Documentos de Académico
Documentos de Profesional
Documentos de Cultura
<SISTESEG CONSULTING>
Versión 1.0
Historia
Versión Autor Tipo de Revisión Descripción Aprobado por Fecha
Distribución
Copia Destinatario Destino / Dirección
Original SISTESEG
Copia SISTESEG
Referencias
Ref. Documento o ítem referenciado
Control de Acceso
Sección Disponibilidad
Todo
TABLA DE CONTENIDO
1 INTRODUCCION ......................................................................................................................... 5
2 OBJETIVOS ................................................................................................................................. 5
2.1 Objetivo general................................................................................................................ 5
2.2 Objetivo Específicos .......................................................................................................... 5
3 CONCEPTOS FUNDAMENTALES DEL GAP .................................................................................. 5
4 METODOLOGIA RECOMENDADA ............................................................................................... 7
4.1 Elaboración de los cuestionarios ...................................................................................... 7
4.2 Entrevistas e Inspecciones en Sitio ................................................................................... 8
4.3 Consolidación de Resultados ............................................................................................ 8
4.4 Análisis de Resultados ....................................................................................................... 8
4.5 Elaboración de Informes y Plan de Acción ........................................................................ 9
4.6 Presentación de Resultados .............................................................................................. 9
5 GLOSARIO ................................................................................................................................ 10
BIBLIOGRAFÍA ................................................................................................................................... 13
LISTADO DE ILUSTRACIONES
LISTADO DE TABLAS
La realización del análisis brecha, permite conocer el estado actual con respecto a las
mejores prácticas en continuidad del negocio. Se recomienda que este proceso se realice
una vez al año y que los niveles de madurez se establezcan entre 0 y 100 por ciento.
2 OBJETIVOS
Presentar la metodología recomendada con respecto a la norma ISO 22301:2013 con el fin
de comprender el estado de madurez de la seguridad de la información.
El marco teórico propio de este documento está basado con la norma ISO 22301:2013 y el
Modelo de Seguridad y Privacidad de la Información V.3.0.2 – MPSI de la Estrategia de
Gobierno en Línea – GEL y la norma ISO 27031 (IRBC). Estas recomendaciones se
establecen para contar con una guía para el establecimiento, implementación, operación,
seguimiento, revisión y mejora de la Gestión de la Continuidad del Negocio.
Integridad
Confidencialidad Disponibilidad
Principios
Disponibilidad:
Propiedad de que la información sea accesible y utilizable por solicitud de una Entidad
autorizada. La disponibilidad de la información se debe garantizar por medio de los planes
de continuidad del negocio o planes para la recuperación ante desastres.
Confidencialidad:
Integridad:
4 METODOLOGIA RECOMENDADA
Elaboración de los
Analisis de Resultados FIN
cuestionarios
A continuación se presenta la tabla utilizada para definir los niveles y criterios de madurez:
NIVEL PORCENTAJE CRITERIOS
Gestionado 76-99% En este nivel se realizan mediciones sobre la efectividad de los controles.
En este nivel se encuentran las organizaciones en las cuales se mide la efectividad de los
Optimo 100% controles con el fin de mejorarlos y optimizarlos.
• Actividades críticas: Operaciones críticas y/o actividades que soportan los objetivos
de la Entidad.
• Activo: Cualquier cosa que tenga valor para la organización.
• Activos de información: Es todo activo que contenga información, la cual posee un
valor y es necesaria para realizar los procesos del negocio, servicio y soporte. Se
pueden clasificar de la siguiente manera:
o Personas: Incluyendo sus calificaciones, competencias y experiencia.
Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good practice in business
continuity, Business Continuity Institute, Caversham.
Disaster Recovery Institute International (DRII) (2012) Professional Practices for Business Continuity
Practitioners, DRII, New York.
ISO 22301 (2012) – Societal security – Business continuity management systems – Requirements
ISO 22301 (2012) – Societal security – Business continuity management systems – Guidance
www.sans.org