ISO 27001 – Anexo A.17: Aspectos de seguridad de la información de la gestión de la continuidad del negocio

¿Cuál es el objetivo del Anexo A.17.1?

El anexo A.17.1 trata sobre la continuidad de la seguridad de la información. El objetivo de este control del Anexo A es que la continuidad de la seguridad de la información esté integrada en los sistemas de gestión de la continuidad del negocio de la organización. Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.17.1.1 Planificación de la continuidad de la seguridad de la información

La organización debe determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o un desastre. Los mejores SGSI ya tendrán controles más amplios del Anexo A que mitiguen la necesidad de implementar un proceso de recuperación ante desastres o un plan de continuidad del negocio en línea con A.17.

A pesar de ese esfuerzo, aún pueden ocurrir incidentes perturbadores más importantes, por lo que es importante planificarlos. ¿Qué sucede cuando un centro de datos importante que contiene su información y aplicaciones deja de estar disponible? ¿Qué sucede cuando se produce una violación de datos importante, se realiza un ataque de ransomware o una persona clave en el negocio queda fuera de acción, o tal vez la oficina central sufre una inundación importante...?

Habiendo considerado los diversos eventos y escenarios que deben planificarse, la organización puede documentar el plan con el detalle necesario para demostrar que comprende esos problemas y los pasos necesarios para abordarlos.

ISO 22301 ofrece un enfoque más estructurado para la continuidad del negocio que encaja muy elegantemente con los principales requisitos de ISO 27001.

A.17.1.2 Implementación de la continuidad de la seguridad de la información

La organización necesita establecer, documentar, implementar y mantener procesos, procedimientos y controles para garantizar el nivel requerido de continuidad para la seguridad de la información durante una situación disruptiva. Una vez que se han identificado los requisitos, la organización debe implementar políticas, procedimientos y otros controles físicos o técnicos que sean adecuados y proporcionados para cumplir con esos requisitos.

Descripción de las responsabilidades, actividades, propietarios, plazos y trabajos de mitigación que se realizarán (más allá de los riesgos y las políticas que ya están en funcionamiento, por ejemplo, comunicaciones de crisis). Se debe identificar una estructura de gestión y puntos desencadenantes de escalamiento relevantes para garantizar que, cuando un evento aumente en gravedad, el escalamiento relevante a la autoridad apropiada se realice de manera efectiva y oportuna. También debe quedar claro cuándo se vuelve a la normalidad y se detiene cualquier proceso de BCP.

A.17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la información

La organización debe verificar periódicamente los controles de continuidad de la seguridad de la información establecidos e implementados para garantizar que son válidos y eficaces durante estas situaciones. Los controles implementados para la continuidad de la seguridad de la información deben probarse, revisarse y evaluarse periódicamente para garantizar que se mantengan frente a cambios en el negocio, las tecnologías y los niveles de riesgo.

El auditor querrá ver que hay evidencia de; Pruebas periódicas de planes y controles; Registros de invocaciones de planes y acciones tomadas hasta su resolución y lecciones aprendidas; y revisión periódica y gestión de cambios para garantizar que los planes se mantengan frente al cambio.

¿Cuál es el objetivo del Anexo A.17.2?

El anexo A.17.2 trata sobre redundancias. El objetivo de este control del Anexo A es garantizar la disponibilidad de las instalaciones de procesamiento de información.

A.17.2.1 Disponibilidad de instalaciones de procesamiento de información

Un buen control describe cómo se implementan las instalaciones de procesamiento de información con la suficiente redundancia para cumplir con los requisitos de disponibilidad. La redundancia se refiere a la implementación, típicamente, de hardware duplicado para garantizar la disponibilidad de los sistemas de procesamiento de información. El principio es que si uno o más elementos fallan, entonces habrá elementos redundantes que tomarán el relevo.

Para ello es fundamental probar periódicamente los componentes y sistemas redundantes para garantizar que se logre la conmutación por error en un plazo de tiempo razonable. Los componentes redundantes deben estar protegidos al mismo nivel o más que los componentes primarios.

Muchas organizaciones utilizan proveedores basados ​​en la nube, por lo que querrán asegurarse de que la redundancia se aborde de manera efectiva en sus contratos con proveedores y como parte de la política descrita en A.15.

El auditor esperará ver que las pruebas se lleven a cabo periódicamente, donde los componentes y sistemas redundantes estén instalados y bajo el control de la organización.