ISO 27701 – Cláusula 6.14 – Aspectos de seguridad de la información de la gestión de la continuidad del negocio

Cláusula 27701 de la norma ISO 6.14: Protección de la seguridad de la información y la continuidad

La planificación de la continuidad, en pocas palabras, significa garantizar que una organización sea capaz de seguir haciendo negocios cuando surjan problemas y la información privada –o instalaciones completas de procesamiento de información– se vea comprometida o no esté disponible.

La continuidad del negocio está estrechamente relacionada con el respaldo y la recuperación ante desastres (BUDR), un concepto técnico de TIC que abarca capas de redundancia, respaldos, duplicación de activos y alertas.

Qué se cubre en la cláusula 27701 de la norma ISO 6.14

ISO 27701 se centra en dos áreas clave de la gestión de la continuidad, seguridad de la información de privacidad y redundancia, en 4 subcláusulas:

• ISO 27701 6.14.1.1 – Planificación de la continuidad de la seguridad de la información (ISO 27002 Controlar 5.29)
• ISO 27701 6.14.1.2 – Implementación de la continuidad de la seguridad de la información (ISO 27002 Control 5.29)
• ISO 27701 6.14.1.3 – Verificar, renovar y evaluar la continuidad de la seguridad de la información (ISO 27002 Control 5.29)
• ISO 27701 6.14.2.1 – Disponibilidad de instalaciones de procesamiento de información (ISO 27002 Control 8.14)

Cada subcláusula contiene información de orientación de la norma ISO 27002, aplicada en el contexto de la seguridad de la información privada.

ISO 27701 Cláusula 6.14.1.1 – Planificación de la continuidad de la seguridad de la información

Referencias ISO 27002 Control 5.29

Las organizaciones deben considerar la seguridad de la privacidad de la información como una parte integral de un procedimiento más amplio de gestión de la continuidad del negocio.

ISO pide a la organización que se centre en dos áreas clave al formular planes de continuidad del negocio:

1. Pérdida de confidencialidad
2. La integridad de la información.

La integridad de la seguridad de la información privada debe mantenerse en todo momento. Si la PII o los activos relacionados con la privacidad se ven comprometidos de alguna manera, las organizaciones deben hacer todo lo posible para restaurarlos de manera oportuna y eficiente, y a los mismos niveles previos a la disrupción.

Las organizaciones deberían:

• Opere con controles generalizados de seguridad de la información de privacidad que funcionen en armonía con los planes de continuidad del negocio.
• Adherirse a procesos que mantengan controles de seguridad de la información privada durante períodos de interrupción o pérdida de negocios.

Si no es posible mantener controles de seguridad de la información privada en un momento dado (especialmente durante períodos de interrupción), las organizaciones deben implementar controles 'compensadores' que se esfuercen por lograr el nivel más alto posible de seguridad de la información.

ISO 27701 Cláusula 6.14.1.2 – Implementación de la continuidad de la seguridad de la información

Referencias ISO 27002 Control 5.29

Ver ISO 27701 Cláusula 6.14.1.1

ISO 27701 Cláusula 6.14.1.3 – Verificar, renovar y evaluar la seguridad de la información

Referencias ISO 27002 Control 5.29

Ver ISO 27701 Cláusula 6.14.1.1

ISO 27701 Cláusula 6.14.2.1 – Disponibilidad de instalaciones de procesamiento de información

Referencias ISO 27002 Control 8.14

Las organizaciones deben esforzarse por garantizar que los servicios comerciales y los sistemas de información de privacidad estén operativos en todo momento.

ISO recomienda la duplicación como mecanismo de redundancia: las organizaciones deben mantener un inventario de piezas de repuesto, componentes de hardware y software duplicados, dispositivos de red de repuesto y periféricos que puedan intercambiarse por activos que no funcionan correctamente en toda la red.

Se deben configurar alertas para identificar primero las instalaciones de procesamiento de información de privacidad fallidas y para que se implementen sistemas alternativos lo más rápido posible.

Las organizaciones deberían:

• Garantice una relación continua con dos proveedores de servicios separados, reduciendo el riesgo de tiempo de inactividad.
• Considere medidas de redundancia al diseñar e implementar redes, como múltiples controladores de dominio y planes BUDR.
• Utilice ubicaciones geográficamente separadas para copias de seguridad y servicios de datos asociados.
• Utilice técnicas industriales conocidas, como el equilibrio de carga y la conmutación por error automática entre dos componentes o sistemas de software redundantes idénticos.
• Pruebe periódicamente las medidas de redundancia para garantizar que puedan cumplir con los requisitos comerciales cuando sea necesario.
• Opere con componentes de almacenamiento duplicados (matrices RAID, CPU) y dispositivos de red con versiones de firmware congruentes.

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

Nuestras soluciones ISMS.online facilitan a las organizaciones lograr la supervisión de proyectos, garantizando que las políticas y procedimientos del controlador y procesador de datos estén en línea con el estándar ISO.

Nuestro sistema en línea también garantiza que los implementadores del sistema tengan un lugar único de referencia y colaboración. Nuestro Método de Resultados Asegurados (ARM) le permite estar seguro de que está cumpliendo todos los requisitos necesarios para cumplir con el estándar.

Descubre más por reservar una demostración práctica.