación de la organización. Beneficios ISO 31000
Breves Antecedentes La aplicación de la norma AS/NZ 4360 le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. La norma ISO 31000:2009 mejora notablemente las normas COSO y AS/NZS 4360, ya que esta es mucho más practica y concreta en su objetivo de Gestionar los Riesgos con sólo 34 páginas en comparación al COSO ERM con sus 125 paginas. Objetivos Considera las actividades de todos los niveles de la organización EnterpriseRiskManagement(2004) COSO
Relación de Principios, Marco de Trabajo (framework) y Proceso de Gestión del Riesgo
NORMA APOYO ISO 73:2009 El vocabulario de gestión de riesgos, esta norma complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
ISO 31000 vs ISO 22301 Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio  El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia, que su predecesora la norma BS 25999.  La Norma ISO 31000 como estándar internacional para analizar y gestionar los riesgos, está directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías.  Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio. La causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes de una organización son siempre los riesgos mal gestionados.
ISO/IEC 27000 - Series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 - Tecnología de Información / Técnicas de seguridad / Gestión de Riesgos de Seguridad de Información  Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información.  El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.  El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
ISO 27005 No proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:  Establecimiento del contexto (Cláusula 7)  Evaluación del riesgo (Cláusula 8)  Tratamiento del riesgo (Cláusula 9)  Aceptación del riesgo (Cláusula 10)  Comunicación del riesgo (Cláusula 11)  Monitorización y revisión del riesgo (Cláusula 12)
TIA 942 - Telecomunication Industry Association • El estándar TIA 942 provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo), que son los lugares donde se colocan racks, servidores, equipo de comunicaciones, etc • Este estándar está aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute). El estándar TIA 942 y la categorización de Tiers en Latinoamérica lleva al replanteamiento de las necesidades de infraestructura para la instalación de un Data Center.
Historia • En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. • Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.
Beneficios TIA 942 Las principales ventajas del diseño de centros de datos de conformidad con la norma TIA 942 incluyen:  La nomenclatura estándar  El funcionamiento a prueba de fallos  Sólida protección contra las catástrofes naturales o manufacturados.  La fiabilidad a largo plazo  Capacidad de expansión y escalabilidad.
Infraestructura de Soporte Según el estándar TIA-942, la infraestructura de soporte de un Data Center debe estar compuesto por cuatro subsistemas como lo son:  Telecomunicaciones  Arquitectura  Sistema Eléctrico  Sistema Mecánico
Áreas Funcionales De acuerdo con la TIA 942 un centro de datos debe incluir las siguientes áreas funcionales:  Una o mas entradas al cuarto  Área de distribución principal  Una o mas áreas de distribución horizontal  Área de equipo de distribución  Zona de distribución  El cableado horizontal y el backbone
Tier • El concepto de Tier indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. • A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo. • En su anexo G y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.
Infraestructura de Cableado • Tier1- nivel I (básico) • Tier2- nivel II (componentes redundantes) • Tier3- nivel III (mantenimiento concurrido) • Tier4- nivel IV (tolerante a errores)
Tier I - Nivel I (Básico)  Disponibilidad 99,671%.  Sensible a las interrupciones, tanto planificada como no planificada.  Un solo paso de la corriente y la distribución aire acondicionado, sin componentes redundantes.  Puede o no tener un piso elevado.  Generador independiente.  Toma 3 meses implementar.  Tiempo de inactividad anual de 28,8 horas del data centro.  Debe estar cerrado por completo para realizar mantenimiento preventivo.
Tier II- Nivel II (Componentes Redundantes)  Disponibilidad de 99,741%.  Es menor susceptible a la interrupción por actividades planeadas o no.  Un solo paso para la corriente y la distribución del aire acondicionado incluye un componente redundante.  Incluye un piso elevado UPS y generador.  Toma de 3 a 6 meses para implementar.  El tiempo de inactividad anual es de 22,0 horas.  Mantenimiento de la trayectoria de alimentación y otras partes de la infraestructura requieren un cierre de procesamiento.
Tier III - Nivel III (Mantenimiento Concurrido)  99,982 % de disponibilidad.  Permite la actividad planeada sin alterar el funcionamiento de los equipos, pero eventos no planificados pueden causar trastornos.  Múltiples pasos de energía y enfriamiento, pero con solo un camino activo, incluye componentes redundantes ( N + 1 ).  Toma de 15 a 20 meses para aplicar.  El tiempo de inactividad anual es 1.6 hora.
Tier IV - Nivel IV (Tolerante a Errores)  99, 995 % de disponibilidad.  La actividad planificada no interrumpe el funcionamiento de los datos críticos. El centro puede sostener por lo menos un caso de interrupción no planificado sin impacto critico.  Múltiples pasos de corrientes y rutas de enfriamiento, incluye componentes redundantes (2(N+1), es decir, 2 UPS cada uno con redundancia N+1).  Toma de 15 a 20 meses para implementar.  Tiempo de inactividad anual es de 0,4 horas.
Resumen de los Niveles de Tiers
Gracias!

Recommandé

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcmsPrimala Sistema de Gestion
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Primala Sistema de Gestion
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

Recommandé

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcmsPrimala Sistema de Gestion
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Primala Sistema de Gestion
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del NegocioFernando De los Ríos
 
Iso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisIso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisPrimala Sistema de Gestion
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSJuan Carlos Bajo Albarracín
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk managementAlexander Velasque Rimac
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionPrimala Sistema de Gestion
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ii
iiii
iiVero Gonzalez
 

Contenu connexe

Tendances

Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 

Tendances (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del Negocio
 
Iso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisIso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisis
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de Negocio
 
iso 27005
iso 27005iso 27005
iso 27005
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestion
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 

Similaire à ISO 22301, ISO 31000, TIA 942 e ISO 27005

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
auditoria
auditoriaauditoria
auditoriafrankcq
 
Iso27001
Iso27001Iso27001
Iso27001frankcq
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfDIFESAMU
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 

Similaire à ISO 22301, ISO 31000, TIA 942 e ISO 27005 (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ii
iiii
ii
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
auditoria
auditoriaauditoria
auditoria
 
Iso27001
Iso27001Iso27001
Iso27001
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Punteros
PunterosPunteros
Punteros
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso27001
Iso27001Iso27001
Iso27001
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 

Plus de Melvin Jáquez

Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMcAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMelvin Jáquez
 
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousCyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousMelvin Jáquez
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Melvin Jáquez
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5Melvin Jáquez
 

Plus de Melvin Jáquez (6)

Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)
 
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMcAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
 
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousCyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5
 

Dernier

Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOluismii249
 
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docxTALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docxNadiaMartnez11
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.JonathanCovena1
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docRodneyFrankCUADROSMI
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfapunteshistoriamarmo
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptNancyMoreiraMora1
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Juan Martín Martín
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024IES Vicent Andres Estelles
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesMarisolMartinez707897
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfpatriciaines1993
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...jlorentemartos
 
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSSEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSYadi Campos
 

Dernier (20)

Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docxTALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSSEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 

ISO 22301, ISO 31000, TIA 942 e ISO 27005

  • 1. Maestría en Auditoria y Seguridad de Sistemas de Información CURCE UASD GRUPO 4: Melvin Brian Jáquez Verenice Javier Emmanuel Ynoa ISO 22301 ISO 31000 ISO 27005 TIA 942 Facilitador: ING. Miguel Diaz, PhD
  • 2. Normas a Tratar • ISO 22301 - Continuidad de Negocio • ISO 3100 - Gestión de Riesgos • TIA 942 - Especificaciones para el diseño e instalación de infraestructuras de Data Centers • ISO 27005 - Manejo y control de los riesgos en la seguridad de la información
  • 3. ISO 22301 - Continuidad del Negocio  ISO 22301 identifica los fundamentos de un sistema de gestión de la continuidad estableciendo el proceso, los principios y la terminología de la gestión de la continuidad del negocio.  La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias más difíciles e inesperadas protegiendo a su personal, preservando su reputación y ofreciendo la capacidad de seguir operando. ISO 22301 le ayudará a:  Establecer, implementar, mantener y mejorar sus BCMS,  Cumplir con los requisitos de su política de continuidad de negocio,  Dar confianza a las partes interesadas clave respecto de la conformidad y su compromiso con las mejores prácticas reconocidas internacionalmente
  • 4. Beneficios ISO 22301 Los principales beneficios para la empresa cuando implantamos un SGCN eficaz, se pueden resumir en:  Preservar los intereses de los accionistas.  Mejorar el resultado operacional de la empresa:  Reducción de Riesgos, se traduce en una reducción de costes,  reducción del tiempos de inactividad,  mejora en la competitividad  Mayor eficacia operativa: Reingeniería de negocios  Protección de los bienes materiales y el “Know How” del negocio  Mejora en el cumplimiento de las legislaciones de Seguridad y Salud.  Mejora de la Seguridad Global.  Evita las acciones derivadas de la responsabilidad empresarial.
  • 5. ¿Porqué un plan de continuidad del Negocio? La Norma ISO 22301 es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización
  • 6. Los planes de recuperación del negocio deben revisarse y probarse con frecuencia para: – Incluir y considerar todos los tipos de amenazas posibles a través del análisis de riesgo – Analizar las interdependencias de nuestros procesos – Incluir los factores clave: Telecomunicaciones, infraestructuras etc. – Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados
  • 7. ¿Por qué se ha desarrollado una normativa internacional? Después de los acontecimientos traumáticos sufridos por empresas a nivel global en las últimas décadas, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar el posible impacto de incidentes que puedan interrumpir la actividad de una organización.
  • 8. Ciclo de Vida de la Continuidad de Negocio:
  • 9. ISO 31000 - Gestión de Riesgos • La norma denominada ISO 31000:2009, Risk management, tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con efectividad. • Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.
  • 10. Es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza. Efecto de la Incertidumbre sobre los Objetivos: Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. Los riesgos pueden ser varios dependiendo de los enfoques que tomes en cuenta, ejemplos:  Riesgos de mercado  Riesgos de liquidez, de créditos  Riesgos de desastres naturales  Riesgos de problemas legales  Entre otros. GESTIÓN DE RIESGO
  • 11. Principios Básicos para la Gestión de Riesgos Características: o Nos garantiza la aplicación de un sistema eficaz para la buena gestión de los riesgos. o Es aplicable a cualquier tipo de organización, grande o pequeña, pública o privada. o No sólo se refiere a riesgos TIC sino que se contemplan todo tipo de riesgos: Operacionales Financieros Información TIC Otros …
  • 12. Beneficios ISO 31000  Aumentar la probabilidad de lograr los objetivos  Fomentar la gestión proactiva  Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización  Mejorar en la identificación de oportunidades y amenazas  Cumplir con las exigencias legales y reglamentarias pertinentes, así como las normas internacionales.  Mejorar la información financiera  Mejorar la gobernabilidad  Mejorar la confianza de los grupos de interés (stakeholder)
  • 13.  Establecer un base confiable para la toma de decisiones y la planificación  Mejorar los controles  Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operacional  Mejorar la salud y de seguridad, así como la protección del medio ambiente.  Mejorar la prevención de pérdidas, así como la gestión de incidentes  Minimizar las pérdidas  Mejorar el aprendizaje organizacional  Mejorar capacidad de recuperación de la organización. Beneficios ISO 31000
  • 14. Breves Antecedentes La aplicación de la norma AS/NZ 4360 le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. La norma ISO 31000:2009 mejora notablemente las normas COSO y AS/NZS 4360, ya que esta es mucho más practica y concreta en su objetivo de Gestionar los Riesgos con sólo 34 páginas en comparación al COSO ERM con sus 125 paginas. Objetivos Considera las actividades de todos los niveles de la organización EnterpriseRiskManagement(2004) COSO
  • 15. Relación de Principios, Marco de Trabajo (framework) y Proceso de Gestión del Riesgo
  • 16. NORMA APOYO ISO 73:2009 El vocabulario de gestión de riesgos, esta norma complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
  • 17. ISO 31000 vs ISO 22301 Integración de Sistemas de Gestión de Riesgos & Continuidad del Negocio  El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia, que su predecesora la norma BS 25999.  La Norma ISO 31000 como estándar internacional para analizar y gestionar los riesgos, está directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías.  Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio. La causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes de una organización son siempre los riesgos mal gestionados.
  • 18. ISO/IEC 27000 - Series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
  • 19. ISO/IEC 27005 - Tecnología de Información / Técnicas de seguridad / Gestión de Riesgos de Seguridad de Información  Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información.  El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.  El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
  • 20. ISO 27005 No proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:  Establecimiento del contexto (Cláusula 7)  Evaluación del riesgo (Cláusula 8)  Tratamiento del riesgo (Cláusula 9)  Aceptación del riesgo (Cláusula 10)  Comunicación del riesgo (Cláusula 11)  Monitorización y revisión del riesgo (Cláusula 12)
  • 21. TIA 942 - Telecomunication Industry Association • El estándar TIA 942 provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo), que son los lugares donde se colocan racks, servidores, equipo de comunicaciones, etc • Este estándar está aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute). El estándar TIA 942 y la categorización de Tiers en Latinoamérica lleva al replanteamiento de las necesidades de infraestructura para la instalación de un Data Center.
  • 22. Historia • En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. • Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.
  • 23. Beneficios TIA 942 Las principales ventajas del diseño de centros de datos de conformidad con la norma TIA 942 incluyen:  La nomenclatura estándar  El funcionamiento a prueba de fallos  Sólida protección contra las catástrofes naturales o manufacturados.  La fiabilidad a largo plazo  Capacidad de expansión y escalabilidad.
  • 24. Infraestructura de Soporte Según el estándar TIA-942, la infraestructura de soporte de un Data Center debe estar compuesto por cuatro subsistemas como lo son:  Telecomunicaciones  Arquitectura  Sistema Eléctrico  Sistema Mecánico
  • 25. Áreas Funcionales De acuerdo con la TIA 942 un centro de datos debe incluir las siguientes áreas funcionales:  Una o mas entradas al cuarto  Área de distribución principal  Una o mas áreas de distribución horizontal  Área de equipo de distribución  Zona de distribución  El cableado horizontal y el backbone
  • 26. Tier • El concepto de Tier indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. • A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo. • En su anexo G y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.
  • 27. Infraestructura de Cableado • Tier1- nivel I (básico) • Tier2- nivel II (componentes redundantes) • Tier3- nivel III (mantenimiento concurrido) • Tier4- nivel IV (tolerante a errores)
  • 28. Tier I - Nivel I (Básico)  Disponibilidad 99,671%.  Sensible a las interrupciones, tanto planificada como no planificada.  Un solo paso de la corriente y la distribución aire acondicionado, sin componentes redundantes.  Puede o no tener un piso elevado.  Generador independiente.  Toma 3 meses implementar.  Tiempo de inactividad anual de 28,8 horas del data centro.  Debe estar cerrado por completo para realizar mantenimiento preventivo.
  • 29. Tier II- Nivel II (Componentes Redundantes)  Disponibilidad de 99,741%.  Es menor susceptible a la interrupción por actividades planeadas o no.  Un solo paso para la corriente y la distribución del aire acondicionado incluye un componente redundante.  Incluye un piso elevado UPS y generador.  Toma de 3 a 6 meses para implementar.  El tiempo de inactividad anual es de 22,0 horas.  Mantenimiento de la trayectoria de alimentación y otras partes de la infraestructura requieren un cierre de procesamiento.
  • 30. Tier III - Nivel III (Mantenimiento Concurrido)  99,982 % de disponibilidad.  Permite la actividad planeada sin alterar el funcionamiento de los equipos, pero eventos no planificados pueden causar trastornos.  Múltiples pasos de energía y enfriamiento, pero con solo un camino activo, incluye componentes redundantes ( N + 1 ).  Toma de 15 a 20 meses para aplicar.  El tiempo de inactividad anual es 1.6 hora.
  • 31. Tier IV - Nivel IV (Tolerante a Errores)  99, 995 % de disponibilidad.  La actividad planificada no interrumpe el funcionamiento de los datos críticos. El centro puede sostener por lo menos un caso de interrupción no planificado sin impacto critico.  Múltiples pasos de corrientes y rutas de enfriamiento, incluye componentes redundantes (2(N+1), es decir, 2 UPS cada uno con redundancia N+1).  Toma de 15 a 20 meses para implementar.  Tiempo de inactividad anual es de 0,4 horas.
  • 32. Resumen de los Niveles de Tiers