ISO 22301 - Resumen

Curso de Capacitacin
Seccin 1
Objetivos y estructura del curso

a. Informacin general
b. Objetivos del curso
Objetivos del Curso
Adquirir conocimientos

Comprender la operacin de un Sistema de Gestin de

Continuidad del Negocio basado en la ISO 22301 y sus
procesos principales

Comprender el objetivo, contenido y la correlacin entre la ISO

22301 y otras normas y marcos reglamentarios

Dominar los conceptos, enfoques, normas, mtodos y tcnicas

para la implementacin y la gestin eficaz de un SGCN
Objetivos del Curso
Desarrollo de capacidades

Interpretar los requisitos de la norma ISO 22301 en el contexto

especfico de una organizacin

Desarrollar los conocimientos necesarios para apoyar a una

organizacin en la planificacin, ejecucin, administracin,
supervisin y mantenimiento de un SGCN, segn lo especificado en
la norma ISO 22301

Adquirir los conocimientos necesarios para asesorar a una

organizacin en las mejores prcticas de continuidad del negocio

Fortalecer las cualidades personales necesarias para actuar con el

debido cuidado profesional cuando se realiza un proyecto de
cumplimiento
Enfoque Didctico
Los estudiantes en el centro
Capacitacin del Implementador Lder
Certificado en la norma ISO 22301
Seccin 2
Estndar y marco normativo
a. Qu es ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestin
d. Sistema de gestin integrado
e. Normas de Continuidad del Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
Qu es ISO?

ISO es una red de organismos nacionales de estandarizacin de ms de 160 pases

Los resultados finales de los trabajos realizados por ISO son publicados como normas
internacionales
Se han publicado ms de 19000 normas desde 1947
Principios Bsicos- Normas ISO

1. Representacin igualitaria: 1 voto por pas

Principios 2. Adhesin voluntaria: ISO no tiene autoridad para forzar la

adopcin de sus normas

Bsicos de 3. Orientacin del negocio: ISO slo desarrolla normas

para las que existe demanda del mercado
las Normas
4. Enfoque de consenso: busca un amplio consenso entre las
ISO distintas partes interesadas

5. Cooperacin internacional: ms de 160 pases adems de organismos de

enlace
Los Ocho Principios de Gestin de la ISO

Participacin de las Enfoque en los

Enfoque en el cliente Liderazgo
personas procesos

Relaciones
Enfoque basado en
Enfoque en el sistema mutuamente
Mejora continua hechos para la toma
para la gestin beneficiosas con el
de decisiones
proveedor
Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estar certificada

ISO 14001 OSHAS 18001 ISO 20000

ISO 9001 Salud y
Medio Servicios de
Calidad Ambiente Seguridad en TI
el trabajo

ISO 27001 ISO 28000

ISO 22000 ISO 22301
Seguridad de Seguridad de
Sanidad Continuidad la la Cadena de
Alimentaria del Negocio Informacin Suministro
Sistema de Gestin Integrado
Estructura tpica de las normas ISO
Requisitos ISO ISO ISO ISO ISO
9001:2008 14001:2004 20000:2011 22301:2012 27001:2005
Objetivos del 5.4.1 4.3.3 4.5.2 6.2 4.2.1
sistema de gestin
Poltica del 5.3 4.2 4.1.2 5.3 4.2.1
sistema de gestin
Compromiso de la 5.1 4.4.1 4.1 5.2 5
direccin
Requisitos de 4.2 4.4 4.3 7.5 4.3
documentacin
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisin por la 5.6 4.6 4.5.4.3 9.3 7
Direccin
ISO 22301

Especifica los requisitos de gestin de un SGCN

Los requisitos (clusulas) son escritos utilizando el INTERNATIONAL
STANDARD
ISO
22301
verbo debern en imperativo
Integrar el modelo PDCA (Plan, do , Check, Act)
Auditable
La organizacin puede ser certificada en esta _______________________________________________
Societal security-
norma Business continuity

Management Systems Requirements

_________________________________________________
ISO 22301
Contenido

Seccin 1 mbito de aplicacin

Seccin 2 Referencias normativas

Seccin 3 Trminos y definiciones

Seccin 4 Contexto de la organizacin

Seccin 5 Liderazgo

Seccin 6 Planificacin

Seccin 7 Apoyo

Seccin 8 Funcionamiento

Seccin 9 Evaluacin del desempeo

Seccin 10 Mejora
ISO 22313
Gua para el cdigo de buenas prcticas INTERNATIONAL
STANDARD
ISO
22313
para implementar, mejorar un Sistema de
Gestin de la Continuidad de los Negocios
(Documento de referencia).
Clusula escrita utilizando el verbo _______________________________________________
debera a fin de proporcionar orientacin Societal security-Business continuit
en materia de aplicacin. Management Systems Gidance

La organizacin no puede ser certificada en

esta norma

_________________________________________________
Historia de la norma ISO 22301
1988-2013

2013

2012

2007 ISO publica la

primera versin
de la norma ISO
2006 ISO public 22313
la primera
versin de
la norma
2003 Publicac
ISO 22301
in de la
norma
2002 Publicacin BS
de la 25999-2
norma BS
1984 25999-1
Publicacin de
PAS 56
BCI publica
1988 Guas de
Buenas
Creacin del Prcticas de la
Business GCN
Continuity
Institute
Creacin del DRI (BCI) en el
Internacional conocido Reino Unido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperacin ante
Desastres)en los EEUU
Otras normas sobre continuidad del Negocio
Ejemplos
El contenido y la Relacin entre ISO
ISO 27001, A.14: Gestin de Continuidad del Negocio
A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los
efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna
Incluir seguridad de l
A.14.1.1 Informacin en el proceso de
Gestin de la continuidad
del negocio
A.14.1.2 Continuidad del negocio y
evaluacin del riesgo
A.14.1.3 Desarrollo e implementar
Planes de continuidad
Incluyendo seguridad de la
informacin
A.14.1.4 Marco referencial para la
Planeacin de la continuidad
Del negocio
A.14.4.5 Prueba mantenimiento y re-
Evaluacin de planes de
continuidad
De negocio
ISO 22301
Requisitos
Control
Se debe desarrollar y mantener un proceso gerencial para la continuidad del
negocio a travs de toda la organizacin para tratar los requerimientos de Continuidad del negocio
seguridad de la informacin necesarios para la continuidad comercial de la 4.4 sistema de gestin
organizacin.
Control
8.2 AIN y la Evaluacin de
Se deben identificar los eventos que causan interrupciones en los procesos de los riesgo
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la informacin.
Control
8.4 Procedimientos de la
Se deben desarrollar e implementar planes para mantener o restaurar las
continuidad del negocio
operaciones y asegurar la disponibilidad de la informacin en el nivel requerido
y en las escalas de tiempo requeridas despus de la interrupcin o falta en los
procesos de negocios crticos.
Control
6 Planificacin del SGCN
Se debe mantener un solo marco referencial del plan de continuidad de negocio
para asegurar que todos los planes sean consistentes y para tratar
consistentemente los requerimientos de la seguridad de la informacin e
identificar las prioridades de pruebas y mantenimiento.
Control 8.5 Ejercicio y pruebas
Los planes de continuidad de negocio se deben probar y actualizar regularmente
para asegurar que estn actualizados y sean efectivos.
Continuidad del Negocio
Ventajas

Previsible y Mantenimiento de Mejor

Proteccin de las actividades
eficaz respuesta esenciales de la
comprensin de
las personas
a las crisis organizacin la organizacin

Respeto de las Proteccin dela

Reduccin de Confianza de
partes reputacin y la
costos: los clientes
interesadas marca

El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Caso de estudio Taller ISO 22301 - 1

Mitos y Realidades- Continuidad del Negocio

En cada una de las siguientes afirmaciones, determine si cree que son verdaderas o falsas y justifique su respuesta:
1. Se trata de catstrofes naturales
2. Tenemos un plan, por lo que estamos preparados
3. Cualquier desastre ser un acontecimiento singular
4. Hemos probado nuestro plan, por lo que estamos bien.
5. Los planes de continuidad del negocio son responsabilidad de TI (Tecnologa de la Informacin)
6. No es necesario un plan de continuidad del negocio porque su personal estar siempre presente, y usted puede
contar con que ellos harn lo correcto.
7. Los planes de continuidad del negocio son los mismos planes de recuperacin de desastres.
8. Un plan de recuperacin cumple con todos los requisitos del escenario.
9. Una distancia ms larga significa una mejor proteccin contra desastres.
10.Los usuarios de TI y del negocio tienen los mismos intereses en la Continuidad del Negocio y Recuperacin ante
Desastres.
Caso de estudio Taller ISO 22301 2

Razones para adoptar la ISO 22301

Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN
Por favor, lea las siguientes partes del estudio de caso dado para este curso:
Historia de la empresa comercial
Organizacin de la empresa comercial
Utilizando esta informacin, determine y explique las tres ventajas ms importantes de implementar en la norma ISO
22301 en esta organizacin y cmo la organizacin puede medir estas ventajas a travs de indicadores.
Ventaja 1:
Cmo puede la organizacin medir esta ventaja?
Ventaja 2:
Cmo puede la organizacin medir esta ventaja?
Ventaja 3:
Cmo puede la organizacin medir esta ventaja?
Capacitacin Implementador Lder
Certificado en la norma ISO 22301
Seccin 3
Principios Fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperacin de desastres

b. Evento: de un incidente a una emergencia

c. Organizacin y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia
Continuidad del Negocio y Recuperacin ante Desastres
Diferencias
Continuidad del Negocio
Asegurar que el negocio
Pueda continuar durante
Una emergencia
Los Objetivos son:
En primer lugar, el capital
Humano de la empresa
Entrega de productos o
prestacin de servicios a los
clientes de la empresa
Funciones crticas dl negocio
en la empresa
Recuperacin ante
desastres
Recuperar la tecnologa Lo
ms rpidamente posible.
Se incluyen:
Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Crticas de la empresa
Un plan de recuperacin ante
desastres (DRP) tambin
incluye la elaboracin de planes
para
hacer frente a la inesperada
o repentina prdida de personal
clave
En u PCN, es uno de los
aspectos del plan
 GESTIN DE RIESGO

GESTIN ANTE
UNA EMERGENCIA

RECUPERACIN DE TI
ANTE DESASTRE

ADMINISTRACIN DE
LAS INSTALACIONES

GESTIN DE LA CADENA DE
SUMINISTRO

GESTIN DE CALIDAD

GESTIN DEL MEDIO

AMBIENTE

SALUD Y SEGURIDAD
Est en relacin con:

GESTIN DE CRISIS

RECURSOS HUMANOS
La Gestin de Continuidad del Negocio

SEGURIDAD

COMUNICACIONES &
Participacin de todos los elementos de la organizacin

RRPP
Evento: de un Incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399

Evento
Ocurrencia de un conjunto particular de circunstancias.
(ISO 22301, 3.17)

Interrupcin Evento que pudiera constituir o pudiera redundar en una interrupcin

(ISO 22399. 3.4 del negocio, en una prdida, emergencia o crisis.

Incidente, ya sea previsto (p. ej., un huracn) o imprevisto (por naturales,

Incidente
que requieren de atencin urgente y de medidas para proteger la vida,
(ISO 22301, 3.19)
los bienes o el medio ambiente.

Cualquier incidente(s), causado por los humanos o causas naturales,

Crisis
que requieren de atencin urgente y de medidas para proteger la vida,
(USO 22399, 3.3)
los bienes o el medio ambiente.

Situacin en la que se han producido amplias prdidas humanas,

Desastre materiales, econmicas o ambientales que superaron la capacidad de la
(ISO 22300, 2. organizacin, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.

Emergencia (ISO Suceso o evento repentino, urgente, generalmente inesperado que

22399, 3.6) requiere accin inmediata.
Organizacin y Actividades
ISO 22301, Clusula 3.1, 3.33 y 3.42

Organizacin (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.

Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organizacin (o en su nombre) que producen o
dan apoyo a uno o ms productos y servicios.

Actividades Prioritarias (3.42)

Las actividades a las que deben darse prioridad

tras un incidente con el fin de mitigar los impactos.
Proceso
ISO 22301, clusula 3.40

Conjunto de actividades mutuamente relacionadas o que interactan, que

transforman elementos de entrada en resultados.

Entrada Actividades Salida

Recursos
ISO 22301, clusula 3.47

Recursos
Todos los archivos, personal, Las Personas
habilidades, informacin,
tecnologa (incluyendo maqui-
naria y equipos), locales, y
suministros e informacin (ya
sea electrnica o no) que una Activos Informacin
organizacin debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos. Locales Tecnologas Suministros
Actividades Crticas y Recursos
BIA
Enfoque de un AIN

Identificar y analizar aquellas actividades que tienen que llevarse a cabo

para entregar los productos y servicios principales que permiten a una
organizacin alcanzar sus objetivos ms importantes y sensibles, en un
plazo de tiempo determinado.
Evaluar los recursos, como las personas, los locales, la tecnologa, la
informacin, los suministros y las partes interesadas que estn
soportando las actividades crticas.
Riesgo ES TODO LO QUE ME AYUDA A MEJORAR, O PERDER VALOR, DEPENDIENDO DE COMO LO ANALICE LA GESTION AL RIESGO, ES MATE

ISO 22301

Riesgo (3.48)

Efecto de incertidumbre sobre los objetivos

Apetito por el riesgo (3,49)

Cantidad de riesgo que una organizacin est

Dispuesta a conseguir o conservar

Evaluacin de Riesgo (3.50)

Proceso general de identificacin, anlisis y

Evaluacin de riesgos.

Gestin del riesgo (3.51)

Actividades coordinadas para dirigir y controlar

Una organizacin con respecto al riesgo
Probabilidad, Consecuencia e Impacto
ISO 22399

Probabilidad (3.28)

Grado al que es probable que se produzca

un evento

Consecuencia (3.2)

Resultado de un evento

Impacto (3.10)
Consecuencia evaluada de un resultado en
particular
Parte interesada (interesados)
ISO 22301, clusula 3.21
Persona u organizacin que puede afectar, pueden verse afectados por, o se consideran afectados por una decisin o
actividad

Instituciones Proveedores Clientes Grupos

financieras Interesados

Consejo de Equipo de
Administracin Gestin

Organizacin

Empleados Sindicatos

Regulador Medios Pblico Accionistas

Resiliencia
ISO 22300, clusula 2.1.17

Resilencia

Capacidad de adaptacin
de una organizacin en un ambiente
complejo y cambiante
Objetivos de Recuperacin
ISO 22301, clsula 3.25, 3.26, 3.28 , 3.44 , -45

Objetivo de tiempo de Recuperacin

Punto de recuperacin de datos (PRD)
(OTR)

Punto a partir del cual debe ser Periodo de tiempo despus de un

posible recuperar la informacin incidente en el que: el producto o
utilizada por una actividad, para que servicio deben reanudarse; o la
esta pueda funcionar tras una actividad debe reanudarse; o los
interrupcin. recursos deben ser recuperados.

Tiempo mximo aceptable de Objetivo Mnimo de Continuidad del

Interrupcin (TMAI) Negocio (OMCN)

Tiempo necesario para que los

Nivel mnimo de servicios y/o
impactos desfavorables que pudiesen
productos que es aceptable por la
surgir como consecuencia de no
organizacin para conseguir sus
suministrar un producto/servicio o de
objetivos de negocio durante una
no realizar una actividad, se
interrupcin.
transformen en inaceptables.
PRD Y OTR
Ejemplo
RPO
RTO

Punto de Recuperacin de Objetivo de Tiempo de

datos Recuperacin
(Mxima prdida de datos aceptable El tiempo mximo aceptable sin
actividad

Desastre
Desastre

Tiempo
0:00 Muy
Copia de Copia de Sistema Crtico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Das) (24 H)
Sistema de Alta Disponibilidad
Cinco 9s (99,999 por ciento) de disponibilidad

En tecnologa de la informacin y de las comunicaciones, alta

disponibilidad se refiere a los sistemas o componentes que estn
continuamente operativos durante un esperable largo periodo de
tiempo con un RTO cercano a 0
La disponibilidad se puede medir con respecto a 100 %
operacional o nunca falla
Hay un estndar de disponibilidad de un sistema o producto
ampliamente sostenido pero difcil de alcanzar que se conoce como
cinco 9s (99,999 por ciento) de disponibilidad
Criticidad de los Sistemas y el RTO / RPO
Ejemplo

Criticidad Clase del sistema Ventana de operacin RTO/RPO

0 A0 24H / 7d Max. 1 hora / Sin prdida de datos
B0 8H/ 5d Max. 1 hora / Sin prdida de datos
1 A1 24H / 7d Max. 2 horas / Sin prdida de datos
B1 8H/ 5d Max. 2 horas/ Sin prdida de datos
2 A1 24H / 7d Max. 4 horas / Sin prdida de datos
B1 8H/ 5d Max. 4 horas/ Sin prdida de datos
3 A1 24H / 7d Max. 1 Da / Sin prdida de datos
B1 8H/ 5d Max. 1 Da / Sin prdida de datos
4 A1 24H / 7d Max. 1 Da / 4 horas
B1 8H/ 5d Max. 1 Da / 4 horas
5 A1 24H / 7d Max. 1 Semana / 1 Da
B1 8H/ 5d Max. 1 Semana / 1 Da
6 A1 24H / 7d Max. 2 Semanas / 1 Semana
B1 8H/ 5d Max. 2 Semanas / 1 Semana
Tiempo Mximo aceptable de Interrupcin (TMAI)
Ejemplo

3H 24H 72 H (30 das)

Desastre

Critico Importante Deseable

Muy
importante

Tiempo Mximo Aceptable de Interrupcin

Resumen de los Objetivos de Recuperacin

Punto de Objetivo de Tiempo mximo

Recuperacin de datos Tiempo de aceptable de interrupcin
(PRD) Recuperacin (TMAI)
(RTO)

Plan de proteccin y de Plan de respuestas a

Medidas de mitigacin incidentes

Plan de capacitacin y
Plan de recuperacin
concienciacin

Desastre Plan de restauracin

Nivel de
servicio
100%
normal

40%
Objetivo Mnimo de Continuidad
del Negocio (MBCO) Horas Da Semana Mes Tiempo
0%

ltima copia de seguridad Llegar al punto de los Volver a la

Servicios mnimos a Normalidad
recuperar
Caso de estudio Taller ISO 22301 3

Actividades Crticas y Recursos

Complete las tablas siguientes para el Banco Central por Internet
NOTA: Limtese a tres lneas de la tabla si hay ms entradas posibles
Tabla: Actividades crticas identificadas
Actividad Crtica Recursos Relacionados

Tabla: Registros Crticos de la Empresa identificados

Nombres de registro Se convierte en crtico Cuando se requiere
Caso de estudio Taller ISO 22301 3

Tabla: Registros Crticos de la Empresa identificados

Nombres de registro Se convierte en crtico Cuando se requiere

Capacitacin del Implementador Lder
Certificado en la norma ISO 22301
Seccin 4
Sistema de Gestin de la Continuidad del Negocio (SGCN)

a. Definicin de un SGCN
b. Enfoque en los procesos
c. Visin general Clusulas 4 a 10
d. Los componentes claves de un SGCN
Qu es la continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratgico y tctico de ajuste a los objetivos que:

Mejora la organizacin pro activa de resistencia contra la interrupcin de su

1 capacidad de lograr sus objetivos clave

Proporciona un mtodo ensayado para restaurar la capacidad de una organizacin para

2 garantizar el suministro de sus productos y servicios clave despus de una interrupcin

Proporciona una capacidad demostrada para gestionar una interrupcin del

3 negocio y proteger la reputacin de la organizacin y de la marca
Gestin de Continuidad del Negocio
ISO 22301, Clusula 3.4:

Proceso de gestin holstico que identifica amenazas potenciales para la organizacin as como el impacto en las
operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un
marco para aumentar la capacidad de resistencia o resilencia de la organizacin para dar respuesta eficaz que
salvaguarde los intereses de sus principales partes interesadas, la reputacin, la marca y las actividades de creacin
de valor

Nota: El sistema de gestin incluye la estructura, las polticas, las

actividades de planificacin, las responsabilidades,
Las prcticas, los procedimientos,
Los procesos y los recursos de la organizacin
Los componentes clave de un SGCN
ISO 22301, Introduccin
Un SGCN, a igual que cualquier otro sistema de gestin, tiene los siguientes Componentes fundamentales :

1. Una poltica
2. Personas con responsabilidades definidas;
3. Procesos de gestin asociados con:
- Poltica
- Planificacin
- Implementacin y operacin
- Evaluacin del rendimiento
- Revisin por la Direccin
- Mejora
4. Documentacin que provea pruebas auditables
5. Cualquier proceso de gestin de la continuidad del negocio pertinente a la organizacin
El ciclo Planificar- Hacer- Verificar- Actuar
ISO 22301, Introduccin

Planificar Partes
Partes
Interesadas Interesadas
Establecer
un
SGCN
Actuar
Hacer
Mantener y
Mejorar el Implementar
Requerimientos
SGCN El SGCN
expectativas Supervisar y
de la Continuidad del
Revisar el Negocio
Continuidad del SGCN
Negocio Gestionada
Verificar
Metodologa de Implementacin Integrada para los Sistemas de Gestin
y las Normas (IMS2)

1. Planificar
2. Hacer 3. Verificar 4. Actuar

2.1 Estrategia del CN

( Continuidad del Negocio)
1.1. Iniciando del
SGCN 2.2 Estructura de la
organizacin 3.1 Seguimiento,
4.1 Tratamiento de No
1.2 Comprensin medicin, anlisis y
conformidades
de la organizacin evaluacin
2.3 Gestin de Documentos
1.3 Analizar el
sistema existente

1.4 Liderazgo y 2.4 Medidas de

Presentacin & Mitigacin 3.2 Auditoria Interna
aprobacin del proyecto

1.5 mbito de
2.5 plan de la continuidad del
aplicacin
negocio & Procedimientos
4.2 Mejora continua
1.6 Poltica de CN 3.3 Revisin
2.6 Comunicacin por la Direccin
1.7 Anlisis del
impacto en el negocio 2.7 Capacitacin,
Concienciacin
1.8 Evaluacin del
riesgo
2.8 Ejercicio y pruebas
Requisitos generales
ISO 22301
En resumen
La organizacin deber establecer, implementar, mantener y mejorar un SGCN en conformidad con las necesidades y los
requisitos de las partes interesadas

1.Conocimiento 2. Determinar
3. Implementar y
de la las
organizacin Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organizacin
ISO 22301, Clusula 4

Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones,

Conocimiento de la cadenas de suministro, las relaciones con las partes interesadas.
Organizacin y su Los vnculos entre la poltica de continuidad del negocio y los objetivos de la
entorno organizacin y otras polticas
El apetito de la organizacin por el riesgo

Comprensin de las Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y Los requisitos de estas partes interesadas
Expectativas de las Requisitos jurdicos y normativos
Partes interesadas

La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su alcance
Determinar el
Alcance del SGCN A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones internas y
externas y los requisitos
Leyes y Reglamentos
Los cuatro sectores de la industria mas afectados:

Requiere plan de copia de

seguridad de datos, plan de Hace hincapi principalmente en la seguridad de
Asistencia

Gobierno
sanitaria

recuperacin ante desastres y un los datos ms que en CN y RD

plan de operacin en el modo de
emergencia Una necesidad importante que se debe abordar
es la necesidad que el gobierno esta abierto y en
Requisitos para los registros funciones durante la crisis
electrnicos

Requiere que los bancos tengan Requiere un PCN para garantizar

planes de CN y RD para garantizar que la contina misin de la

Utilidades
Finanzas

el funcionamiento continuo y con el agencia durante una crisis

fin de limitar las prdidas
Se requieren planes de restauracin
Requiere que los planes de de emergencia como condicin
Continuidad del Negocio (PCN) se para servicios continuados
actualicen y prueben para
incorporar los riesgos detectados
mbito de aplicacin del SGCN
ISO 22301, Clusula 4.3.2
El documento de definicin del mbito de aplicacin debera incluir:

1.Las principales caractersticas de la organizacin

2.Los procesos de negocios cubiertos por el SGCN

3.La lista de productos y servicios y todas las actividades relacionadas en el mbito de aplicacin del
SGCN

4.La lista de los principales sistemas de Informacin.

5.La lista de ubicaciones geogrficas

6.Los detalles y motivos para las exclusiones

Liderazgo y Compromiso de la Direccin
ISO 22301, Clusula 5.1 y 5.2

Orientacin estratgica

Asegurarse de que el SGCN es compatible con la

orientacin estratgica de la organizacin
Integrar los requisitos del SGCN en los procesos de
negocio de una organizacin

Hacer que los recursos estn

disponibles

La Direccin deber determinar y proporcionar los

Recursos necesarios para el SGCN

Comunicacin

Direccin deber comunicar la importancia de una

buena Gestin de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Poltica y Continuidad del Negocio
ISO 22301, clusula 5.3
La alta direccin debe establecer una poltica de continuidad del negocio que:
- Sea apropiada para los fines de la organizacin
- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:

- Estar disponible como informacin documentada
- Ser comunicada dentro de la organizacin
- Ser comunicada dentro de todas las partes interesadas, segn corresponda
- Ser revisada para su adecuacin continuada a intervalos definidos y cuando se reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades
ISO 22301, Clusula 5.4
La alta direccin deber asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean
asignadas y comunicadas dentro de la organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para:

- Garantizar que el sistema de gestin se ejecuta en conformidad con los requisitos de la norma ISO 22301.
- Informar sobre la eficacia de la gestin a la alta direccin.
Los objetivos y los Planes para alcanzarlos
ISO 22301, Clusula 6.2

La alta direccin deber asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados
para las funciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern:
a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que sea aceptable para la organizacin para alcanzar
sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados segn proceda
Opciones de Estrategia de Continuidad del Negocio
Las estrategias de CN disponibles y el OTR que cumplen

X Sitio
espejo

C
O IX Sitio
S E caliente
T S
O T VIII
R Traslado a
A otros
T centros de
D
E grupo
E
G VII Trabajo
I a distancia
L A
A
VI Sitio
Tibio

V Acuerdo Ninguna
reciproco II Estrategia
IV Sitio
III Sitio fro Reconstruccin
mvil y restauracin

TIEMPO DE RECUPERACIN
Apoyo
ISO 22301, clusula 7:

La organizacin Las personas que realizan El SGCN de la

deber determinar y Trabajo en el marco del Organizacin deber
proporcionar los Control de a organizacin Incluir informacin
recurso necesarios Debern ser conscientes Documentada requerida
para el SGCN De la poltica de la CN, Por la ISO 22301 y
Sus funciones en el SGCN Registros para
Y los requisitos para la demostrar
organizacin La eficacia del SGCN

Recursos Competencia Sensibilizacin Comunicacin Documentacin

La organizacin
Deber asegurar
Tener personas La organizacin deber
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicacin con
relacionadas con las partes interesadas
el SGCN internas y externas
Informacin documentada
ISO 22301, Clusula 7.5

3. Clasificacin
2. Identificacin y seguridad

1. Creacin
4. Modificacin

9. Disposicin 5. Aprobacin

6. Distribucin
8. Archivado

7. Uso adecuado

Debe establecerse un procedimiento para gestionar el ciclo de vida de la documentacin

Anlisis del Impacto en el Negocio y Evaluacin de los Riesgos
ISO 22301, Clusula 3.8, 3.50 y 8.2

Proceso de
anlisis de las
funciones del
negocio y del Proceso general
efecto que una Anlisis de
Evaluacin de identificacin,
interrupcin del Impacto en el
de riesgo Anlisis y
negocio podra Negocio
Evaluacin de
tener sobre riesgos
dichas funciones
Caso de estudio Taller ISO 22301 4

Apreciacin del Riesgo

Determine las amenazas y vulnerabilidades asociadas a las siguientes situaciones e indique los posibles impactos.
Indique tambin si los riesgos afectaran la disponibilidad, integridad y/o confidencialidad
Complete la matriz de riesgos (ver la prxima pgina):
Emmanuel Rikir , el administrador senior de bases de datos, tuvo un accidente de esqu que requiere ciruga mayor que
lo mantendr alejado de su trabajo de 6 a 8 semanas.
El proveedor de Telecom que gestiona la lnea arrendada entre las dos oficinas requiere urgente mantenimiento (una
ventana de intervencin de 4 horas), despus que se detectaron algunas inconsistencias. La sincronizacin entre los dos
SAN depende de la copia de la lnea de SDSL (2Mbps)
Una reunin cumbre europea enfrenta fuertes manifestaciones que afectan el acceso de peatones y trfico al distrito
financiero.
El sistema de aire acondicionado de la sala de servidores en la oficina paralela se averi. La temperatura podra llegar a
su umbral de alerta dentro de un par de horas y desencadenar un apagado ordenado de todos los servidores.
Estrategia de Continuidad del Negocio
ISO 22301, clusula 8.3
La organizacin deber determinar las opciones apropiadas de continuidad para:

A) Proteger las actividades

prioritarias

B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Aplicacin de las Medidas de Mitigacin y Proteccin
ISO 22301, Clusula 8.3.3

Medidas Medidas de Medidas

Preventivas Deteccin Correctivas

Desastre
Caso de estudio Taller ISO 22301 5

Medidas de mitigacin
Para cada riesgo identificado en el ejercicio anterior donde existe un impacto en la disponibilidad, proporcione las
especificaciones apropiadas (dando el nmero de la clusula de la especificacin) que permite reducir, transferir o evitar
los riesgos. Complete la matriz y est dispuesto a debatir las medidas de mitigacin que ha seleccionado.
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, clusula 8.4.1
La organizacin deber documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad
de las actividades y la gestin de un incidente perjudicial.

Generalidades

La organizacin deber
establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperacin
identificados en el anlisis
del impacto en el negocio
Plan(es) de Continuidad del Negocio
Contenido mnimo requerido por la ISO 22301
1. Finalidad y mbito de aplicacin
2. Objetivos
3. Criterios y procedimientos de activacin
4. Procedimientos y aplicacin
5. Las funciones, responsabilidades y autoridades
6. Requisitos y procedimientos de comunicacin
7. Las interdependencias e interacciones internas y externas
8. Recursos necesarios
9. Los procesos relativos al flujo de informacin y a la documentacin
Ejercicios y Pruebas
ISO 22301, Clusula 8.5

La organizacin
deber ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
Negocio
Escenarios de pruebas y ensayos
Mejores prcticas

Tipo de ejercicio Qu es? Beneficio Desventajas

Distribuye planes para su Asegura que el plan aborda

Lista de control No aborda la eficacia
revisin todas las actividades

Asegurar que las actividades Asegurar que las actividades

Tutorial Examina detenidamente
Previstas se describen con Previstas se describen con
estructurado Cada paso del PCN exactitud en el PCN exactitud en el PCN

Escenario para representar

Simulacin Procedimientos de Sesin de prctica Sesin de prctica
recuperacin

Prueba completa, pero las Garantizar un alto nivel de

Caro, ya que todo el personal
Paralelo Operaciones no se Fiabilidad sin interrumpir las
esta involucrado
detienen Operaciones normales

El desastre se replica al punto

Interrupcin
de que cesen las Prueba ms fiable del PCN Arriesgada
total Operaciones normales
Evaluacin del desempeo
ISO 22301, Clusula 9

1. Revisin del ejercicio y la prueba de

2. Revisin peridica de la eficacia del SGCN
los procedimientos de continuidad,
teniendo en cuenta las proposiciones y
despus de los informes sobre
sugerencias de los interesados.
incidentes.

6. Revisin de la gestin
y actualizacin de los planes de
continuidad del Monitoreo
3. Medicin de la eficacia de los
Negocio y de los y revisin
procedimientos
Procedimientos. del SGCN

5. Realizacin de las auditorias

4. Revisin de las evaluaciones
internas.
De riesgo y del AIN.

Nota: Cada una de estas acciones debe ser documentada y registrada

Revisin por la Direccin de SGCN
ISO 22301, Clusula 9.3
Elementos de Entrada de la revisin
por la direccin
1. Los resultados de auditoras del SGCN y sus
revisiones
2. Las tcnicas productos o procedimientos que
podran utilizarse en la organizacin para
mejorar el SGCN
3. Estado de las acciones preventivas y
correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas no
abordadas adecuadamente en la apreciacin
del riesgo anterior
6. Los resultados de las mediciones de la
eficiencia
7. Las acciones de seguimiento de revisiones por
la Direccin anteriores
8. Los cambios que podran afectar el SGCN
9. Adecuacin de la poltica
10. Recomendaciones para la mejora
11. Las enseanzas derivadas de incidentes
12. Buenas prcticas y guas emergentes
Elementos de salida de la revisin por la
direccin
1. Variaciones al mbito de aplicacin del SGCN
2. Mejora de la efectividad del SGCN
3. Actualizacin de la apreciacin del riesgo, anlisis de
impacto y preparacin ante incidentes y
procedimientos de respuesta
4. Modificacin de los procedimientos y controles que
afectan los riesgos, incluidos los cambios en:
Requisitos empresariales y de funcionamiento
Reduccin de riesgos y requisitos de seguridad
Procesos de las condiciones de
funcionamiento del negocio que inciden en los
requisitos operativos existentes
Requisitos del marco normativo, jurdico y/o
contractuales
Los niveles de riesgo y /o criterios para la
aceptacin de riesgos
Las necesidades de recursos y los requisitos
presupuestarios
Mejoramiento a la forma de cmo se est
midiendo la eficacia de los controles
Mejora
ISO 22301, Clusula 10

La organizacin deber mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.

La organizacin puede utilizar los procesos de SGCN como el liderazgo, la planificacin y la evaluacin del desempeo,
para lograr la mejora.
No Conformidad y Accin Correctiva
ISO 22301, Clusula 10.1

Mejora Continua Revisin y seguimiento de acciones

tomadas

Accin correctiva Implementacin de soluciones y registros de las

medidas tomadas

Anlisis situacional Anlisis de las Evaluacin de Seleccin de

causas raz las opciones soluciones

Identificacin de la Identificacin y documentacin de la no

no conformidad conformidad
Iniciando la Implementacin del SGCN
Lista de actividades

Intencin de 1.1.1 Definicin 1.1.2. Seleccin de 1.1.3. Alineacin

Implementar del enfoque para un marco Con las mejores
un SGCN la implementacin metodolgico Prcticas

1.2. Comprensin
De la organizacin
Definicin del Enfoque de Aplicacin del SGCN
Posibles Enfoques

2. Nivel de madurez de
los Procesos en uso

3. Expectativas
y alcance

1. Velocidad de
implementacin
Enfoque Propuesto
Directrices

1. Enfoque del negocio

Se integra en el contexto de
las actividades comerciales
a travs de la organizacin 2. Enfoque de sistemas

La aplicacin general del

proceso de SGCN, no
5. Mtodo iterativo mediante al aislamiento de
los procesos

La rpida
Implementacin del Directrices
SGCN respetando lo
Requisitos mnimos y
Cambiar a mejora
Continua a partir de
entonces

3. Enfoque Sistemtico

Aplicar las mejores

4. Enfoque Integrado prcticas en gestin de
proyectos
Integracin del SGCN o armonizarlo
con los dems requisitos de la
organizacin
Las Directrices de Aplicacin
Recomendaciones
1. Evitar la integracin de nuevas tecnologas
2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organizacin
5. Obtener el apoyo de la Direccin
6. Identificar y formalmente nombrar a un Director del proyecto del SGCN
Elegir un Marco Metodologico para Gestionar el Proyecto de
Implementacin del SGCN

1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Anlisis del
1.2 Comprensin Impacto al Negocio
de la organizacin (AIN) 3.1 Seguimiento,
4.1 No conformidades
medicin, anlisis y
1.3 Analizar el 2.2 Evaluacin y accin correctiva
evaluacin
sistema existente del negocio

2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditora interna
1.5 Liderazgo y
planificacin 2.4 Medidas de
Presentacin &
1.6 Poltica de CN Mitigacin
3.3 Revisin
2.5 plan y 4.2 Mejora continua
por la Direccin
1.7 Estructura procedimientos de la
de la organizacin continuidad del negocio

1.8 Informacin
2.6 Comunicacin
documentada

1.9 Competencia & 2.7 Ejercicio y

sensibilizacin pruebas
Metodologa de Implementacin Integrada para los sistemas de Gestin
y las Normas ( IMS2)
Metodologa de PECB para la aplicacin del SGCN
4 FASES 21 Pasos 101 actividades

Planificar

Proyecto Hacer
Del
SGCN

Verificar

Actuar
Enfoque y Metodologa
Basados en las mejores prcticas
ISO 10006
Directrices para la gestin de
calidad en proyectos
PMBOK 22313
Conjunto de Conocimientos Orientacin para la
de la gestin de Proyectos Implementacin del
(PMBOK en idioma ingls sistema
de gestin de
Continuidad del Negocio
Alineacin con las Mejores Prcticas
Uso de las normas ISO

ISO 22301

ISO 27031 ISO 22313

ISO 27001
ISO 24762
Enfoque de Auditora basado en el Riesgo
Riesgos de Auditora

Riesgo de que el auditor no sepa detectar un

3. Riesgo defecto importante durante una auditoria
de
Deteccin

2. Riesgo de Riesgo de que un defecto importante no

Control pueda ser prevenido ni detectado por un
control interno de la organizacin

Riesgo de que un defecto importante surja en el

1. Riesgo Inherente sistema de gestin sin tener en cuenta los
procesos y controles instalados ( riesgo
relacionado con el sector industrial)
Materialidad
Definicin
Para limitar los riesgos de una auditora y obtener garanta razonable, el auditor debe
poner el nfasis en los procesos y de los sistemas considerados materiales (sinnimo:
critico)

Una informacin se considera material si su omisin o declaracin falsa puede influir en

las decisiones de las partes interesadas sobre la base de las declaraciones de la
organizacin auditada
 Determinar la Materialidad de un Sistema o un Proceso
Factores a considerar

4. 1. Criticidad de los procesos

5. 3. 2. Coste del sistema

3. Coste de las operaciones

4. Costo potencial de los errores

6. 2.
Materialidad 5. Nmero de consultas o transacciones

6. Acuerdo del nivel de servicio

7. Sanciones por no conformidad

7.
1.
Materialidad y del Sistema de Gestin

Al evaluar la materialidad un auditor

debera considerar:
1. El nivel de error global aceptable Evaluar que lo que es material es
para la direccin, para el auditor y una cuestin de juicio profesional
para el organismo de certificacin
2. La posibilidad de que pequeos El auditor debe considerar el efecto
errores o debilidades se tomen global en la organizacin
materiales por acumulacin
Materialidad y Planificacin de una Auditora

Validacin de la materialidad relativa a los

Reunin Inicial
riesgos inherentes
Duracin de la
Auditora

Etapa 1 de la Validacin de la materialidad relativa a los

Auditora riesgos de control

Planificacin de la
auditora in situ

Etapa 2 de la
Validacin de la materialidad relativa a los
Auditora
riesgos de deteccin
(Auditora in situ)

Muestreo
Garanta Razonable

El auditor busca obtener garanta razonable de que el sistema de gestin auditado

est exento de representacin de material errnea y de no conformidades
Un auditor no puede obtener garanta absoluta

En una auditora de la ISO 22301, buscamos obtener una garanta razonable de que el sistema
de gestin en su conjunto est conforme y no para asegurar que cada uno de los controles
especficos es eficaz y se ajusta
Requisitos de la Documentacin
Definicin del SGCN
La ISO 22391 no establece una lista concreta de informacin documentada requerida
Como mnimo, el SGCN debera contener la siguiente documentacin:
1. mbito de aplicacin y objetivos del SGCN
2. Poltica de Continuidad del Negocio
3. Descripcin de los roles y responsabilidades
4. Evaluacin de Riesgos e informes del AIN
5. Plan de Continuidad del Negocio
6. Plan de comunicacin, concienciacin y capacitacin
7. Procedimientos de ejercicios y pruebas
8. Evaluacin, el revisin por la direccin y procedimientos de auditora
9. Acciones preventivas y correctivas
Verificacin de Documentos Estratgicos

La documentacin debe incluir la informacin relacionada con las decisiones, aprobaciones

y acciones de la Direccin referidas a:

mbito de aplicacin y objetivos del SGCN

Poltica de continuidad del negocio
Recursos para la operacin del SGCN
Revisin de la direccin
Acta Constitutiva de la Auditoria ( u otros documentos que describen las
responsabilidades de los auditores internos)
Verificacin de Procesos y Procedimientos
Las 6 palabras (W:W/H en ingls)
- Quin
- Qu
- Cundo
- Dnde
- Por qu
- Cmo

Ejemplo:
El administrador de la red (Quin) asegura que se han completado las copias de seguridad (
Qu) mediante la revisin de los registros de copias de seguridad (Cmo) todas las maanas
(Cundo) . Tras la revisin, l llena y firma una lista de controles ( Dnde) que se guardan
para futura referencia (Por qu)
Comunicacin con la Direccin
Principales temas a ser tratados
1. Contexto de las actividades de negocio generales de la organizacin (4.1)
2. Comprensin de la necesidades y expectativas de las partes interesadas (4.2)
3. mbito de aplicacin del SGCN (4.3.2)
4. Compromiso de la direccin (5.2)
5. Poltica de continuidad del negocio (5.3)
6. Funciones organizativas, responsabilidades y autoridades (5.4)
7. Objetivos de continuidad del negocio y planes para conseguirlos (6.2)
8. Provisin de recursos (7.1)
9. Papel de la direccin en la comunicacin (7.4)
10. Aprobacin de la estrategia de continuidad del negocio (8.3)
11. Supervisin, medicin, anlisis y evaluacin (9.1)
12. Reportes de auditora interna (9.2)
13. Revisin por la direccin (9.3)
 Recoleccin de Evidencia y Procedimientos de Anlisis

B. Revisin de
A. Observacin C. Entrevistas
documentos
Procedimientos
de recoleccin de
evidencia

D. Anlisis E. Verificacin tcnica

Procedimientos de
anlisis de evidencia F. Corroboracin G. Evaluacin
Creacin de planes de Auditora
Recomendaciones generales
Lista de Verificacin de la Auditora
Ejemplos
En esta seccin, se presentan seis planes de auditora
Basndose en estos ejemplos, un auditor debera ser capaz de crear sus propios planes de
prueba de auditora mediante la combinacin de diferentes procedimientos de auditora
para reunir evidencias:
- Observacin
- Revisin documental
- Entrevista
- Verificacin tcnica
- Anlisis

Importante: El auditor no necesita hacer todas las pruebas de auditora posibles

Ejemplo 1: Control de la Informacin Documentada
ISO 22301, clusula 7.5.3 (extracto)
Cuando se establece el control de la informacin documentada, la organizacin debe asegurarse de que existe una
proteccin adecuada de la informacin documentada ( por ejemplo, la proteccin ante cualquier peligro, la
modificacin no autorizada o la eliminacin)
Observacin Observar como los empleados aseguran la proteccin de la informacin documentada y si
aquellas acciones son congruentes con las polticas y procedimientos de la organizacin
Documentar Poltica sobre la gestin de la informacin documentada y los procedimientos sobre la
gestin del ciclo de vida de la informacin : su identificacin, almacenamiento, copias de
seguridad, proteccin , accesibilidad y conservacin
Entrevistar A un miembro de la direccin ( para confirmar las polticas y las necesidades de la
organizacin relativos a la informacin documentada) y al personal responsable de la
gestin y de archivar la informacin ( para obtener los detalles de la gestin de la
informacin documentada)
Verificacin tcnica Validar la estructura electronica para la clasificacin y almacenamiento de informacin
documentada, verificar los mecanismos de proteccin de la informacin documentada,
observar la complicacin de los informes diarios.
Anlisis Seleccionar muestras de informacin documentada y verificar si ellas respetan la
estructura de la informacin y los criterios de la poltica de la informacin documentada
Ejemplo 2: Funciones, Responsabilidades y Autoridades
ISO 22301, clusula 5.4
La alta direccin debe asegurarse que las responsabilidades y la autoridad para las funciones importantes se asignan y
comunican dentro de la organizacin. Niveles superiores de la administracin debe asignar la responsabilidad y la
autoridad para a) asegurar que el sistema de gestin se ajusta a los requisitos de esta norma internacional. Y b) la
presentacin de informes sobre el rendimiento del BCMS a la alta gerencia
Observacin Tener en cuenta que las personas que se enumeran en el organigrama estn trabajando
eficazmente en la organizacin
Documentar Cuadro organizacional, definicin of roles y responsabilidades en las descripciones de
trabajo, contratos de trabajo, etc.
Entrevistar A un miembro de la direccin para comprender cmo se asignan las responsabilidades y
las autoridades y el personal responsable de roles especficos para validar cmo utilizan
su autoridad
Verificacin tcnica N/A
Anlisis Muestra e informacin documentada, como minutas de reunin para verificar la
evidencia de que tales responsabilidades y autoridades estn efectivamente/
eficientemente asignadas
Ejemplo 3: Recursos
ISO 22301, clusula 7.1

La organizacin debe mantener y proporcionar los recursos necesarios para el establecimiento , la implantacin, el
mantenimiento y la mejora continua del SGCN
Observacin N/A, excepto para el auditor interno. Como observador, el auditor interno podra asistir a
una reunin donde se tratan el presupuesto y la previsin de recursos
Documentar El auditor puede evaluar y validar los documentos siguientes: caso de negocio de SGCN ,
un plan de proyecto, presupuesto anual , acta de la reunin de prestacin y la asignacin
de recursos
Entrevistar El auditor puede entrevistar al coordinador del SGCN y a un miembro de la direccin para
validar el proceso de asignacin de recursos al SGCN
Verificacin tcnica N/A
Anlisis Muestra de las actividades crticas ( como las pruebas y ejercicios) del SGCN y validar si la
asignacin de recursos es eficiente
Ejemplo 4: Competencia
ISO 22301, clusula 7.2

La organizacin se encargar de: a) determinar la competencia necesaria de la persona(s) bajo su control que realizan
su trabajo , el cual afecta a su rendimiento, b) asegurarse de que estas personas son competentes sobre la base de una
educacin apropiada , capacitacin y experiencia , c) en su caso, tomar medidas para adquirir la competencia necesaria
, y evaluar la eficacia de las medidas adoptadas , y d) conservar la informacin documentada como evidencia de su
competencia.
Observacin Observar a un miembro de la organizacin que lleva a cabo las actividades relacionadas
con el SGCN
Documentar El auditor puede evaluar y validar los siguiente documentos: polticas internas y
lineamientos ( sobre reclutamiento, capacitacin, gestin de RRHH, procedimiento de
evaluacin de empleados), registros ( hoja de vida de empleados, registro de capacitacin
, evaluacin anual, etc.)
Entrevistar El auditor puede entrevistar a un miembro del departamento de RRHH para comprender
y validar los procesos y procedimientos que garantizan que la organizacin tiene personal
competente: contratacin
Verificacin tcnica N/A
Anlisis Muestra de hoja de vida, registros de capacitacin, evaluacin anual, etc.
Ejemplo 5: Auditora Interna
ISO 22301, clusula 9.2 (extracto)
La organizacin debe llevar a cabo auditoras internas a intervalos planificados para proporcionar informacin acerca de
si el sistema de gestin de la continuidad del negocio a) se ajusta a 1) las necesidades propias de la organizacin para su
SGCN, 2) Los requisitos de esta norma internacional, y b) se aplica y es mantenido de forma efectiva
Observacin N/A
Documentar Grfico de auditora u otros documentos en los que se especifican las funciones y
responsabilidades de la auditora interna, archivos de empleado de los auditores internos,
la planificacin de las actividades de auditora interna, los procedimientos de auditora
interna, los informes de auditora interna, la documentacin de seguimiento de las
auditoras
Entrevistar Al auditor interno para revisar el programa de auditora interna y a un miembro de la
direccin para debatir el valor de la auditora interna de la organizacin
Verificacin tcnica N/A
Anlisis Revisar una muestra de papeles de trabajo de auditora y un informe de auditora interna
Ejemplo 6: Revisin por la Direccin
ISO 22301, clusula 9.3
La alta direccin debe revisar el SGCN de la organizacin a intervalos de tiempo planificados, para asegurarse que
continua siendo idneo , adecuado y eficaz
Observacin N/A , excepto para el auditor interno. Como observador, el auditor interno podra asistir a
una reunin de la direccin
Documentar Agenda la revisin por la direccin, minutas, informacin documentada enviada
previamente a la realizacin de la reunin, informe presentado, comunicacin de
seguimiento despus de la reuniones
Entrevistar Los miembro s del comit de gestin y del coordinador del SGCN
Verificacin tcnica N/A
Anlisis Revisar una muestra de papeles de trabajo de auditora y un informe de auditora interna
Hallazgos de Auditora
Tipos de hallazgos de auditora posibles

Observacin No No
Conformidad Situacin o Conformidad Conformidad
elemento Menor Mayor
Situacin en la observado
que se cumple durante la Situacin en la No
la conformidad auditora que que no se conformidad
con todos los puede estar cumpli con un
aspectos de un sujeto a la conformidad requisito o falla
requisito mejora con un aspecto total de su
continua de un requisito eficacia
aunque no
fuera de una
no
conformidad
Recomendacin de Certificacin

Al concluir la auditora, el auditor debe emitir una de las cuatro recomendaciones siguientes
relativas a la certificacin:
1. Recomendacin para la certificacin
2. Recomendacin para la certificacin con la condicin de la presentacin de planes de
acciones correctivas sin visita previa
3. Recomendacin para la certificacin con la condicin de la presentacin de planes de
acciones correctivas con visita previa
4. Recomendacin desfavorable
Discusin de las Conclusiones con la Direccin
Posibles reacciones
1. Aceptar las conclusiones 2. Hechos nuevos
2. Entregar hechos nuevos 3. Buscar soluciones
3. Buscar soluciones
4. Querer negociar las conclusiones
5. Negar los hechos y/o adoptar una actitud hostil
6. Buscar culpables ( para echar culpas)
Presentacin de los Planes de Accin por el Auditado
ISO 17021, clusula 9.1.11
La organizacin auditada debe describir:
1. Las no conformidades descubiertas y sus causas raz
2. Las acciones correctivas y preventivas tomadas, o que se planean tomar, para
eliminar las no conformidades detectadas, en un plazo definido

Se debe presentar un plan de accin por cada no conformidad, no un plan de

accin global para todas las no conformidades
Planes de Accin
Ejemplo
Plan de Accin
N de no Proceso: Revisin por la direccin Nmero de
conformidad: 3 clusula: 9.3

Descripcin de la no conformidad: La organizacin no conserv informacin documentada como

prueba de los resultados de las revisiones por la direccin

Causa raz: Falta de concienciacin sobre este requisito y normalmente no se toman unos minutos
para ello durante las reuniones

Plan de accin : Nombrar un secretario para cada reunin de revisin por la direccin, enviar minutas
a los participante luego de cada revisin por la direccin y guardar minutas de cada reunin como
registro
Evaluacin de los Planes de Accin por el Auditor
Directrices
El auditado debe informar al auditor del estado de finalizacin de las acciones
correctivas
El papel de auditor se limita a validar el anlisis de las causas, los planes de
accin y las medidas correctivas
No todas las medidas correctivas tienen que ponerse en prctica
inmediatamente

Basado en sus experiencia y su conocimiento, el auditor debe evaluar si los

planes de accin son apropiados y abordan la causa raz de la no conformidad