Académique Documents
Professionnel Documents
Culture Documents
Curso de Capacitacin
Seccin 1
Objetivos y estructura del curso
a. Informacin general
b. Objetivos del curso
Objetivos del Curso
Adquirir conocimientos
Relaciones
Enfoque basado en
Enfoque en el sistema mutuamente
Mejora continua hechos para la toma
para la gestin beneficiosas con el
de decisiones
proveedor
Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estar certificada
_________________________________________________
ISO 22301
Contenido
Seccin 5 Liderazgo
Seccin 6 Planificacin
Seccin 7 Apoyo
Seccin 8 Funcionamiento
Seccin 10 Mejora
ISO 22313
Gua para el cdigo de buenas prcticas INTERNATIONAL
STANDARD
ISO
22313
para implementar, mejorar un Sistema de
Gestin de la Continuidad de los Negocios
(Documento de referencia).
Clusula escrita utilizando el verbo _______________________________________________
debera a fin de proporcionar orientacin Societal security-Business continuit
en materia de aplicacin. Management Systems Gidance
_________________________________________________
Historia de la norma ISO 22301
1988-2013
2013
2012
Control
A.14.1.2 Continuidad del negocio y 8.2 AIN y la Evaluacin de
evaluacin del riesgo Se deben identificar los eventos que causan interrupciones en los procesos de los riesgo
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la informacin.
Control
A.14.1.3 Desarrollo e implementar 8.4 Procedimientos de la
Planes de continuidad Se deben desarrollar e implementar planes para mantener o restaurar las
continuidad del negocio
Incluyendo seguridad de la operaciones y asegurar la disponibilidad de la informacin en el nivel requerido
informacin y en las escalas de tiempo requeridas despus de la interrupcin o falta en los
procesos de negocios crticos.
Control
A.14.1.4 Marco referencial para la 6 Planificacin del SGCN
Planeacin de la continuidad Se debe mantener un solo marco referencial del plan de continuidad de negocio
Del negocio para asegurar que todos los planes sean consistentes y para tratar
consistentemente los requerimientos de la seguridad de la informacin e
identificar las prioridades de pruebas y mantenimiento.
Control 8.5 Ejercicio y pruebas
A.14.4.5 Prueba mantenimiento y re-
Evaluacin de planes de Los planes de continuidad de negocio se deben probar y actualizar regularmente
continuidad para asegurar que estn actualizados y sean efectivos.
De negocio
Continuidad del Negocio
Ventajas
El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Caso de estudio Taller ISO 22301 - 1
d. Procesos y recursos
g. Resiliencia
Continuidad del Negocio y Recuperacin ante Desastres
Diferencias
Recuperacin ante
Continuidad del Negocio desastres
GESTIN ANTE
UNA EMERGENCIA
RECUPERACIN DE TI
ANTE DESASTRE
ADMINISTRACIN DE
LAS INSTALACIONES
GESTIN DE LA CADENA DE
SUMINISTRO
GESTIN DE CALIDAD
SALUD Y SEGURIDAD
Est en relacin con:
GESTIN DE CRISIS
RECURSOS HUMANOS
La Gestin de Continuidad del Negocio
SEGURIDAD
COMUNICACIONES &
Participacin de todos los elementos de la organizacin
RRPP
Evento: de un Incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento
Ocurrencia de un conjunto particular de circunstancias.
(ISO 22301, 3.17)
Organizacin (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organizacin (o en su nombre) que producen o
dan apoyo a uno o ms productos y servicios.
Recursos
Todos los archivos, personal, Las Personas
habilidades, informacin,
tecnologa (incluyendo maqui-
naria y equipos), locales, y
suministros e informacin (ya
sea electrnica o no) que una Activos Informacin
organizacin debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos. Locales Tecnologas Suministros
Actividades Crticas y Recursos
BIA
Enfoque de un AIN
ISO 22301
Riesgo (3.48)
Probabilidad (3.28)
Consecuencia (3.2)
Resultado de un evento
Impacto (3.10)
Consecuencia evaluada de un resultado en
particular
Parte interesada (interesados)
ISO 22301, clusula 3.21
Persona u organizacin que puede afectar, pueden verse afectados por, o se consideran afectados por una decisin o
actividad
Consejo de Equipo de
Administracin Gestin
Organizacin
Empleados Sindicatos
Resilencia
Capacidad de adaptacin
de una organizacin en un ambiente
complejo y cambiante
Objetivos de Recuperacin
ISO 22301, clsula 3.25, 3.26, 3.28 , 3.44 , -45
Desastre
Desastre
Tiempo
0:00 Muy
Copia de Copia de Sistema Crtico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Das) (24 H)
Sistema de Alta Disponibilidad
Cinco 9s (99,999 por ciento) de disponibilidad
Desastre
Plan de capacitacin y
Plan de recuperacin
concienciacin
Nivel de
servicio
100%
normal
40%
Objetivo Mnimo de Continuidad
del Negocio (MBCO) Horas Da Semana Mes Tiempo
0%
a. Definicin de un SGCN
b. Enfoque en los procesos
c. Visin general Clusulas 4 a 10
d. Los componentes claves de un SGCN
Qu es la continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratgico y tctico de ajuste a los objetivos que:
Proceso de gestin holstico que identifica amenazas potenciales para la organizacin as como el impacto en las
operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un
marco para aumentar la capacidad de resistencia o resilencia de la organizacin para dar respuesta eficaz que
salvaguarde los intereses de sus principales partes interesadas, la reputacin, la marca y las actividades de creacin
de valor
1. Una poltica
2. Personas con responsabilidades definidas;
3. Procesos de gestin asociados con:
- Poltica
- Planificacin
- Implementacin y operacin
- Evaluacin del rendimiento
- Revisin por la Direccin
- Mejora
4. Documentacin que provea pruebas auditables
5. Cualquier proceso de gestin de la continuidad del negocio pertinente a la organizacin
El ciclo Planificar- Hacer- Verificar- Actuar
ISO 22301, Introduccin
Planificar Partes
Partes
Interesadas Interesadas
Establecer
un
SGCN
Actuar
Hacer
Mantener y
Mejorar el Implementar
Requerimientos
SGCN El SGCN
expectativas Supervisar y
de la Continuidad del
Revisar el Negocio
Continuidad del SGCN
Negocio Gestionada
Verificar
Metodologa de Implementacin Integrada para los Sistemas de Gestin
y las Normas (IMS2)
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.5 mbito de
2.5 plan de la continuidad del
aplicacin
negocio & Procedimientos
4.2 Mejora continua
1.6 Poltica de CN 3.3 Revisin
2.6 Comunicacin por la Direccin
1.7 Anlisis del
impacto en el negocio 2.7 Capacitacin,
Concienciacin
1.8 Evaluacin del
riesgo
2.8 Ejercicio y pruebas
Requisitos generales
ISO 22301
En resumen
La organizacin deber establecer, implementar, mantener y mejorar un SGCN en conformidad con las necesidades y los
requisitos de las partes interesadas
1.Conocimiento 2. Determinar
3. Implementar y
de la las
organizacin Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organizacin
ISO 22301, Clusula 4
Comprensin de las Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y Los requisitos de estas partes interesadas
Expectativas de las Requisitos jurdicos y normativos
Partes interesadas
La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su alcance
Determinar el
Alcance del SGCN A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones internas y
externas y los requisitos
Leyes y Reglamentos
Los cuatro sectores de la industria mas afectados:
Gobierno
sanitaria
Utilidades
Finanzas
3.La lista de productos y servicios y todas las actividades relacionadas en el mbito de aplicacin del
SGCN
Orientacin estratgica
Comunicacin
- Garantizar que el sistema de gestin se ejecuta en conformidad con los requisitos de la norma ISO 22301.
- Informar sobre la eficacia de la gestin a la alta direccin.
Los objetivos y los Planes para alcanzarlos
ISO 22301, Clusula 6.2
La alta direccin deber asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados
para las funciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern:
a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que sea aceptable para la organizacin para alcanzar
sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados segn proceda
Opciones de Estrategia de Continuidad del Negocio
Las estrategias de CN disponibles y el OTR que cumplen
X Sitio
espejo
C
O IX Sitio
S E caliente
T S
O T VIII
R Traslado a
A otros
T centros de
D
E grupo
E
G VII Trabajo
I a distancia
L A
A
VI Sitio
Tibio
V Acuerdo Ninguna
reciproco II Estrategia
IV Sitio
III Sitio fro Reconstruccin
mvil y restauracin
TIEMPO DE RECUPERACIN
Apoyo
ISO 22301, clusula 7:
La organizacin
Deber asegurar
Tener personas La organizacin deber
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicacin con
relacionadas con las partes interesadas
el SGCN internas y externas
Informacin documentada
ISO 22301, Clusula 7.5
3. Clasificacin
2. Identificacin y seguridad
1. Creacin
4. Modificacin
9. Disposicin 5. Aprobacin
6. Distribucin
8. Archivado
7. Uso adecuado
Proceso de
anlisis de las
funciones del
negocio y del Proceso general
efecto que una Anlisis de
Evaluacin de identificacin,
interrupcin del Impacto en el
de riesgo Anlisis y
negocio podra Negocio
Evaluacin de
tener sobre riesgos
dichas funciones
Caso de estudio Taller ISO 22301 4
B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Aplicacin de las Medidas de Mitigacin y Proteccin
ISO 22301, Clusula 8.3.3
Desastre
Caso de estudio Taller ISO 22301 5
Medidas de mitigacin
Para cada riesgo identificado en el ejercicio anterior donde existe un impacto en la disponibilidad, proporcione las
especificaciones apropiadas (dando el nmero de la clusula de la especificacin) que permite reducir, transferir o evitar
los riesgos. Complete la matriz y est dispuesto a debatir las medidas de mitigacin que ha seleccionado.
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, clusula 8.4.1
La organizacin deber documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad
de las actividades y la gestin de un incidente perjudicial.
Generalidades
La organizacin deber
establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperacin
identificados en el anlisis
del impacto en el negocio
Plan(es) de Continuidad del Negocio
Contenido mnimo requerido por la ISO 22301
1. Finalidad y mbito de aplicacin
2. Objetivos
3. Criterios y procedimientos de activacin
4. Procedimientos y aplicacin
5. Las funciones, responsabilidades y autoridades
6. Requisitos y procedimientos de comunicacin
7. Las interdependencias e interacciones internas y externas
8. Recursos necesarios
9. Los procesos relativos al flujo de informacin y a la documentacin
Ejercicios y Pruebas
ISO 22301, Clusula 8.5
La organizacin
deber ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
Negocio
Escenarios de pruebas y ensayos
Mejores prcticas
6. Revisin de la gestin
y actualizacin de los planes de
continuidad del Monitoreo
3. Medicin de la eficacia de los
Negocio y de los y revisin
procedimientos
Procedimientos. del SGCN
La organizacin puede utilizar los procesos de SGCN como el liderazgo, la planificacin y la evaluacin del desempeo,
para lograr la mejora.
No Conformidad y Accin Correctiva
ISO 22301, Clusula 10.1
1.2. Comprensin
De la organizacin
Definicin del Enfoque de Aplicacin del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
3. Expectativas
y alcance
1. Velocidad de
implementacin
Enfoque Propuesto
Directrices
Se integra en el contexto de
las actividades comerciales
a travs de la organizacin 2. Enfoque de sistemas
La rpida
Implementacin del Directrices
SGCN respetando lo
Requisitos mnimos y
Cambiar a mejora
Continua a partir de
entonces
3. Enfoque Sistemtico
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Anlisis del
1.2 Comprensin Impacto al Negocio
de la organizacin (AIN) 3.1 Seguimiento,
4.1 No conformidades
medicin, anlisis y
1.3 Analizar el 2.2 Evaluacin y accin correctiva
evaluacin
sistema existente del negocio
2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditora interna
1.5 Liderazgo y
planificacin 2.4 Medidas de
Presentacin &
1.6 Poltica de CN Mitigacin
3.3 Revisin
2.5 plan y 4.2 Mejora continua
por la Direccin
1.7 Estructura procedimientos de la
de la organizacin continuidad del negocio
1.8 Informacin
2.6 Comunicacin
documentada
Planificar
Proyecto Hacer
Del
SGCN
Verificar
Actuar
Enfoque y Metodologa
Basados en las mejores prcticas
ISO 22301
ISO 27001
ISO 24762
Enfoque de Auditora basado en el Riesgo
Riesgos de Auditora
7.
1.
Materialidad y del Sistema de Gestin
Planificacin de la
auditora in situ
Etapa 2 de la
Validacin de la materialidad relativa a los
Auditora
riesgos de deteccin
(Auditora in situ)
Muestreo
Garanta Razonable
En una auditora de la ISO 22301, buscamos obtener una garanta razonable de que el sistema
de gestin en su conjunto est conforme y no para asegurar que cada uno de los controles
especficos es eficaz y se ajusta
Requisitos de la Documentacin
Definicin del SGCN
La ISO 22391 no establece una lista concreta de informacin documentada requerida
Como mnimo, el SGCN debera contener la siguiente documentacin:
1. mbito de aplicacin y objetivos del SGCN
2. Poltica de Continuidad del Negocio
3. Descripcin de los roles y responsabilidades
4. Evaluacin de Riesgos e informes del AIN
5. Plan de Continuidad del Negocio
6. Plan de comunicacin, concienciacin y capacitacin
7. Procedimientos de ejercicios y pruebas
8. Evaluacin, el revisin por la direccin y procedimientos de auditora
9. Acciones preventivas y correctivas
Verificacin de Documentos Estratgicos
Ejemplo:
El administrador de la red (Quin) asegura que se han completado las copias de seguridad (
Qu) mediante la revisin de los registros de copias de seguridad (Cmo) todas las maanas
(Cundo) . Tras la revisin, l llena y firma una lista de controles ( Dnde) que se guardan
para futura referencia (Por qu)
Comunicacin con la Direccin
Principales temas a ser tratados
1. Contexto de las actividades de negocio generales de la organizacin (4.1)
2. Comprensin de la necesidades y expectativas de las partes interesadas (4.2)
3. mbito de aplicacin del SGCN (4.3.2)
4. Compromiso de la direccin (5.2)
5. Poltica de continuidad del negocio (5.3)
6. Funciones organizativas, responsabilidades y autoridades (5.4)
7. Objetivos de continuidad del negocio y planes para conseguirlos (6.2)
8. Provisin de recursos (7.1)
9. Papel de la direccin en la comunicacin (7.4)
10. Aprobacin de la estrategia de continuidad del negocio (8.3)
11. Supervisin, medicin, anlisis y evaluacin (9.1)
12. Reportes de auditora interna (9.2)
13. Revisin por la direccin (9.3)
Recoleccin de Evidencia y Procedimientos de Anlisis
B. Revisin de
A. Observacin C. Entrevistas
documentos
Procedimientos
de recoleccin de
evidencia
Procedimientos de
anlisis de evidencia F. Corroboracin G. Evaluacin
Creacin de planes de Auditora
Recomendaciones generales
Lista de Verificacin de la Auditora
Ejemplos
En esta seccin, se presentan seis planes de auditora
Basndose en estos ejemplos, un auditor debera ser capaz de crear sus propios planes de
prueba de auditora mediante la combinacin de diferentes procedimientos de auditora
para reunir evidencias:
- Observacin
- Revisin documental
- Entrevista
- Verificacin tcnica
- Anlisis
La organizacin debe mantener y proporcionar los recursos necesarios para el establecimiento , la implantacin, el
mantenimiento y la mejora continua del SGCN
Observacin N/A, excepto para el auditor interno. Como observador, el auditor interno podra asistir a
una reunin donde se tratan el presupuesto y la previsin de recursos
Documentar El auditor puede evaluar y validar los documentos siguientes: caso de negocio de SGCN ,
un plan de proyecto, presupuesto anual , acta de la reunin de prestacin y la asignacin
de recursos
Entrevistar El auditor puede entrevistar al coordinador del SGCN y a un miembro de la direccin para
validar el proceso de asignacin de recursos al SGCN
Verificacin tcnica N/A
Anlisis Muestra de las actividades crticas ( como las pruebas y ejercicios) del SGCN y validar si la
asignacin de recursos es eficiente
Ejemplo 4: Competencia
ISO 22301, clusula 7.2
La organizacin se encargar de: a) determinar la competencia necesaria de la persona(s) bajo su control que realizan
su trabajo , el cual afecta a su rendimiento, b) asegurarse de que estas personas son competentes sobre la base de una
educacin apropiada , capacitacin y experiencia , c) en su caso, tomar medidas para adquirir la competencia necesaria
, y evaluar la eficacia de las medidas adoptadas , y d) conservar la informacin documentada como evidencia de su
competencia.
Observacin Observar a un miembro de la organizacin que lleva a cabo las actividades relacionadas
con el SGCN
Documentar El auditor puede evaluar y validar los siguiente documentos: polticas internas y
lineamientos ( sobre reclutamiento, capacitacin, gestin de RRHH, procedimiento de
evaluacin de empleados), registros ( hoja de vida de empleados, registro de capacitacin
, evaluacin anual, etc.)
Entrevistar El auditor puede entrevistar a un miembro del departamento de RRHH para comprender
y validar los procesos y procedimientos que garantizan que la organizacin tiene personal
competente: contratacin
Verificacin tcnica N/A
Anlisis Muestra de hoja de vida, registros de capacitacin, evaluacin anual, etc.
Ejemplo 5: Auditora Interna
ISO 22301, clusula 9.2 (extracto)
La organizacin debe llevar a cabo auditoras internas a intervalos planificados para proporcionar informacin acerca de
si el sistema de gestin de la continuidad del negocio a) se ajusta a 1) las necesidades propias de la organizacin para su
SGCN, 2) Los requisitos de esta norma internacional, y b) se aplica y es mantenido de forma efectiva
Observacin N/A
Documentar Grfico de auditora u otros documentos en los que se especifican las funciones y
responsabilidades de la auditora interna, archivos de empleado de los auditores internos,
la planificacin de las actividades de auditora interna, los procedimientos de auditora
interna, los informes de auditora interna, la documentacin de seguimiento de las
auditoras
Entrevistar Al auditor interno para revisar el programa de auditora interna y a un miembro de la
direccin para debatir el valor de la auditora interna de la organizacin
Verificacin tcnica N/A
Anlisis Revisar una muestra de papeles de trabajo de auditora y un informe de auditora interna
Ejemplo 6: Revisin por la Direccin
ISO 22301, clusula 9.3
La alta direccin debe revisar el SGCN de la organizacin a intervalos de tiempo planificados, para asegurarse que
continua siendo idneo , adecuado y eficaz
Observacin N/A , excepto para el auditor interno. Como observador, el auditor interno podra asistir a
una reunin de la direccin
Documentar Agenda la revisin por la direccin, minutas, informacin documentada enviada
previamente a la realizacin de la reunin, informe presentado, comunicacin de
seguimiento despus de la reuniones
Entrevistar Los miembro s del comit de gestin y del coordinador del SGCN
Verificacin tcnica N/A
Anlisis Revisar una muestra de papeles de trabajo de auditora y un informe de auditora interna
Hallazgos de Auditora
Tipos de hallazgos de auditora posibles
Observacin No No
Conformidad Situacin o Conformidad Conformidad
elemento Menor Mayor
Situacin en la observado
que se cumple durante la Situacin en la No
la conformidad auditora que que no se conformidad
con todos los puede estar cumpli con un
aspectos de un sujeto a la conformidad requisito o falla
requisito mejora con un aspecto total de su
continua de un requisito eficacia
aunque no
fuera de una
no
conformidad
Recomendacin de Certificacin
Al concluir la auditora, el auditor debe emitir una de las cuatro recomendaciones siguientes
relativas a la certificacin:
1. Recomendacin para la certificacin
2. Recomendacin para la certificacin con la condicin de la presentacin de planes de
acciones correctivas sin visita previa
3. Recomendacin para la certificacin con la condicin de la presentacin de planes de
acciones correctivas con visita previa
4. Recomendacin desfavorable
Discusin de las Conclusiones con la Direccin
Posibles reacciones
1. Aceptar las conclusiones 2. Hechos nuevos
2. Entregar hechos nuevos 3. Buscar soluciones
3. Buscar soluciones
4. Querer negociar las conclusiones
5. Negar los hechos y/o adoptar una actitud hostil
6. Buscar culpables ( para echar culpas)
Presentacin de los Planes de Accin por el Auditado
ISO 17021, clusula 9.1.11
La organizacin auditada debe describir:
1. Las no conformidades descubiertas y sus causas raz
2. Las acciones correctivas y preventivas tomadas, o que se planean tomar, para
eliminar las no conformidades detectadas, en un plazo definido
Causa raz: Falta de concienciacin sobre este requisito y normalmente no se toman unos minutos
para ello durante las reuniones
Plan de accin : Nombrar un secretario para cada reunin de revisin por la direccin, enviar minutas
a los participante luego de cada revisin por la direccin y guardar minutas de cada reunin como
registro
Evaluacin de los Planes de Accin por el Auditor
Directrices
El auditado debe informar al auditor del estado de finalizacin de las acciones
correctivas
El papel de auditor se limita a validar el anlisis de las causas, los planes de
accin y las medidas correctivas
No todas las medidas correctivas tienen que ponerse en prctica
inmediatamente