curso: "implementador líder certificado en la iso 22301"
DESCRIPTION
Curso: "Implementador Líder Certificado en la ISO 22301"TRANSCRIPT
Implementador LíderCertificado en la ISO 22301
Agenda de la Semana
Día 1
Día 2
Día 3
Día 4
Día 5
Introducción a la norma ISO 22301 y el inicioDe un SGCN
Planificar la implementación del SGCN
Despliegue del SGCN
Monitoreo del SGCN, mejora continúa yPreparación para la auditoría de certificación
Examen final
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 2
Estándar y marco normativo
a. ¿Qué es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión
d. Sistema de gestión integrado
e. Normas de Continuidad del Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
¿Qué es ISO?
• ISO es una red de organismos nacionales de estandarización de más de 160 países
• Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales
• Se han publicado más de 19000 normas desde 1947
Principios Básicos – Normas ISO
1. 1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas
3. Orientación al negocio: ISO sólo desarrolla normas para existe demanda del mercado
a 4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas
5. Cooperación internacional: más de 160 países además de organismos de enlace
PRINCIPIOSBásicos de las Normas
ISO
Los Ocho Principios de Gestión de la ISO
Enfoque en el cliente
Liderazgo
Participación de Las personas
Enfoque en losprocesos
Enfoque delSistema para la
gestiónMejora continua
Enfoque basadoen hechos para la
Toma de decisiones RelacionesMutuamente
Beneficiosas con el proveedor
Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar
certificada
ISO 9001Calidad
ISO 14001Medioambiente
OHSAS 18001
Salud ySeguridad en
el trabajo
ISO 20000Servicios
de TI
ISO 22000Sanidad
Alimentaria
ISO 22301Continuidad del Negocio
ISO 27001Seguridad de la
Información
ISO 28000Seguridad de la Cadena de
Suministro
Sistema de Gestión Integrado
Estructura típica de las normas ISO
RequisitosISO
9001:2008ISO
14001:2004ISO
20000:2011ISO
22301:2012ISO
27001:2005
Objetivos del sistema de gestión
5.4.1 4.3.3 4.5.2 6.2 4.2.1
Política del sistemade gestión
5.3 4.2 4.1.2 5.3 4.2.1
Compromiso de la Dirección
5.1 4.4.1 4.1 5.2 5
Requisitos de Documentación
4.2 4.4 4.3 7.5 4.3
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisión por la Dirección
5.6 4.6 4.5.4.3 9.3 7
ISO 22301
• Especifica los requisitos de gestión de un SGCN
• Los requisitos (cláusulas) son escritos utilizando el verbo “deberán” en imperativo
• Integrar el modelo PDCA (PLAN, DO, CHECK Y Act)
• Auditable
• La organización puede
ser certificada en esta norma
INTERNATIONAL ISO STANDARD 22301
_______________________________________________Societal security- Business continuityManagement Systems –Requirements
_________________________________________________
ISO 22301
Contenido
Sección 1 Ámbito de aplicación
Sección 2 Referencias normativas
Sección 3 Términos y definiciones
Sección 4 Contexto de la organización
Sección 5 Liderazgo
Sección 6 Planificación
Sección 7 Apoyo
Sección 8 Funcionamiento
Sección 9 Evaluación del desempeño
Sección 10 Mejora
ISO 22313
• Guía para el código de buenas prácticas para implementar, mejorar un Sistema de Gestión de la Continuidad de los Negocios (Documento de referencia).
• Cláusula escrita utilizando el verbo “debería” a fin de proporcionar orientación en materia de aplicación.
• La organización no puede ser certificada en esta norma
INTERNATIONAL ISO STANDARD 22313
_______________________________________________
Societal security-Business continuitManagement Systems –Gidance
_________________________________________________
Historia de la norma ISO 22301
1988 – 2013
2012
Creación del DRI Internacional conocido
originalmente como Disaster Recovery
Institute (Instituto de Recuperación ante
Desastres)en los EEUU
1984
2002
2003
2006
2007
1988
2013
Creación del Business Continuity Institute
(BCI) en el Reino Unido
BCI publica Guías de Buenas
Prácticas de la GCN
Publicación de PAS 56
Publicación de la
norma BS 25999-1
Publicación de la norma
BS 25999-2
ISO publicó la primera versión de la norma
ISO 22301
ISO publica la primera versión de la norma ISO
22313
Otras Normas sobre Continuidad del Negocio
Ejemplos
ISO 24762
NIST 800-34
ISO 27031
Norma NFPA1600
El Contenido y la Relación entre ISO 22301 e ISO 27001
ISO 27001, A. 14: Gestión de Continuidad del Negocio
A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocioObjetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna
A.14.1.1Incluir seguridad de lInformación en el proceso de Gestión de la continuidaddel negocio
Control
Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.
A.14.1.2 Continuidad del negocio yevaluación del riesgo
Control
Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.
A.14.1.3 Desarrollo e implementarPlanes de continuidadIncluyendo seguridad de la información
Control
Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falta en los procesos de negocios críticos.
A.14.1.4 Marco referencial para laPlaneación de la continuidadDel negocio
Control
Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar las prioridades de pruebas y mantenimiento.
A.14.4.5 Prueba mantenimiento y re-Evaluación de planes de continuidadDe negocio
Control
Los planes de continuidad de negocio se deben probar y actualizar regularmente para asegurar que estén actualizados y sean efectivos.
ISO 22301Requisitos
Continuidad del negocio4.4 sistema de gestión
8.2 AIN y la Evaluación de los riesgo
8.4 Procedimientos de la continuidad del negocio
6 Planificación del SGCN
8.5 Ejercicio y pruebas
Ejercicio 1
Mitos y Realidades – Continuidad del Negocio
Continuidad del Negocio
Ventajas
Mejorcomprensión de la organización
Mantenimiento de las actividades esenciales de la
organización
Protección delas personas
Previsible yeficaz respuesta
a las crisis
Reducción de costos:
Protección dela reputación y la
marca
Respeto de laspartes
interesadas
Cumplimiento de normativas
El cumplimientode los requisitos
legales
Ventajacompetitiva
Confianza de los clientes
Cumplimientode los
contratos
Capacitación del Implementador Líder Certificado en la norma ISO 22301
a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
Sección 3Sistema de Gestión de la Continuidad del Negocio (SGCN)
¿Qué es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratégico y táctico de ajuste a los objetivos que:
Mejora la organización pro activa de resistencia contra la interrupción de su capacidad de lograr sus objetivos clave 1
Proporciona un método ensayado para restaurar la capacidad de una organización para garantizar el suministro de sus productos y servicios clave
después de una interrupción
Proporciona una capacidad demostrada para gestionar una interrupción del negocio y proteger la reputación de la organización y de la marca
2
3
Gestión de Continuidad del Negocio
ISO 22301, cláusula 3.4:
Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación de valor
Nota: El sistema de gestión incluye la estructura, las políticas, las actividades de planificación, las responsabilidades,
Las prácticas, los procedimientos,Los procesos y los recursos de la organización
Los componentes claves de un SGCN
ISO 22301, Introducción
Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales :
1. Una política2. Personas con responsabilidades definidas;3. Procesos de gestión asociados con:
- Política- Planificación- Implementación y
operación- Evaluación del
rendimiento- Revisión por la
Dirección- Mejora
4. Documentación que provea pruebas auditables
5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización
El ciclo Planificar – Hacer – Verificar – Actuar (PHVA)
ISO 22301, Introducción
PartesInteresadas
Requerimientosexpectativas
de laContinuidad del
Negocio
Partes Interesadas
Continuidad delNegocio
Gestionada
Planificar
Actuar Hacer
Verificar
Establecer unSGCN
Mantener yMejorar el SGCN
ImplementarEl SGCN
Supervisar yRevisar el SGCN
Requisitos generales
ISO 22301
En resumenLa organización deberá establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimientode la
organizacióny su entorno
2. Determinar las
necesidades yrequisitos
3. Implementar yAdministrar un
SGCN
Contexto de la organización
ISO 22301, cláusula 4
Conocimiento de laOrganización y su
entorno
Comprensión de lasNecesidades y
Expectativas de lasPartes interesadas
Determinar elAlcance del SGCN
•Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas.
•Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas•El apetito de la organización por el riesgo
•Las necesidades de las partes interesadas que son pertinentes para el SGCN•Los requisitos de estas partes interesadas•Requisitos jurídicos y normativos
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance
•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y externas y los requisitos
Liderazgo y Compromiso de la Dirección
ISO 22301, cláusula 5.1 y 5.2
Orientación estratégica
•Asegurarse de que el SGCN es compatible con la orientación estratégica de la organización
•Integrar los requisitos del SGCN en los procesos de negocio de una organización
Hacer que los recursos esténdisponibles
• La Dirección deberá determinar y proporcionar losRecursos necesarios para el SGCN
• Dirección deberá comunicar la importancia de una buena Gestión de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN
Comunicación
Política de Continuidad del Negocio
ISO 22301, cláusula 5.3:
• La alta dirección debe establecer una política de continuidad del negocio que:
- Sea apropiada para los fines de la organización- Proporcione un marco para establecer objetivos de continuidad del negocio- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN
• La política del SGCN deberá:
- Estar disponible como información documentada- Ser comunicada dentro de todas las partes interesadas, según corresponda- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades
ISO 22301, cláusula 5.4:
• La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organización.
• La alta gerencia deberá asignar la responsabilidad y autoridad para:
-Garantizar que el sistema de gestión
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.-Informar sobre la eficacia de la
gestión a la alta dirección.
Los Objetivos y los Planes para Alcanzarlos
ISO 22301, cláusula 6.2:
• La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organización• Los objetivos deberán:
a) Ser coherentes con la política de continuidad del negocio
b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados según proceda
Apoyo
ISO 22301, cláusula 7:
La organizacióndeberá determinar y proporcionar los recurso necesarios para el SGCN
Las personas que realizanTrabajo en el marco delControl de a organizaciónDeberán ser conscientesDe la política de la CN,Sus funciones en el SGCNY los requisitos para la organización
El SGCN de laOrganización deberá Incluir informaciónDocumentada requeridaPor la ISO 22301 yRegistros para demostrarLa eficacia del SGCN
Recursos Competencia DocumentaciónComunicaciónSensibilización
La organizaciónDeberá asegurarTener personasCompetentes para realizar las tareas relacionadas con el SGCN
La organización deberáEstablecer, implementar y mantener mecanismosDe comunicación con las partes interesadas internas y externas
Información documentada
• ISO 22301, cláusula 7.5:
1. Creación
2. Identificación 3. Clasificacióny seguridad
4. Modificación
5. Aprobación
6. Distribución
7. Uso adecuado
8. Archivado
9. Disposición
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Análisis del impacto en el Negocio y Evaluación de los Riesgos
ISO 22301, cláusula 3.50 y 8.2
Proceso de análisis de lasfunciones delnegocio y del efecto que unainterrupción delnegocio podríatener sobredichas funciones
Análisis deImpacto en el
Negocio
Evaluaciónde riesgo
Proceso generalde identificación,Análisis yEvaluación de riesgos
Estrategia de Continuidad del Negocio
ISO 22301, cláusula 8.3
La organización deberá determinar las opciones apropiadas de continuidad para:
A) Proteger las actividades
prioritarias
B) Estabilizar, continuar, reanudar y recuperar
actividades prioritarias
C) Mitigar, responder a los impactos y gestionarlos
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, CLÁUSULA 8.4.1
La organiza deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión d de
un incidente perjudicial
La respuesta en Casos de
Emergencia y la Gestión de
Crisis
Contingencia
Recuperación y Restauración
Protección y mitigación
Capacitación
y Concienciación
Generalidades
•La organización deberáestablecer, implementar ymantener procedimientos decontinuidad del negocio paragestionar un incidenteperjudicial y continuar susactividades sobre la base de objetivos de recuperaciónidentificados en el análisisdel impacto en el negocio
Ejercicios y Pruebas
ISO 22301, cláusula 8.5
La organizacióndeberá ejercitar y Probar susProcedimientos deContinuidad del negocio para garantizar que sonCoherentes con susObjetivos de Continuidad delnegocio
Evaluación del desempeño
ISO 22301, cláusula 9
6. Revisión de la gestióny actualización de los planes de continuidad delNegocio y de los Procedimientos.
3. Medición de la eficacia de los procedimientos
5. Realización de las auditoriasinternas.
2. Revisión periódica de la eficacia del SGCN teniendo en cuenta las proposiciones y sugerencias de los interesados.
1. Revisión del ejercicio y la prueba de los procedimientos de continuidad, después de los informes sobre incidentes.
4. Revisión de las evaluacionesDe riesgo y del AIN.
Monitoreoy revisión del SGCN
Nota: Cada una de estas acciones debe ser documentada y registrada.
Mejora
ISO 22301, cláusula 10
• La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.
• La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño, para lograr la mejora.
Capacitación Implementador Líder Certificado en la norma ISO 22 301
Sección 4
Principios fundamentales de la continuidad del negocio
a. Continuidad de negocio y recuperación de desastres
b. Evento: de un incidente a una emergencia
c. Organización y actividades prioritarias
d. Procesos y recursos
e. Probabilidad, consecuencia e Impacto
f. Interesados (partes interesadas)
g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Continuidad del NegocioRecuperación ante
desastres
Asegurar que el negocioPueda continuar duranteUna emergencia
Los Objetivos son:
•En primer lugar, el capitalHumano de la empresa
•Entrega de productos o prestación de servicios a los clientes de la empresa
•Funciones críticas dl negocio en la empresa
Recuperar la “tecnología” Lo más rápidamente posible.
Se incluyen:• Los Datos, el hardware y el software necesarios para
reanudar las operacionesCríticas de la empresa
•Un plan de recuperación ante desastres (DRP) también incluye la elaboración de planes para hacer frente a la inesperadao repentina pérdida de personal clave
•En u PCN, es uno de los aspectos del plan
Participación de todos los elementos de la organización
La Gestión de Continuidad del Negocio
Está en relación con:
GE
ST
IÓN
DE
RIE
SG
O
SE
GU
RID
AD
GE
ST
IÓN
DE
CA
LID
AD
GE
ST
IÓN
DE
L M
ED
IO
AM
BIE
NT
E
AD
MIN
IST
RA
CIÓ
N D
E
LA
S I
NS
TAL
AC
ION
ES
GE
ST
IÓN
AN
TE
UN
A E
ME
RG
EN
CIA
RE
CU
PE
RA
CIÓ
N D
E T
IA
NT
E D
ES
AS
TR
E
GE
ST
IÓN
DE
LA
CA
DE
NA
DE
S
UM
INIS
TR
O
CO
MU
NIC
AC
ION
ES
&R
RP
P
SA
LU
D Y
SE
GU
RID
AD
GE
ST
IÓN
DE
CR
ISIS
RE
CU
RS
OS
HU
MA
NO
S
Evento: de incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento(ISO 22301, 3.17)
Incidente(ISO 22301, 3.19)
Interrupción(ISO 22399. 3.4
Crisis(USO 22399, 3.3)
Desastre (ISO 22300, 2.
Emergencia (ISO22399, 3.6)
• Ocurrencia de un conjunto particular de circunstancias.
• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
•Situación en la que se han producido amplias pérdidas humanas, materiales, económicas o ambientales que superaron la capacidad de la
organización, la comunidad y la sociedad afectadas para responder y recuperarse utilizando sus propios recursos.
• Cualquier incidente(s), causado por los humanos o causas naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
• Suceso o evento repentino, urgente, generalmente inesperado querequiere acción inmediata.
• Evento que pudiera constituir o pudiera redundar en una interrupción del negocio, en una pérdida, emergencia o crisis.
Organización y Actividades
ISO 22301, CLÁUSULA 3.1,3.33 y 3.42
Organización (3.33)
Persona o grupo de personas que tiene suspropias funciones con responsabilidades,autoridades y relaciones para lograr sus objetivos.
Actividad (3.1)
Proceso o conjunto de procesos acometidos por una organización (o en su nombre) que producen o dan apoyo a uno o más productos y servicios.
Las actividades a las que deben darse prioridad tras un incidente con el fin de mitigar los impactos.
Actividades Prioritarias (3.42)
Proceso
ISO 22301, cláusula 3.40
Conjunto de actividades mutuamente relacionadas o que interactúan, que
transforman elementos de entrada en resultados.
Entrada Actividades Salida
Recurso
ISO 22301, CLÁUSULA 3.47
Recursos•Todos los archivos, personal,
habilidades, información, tecnología (incluyendo maqui-naria y equipos), locales, y suministros e información (yasea electrónica o no) que unaorganización debe tener dispo-nibles para uso, cuando sea necesario, para operar y cumplir sus objetivos.
Las Personas
Locales Tecnologías Suministros
Activos Información
Riesgo
ISO 22301
Riesgo (3.48)
Efecto de incertidumbre sobre los objetivos
Apetito por el riesgo (3,49)
Evaluación de Riesgo (3.50)
Gestión del riesgo (3.51)
Cantidad de riesgo que una organización estáDispuesta a conseguir o conservar
Proceso general de identificación, análisis yEvaluación de riesgos.
Actividades coordinadas para dirigir y controlarUna organización con respecto al riesgo K
SIR
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad (3.28)
Grado al que es probable que se produzcaun evento
Impacto (3.10)
Consecuencia (3.2)
Consecuencia evaluada de un resultado enparticular
Resultado de un evento
Parte interesada (interesados)
ISO 22301, CLÁUSULA 3.21:
Persona u organización que puede afectar, pueden verse afectados por,
o se consideran afectados por una decisión o actividad
ProveedoresInstitucionesfinancieras
Regulador Público
GruposInteresados
Clientes
Medios Accionistas
Consejo deAdministración
Equipo de Gestión
Empleados Sindicatos
Organización
Resilencia
ISO 22300, cláusula 2.1.17
Resilencia
Capacidad de adaptación de una organización en un ambiente complejo y cambiante
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 5
Iniciando la implementación del SGCN
a. Enfoque para la implementación del SGCN
b. Metodología de implementación del SGCN
c. Alimentación con las mejores prácticas
Requisitos
ISO 22301, cláusula 5.4:
5.4 Funciones organizativas, responsabilidades y autoridades
La alta gerencia deberá asigna la responsabilidad y autoridad para :
Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional
1.1. Iniciando la Implementación del SGCN
Lista de actividades
Intención de Implementar
un SGCN
1.1.1 Definición del enfoque para la implementación
1.1.2. Selección de un marco
metodológico
1.1.3. AlineaciónCon las mejores
Prácticas
1.2. ComprensiónDe la organización
1.1.1. Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques
2. Nivel de madurez de los Procesos en uso
1. Velocidad de implementación
3. Expectativasy alcance
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de las actividades comercialesa través de la organización 2. Enfoque de sistemas
La aplicación general delproceso de SGCN, nomediante al aislamiento delos procesos
3. Enfoque Sistemático
Aplicar las mejores prácticas en gestión deproyectos
4. Enfoque Integrado
Integración del SGCN o armonizarlocon los demás requisitos de laorganización
5. Método iterativo
La rápidaImplementación delSGCN respetando loRequisitos mínimos yCambiar a mejoraContinua a partir de entonces
Directrices
Las Directrices de Aplicación
Recomendaciones
1. Evitar la integración de nuevas tecnologías
2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organización
5. Obtener el apoyo de la Dirección
6. Identificar y formalmente nombrar a un Director del proyecto del SGCN
1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de
Implementación del SGCN
1. Planificar2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del SGCN
2.3 Estrategia de Continuidad del Negocio
2.2 Evaluacióndel negocio
2.1 Análisis del Impacto al Negocio
(AIN)
3.3 Revisiónpor la Dirección
3.2 Auditoría interna
3.1 Seguimiento, medición, análisis yevaluación
4.1 No conformidadesy acción correctiva
4.2 Mejora continua
1.8 Informacióndocumentada
1.9 Competencia &sensibilización
2.7 Ejercicio y pruebas
2.6 Comunicación
2.5 plan y procedimientos de la continuidad del negocio
2.4 Medidas de Presentación & Mitigación
1.4 Alcance
1.5 Liderazgo yplanificación
1.6 Política de CN
1.7 Estructurade la organización
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
Metodología de Implementación Integrada para los Sistemas de Gestión y las Normas (IMS)
Metodología de PECB para la aplicación del SGCN
ProyectoDel
SGCN
Hacer
Planificar
Verificar
Actuar
4 FASES 21 Pasos 101 actividades Tareas sin definir
Enfoque y Metodología
Basado en las mejores prácticas
ISO 10006Directrices para la gestión de
calidad en proyectos
PMBOKConjunto de Conocimientosde la gestión de Proyectos(PMBOK en idioma inglés
22313Orientación para laImplementación del
sistemade gestión de
Continuidad del Negocio
1.1.3. Alineación con las Mejores Prácticas
Uso de las normas ISO
ISO 27031
ISO 22301
ISO 22301
ISO 22313
ISO 24762
ISO 27001 ISO XXXXX
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 6
Comprensión de la organización
a. Comprensión de la organización
b. Identificación y análisis de las partes interesadas
c. Identificación y análisis de los requisitos y expectativas
d. Definición preliminar del alcance
1.2. Comprensión de la organización
1. Planificar
1.1. Inicio del SGCN
2.3 Estrategia de Continuidad del Negocio
2.2 Evaluacióndel negocio
2.1 Análisis del Impacto al Negocio
(AIN)
3.3 Revisiónpor la Dirección
3.2 Auditoría interna
3.1 Seguimiento, medición, análisis y
evaluación
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
1.8 Informacióndocumentada
1.9 Competencia &sensibilización
2.7 Ejercicio y pruebas
2.6 Comunicación
2.5 plan y procedimientos de la continuidad del negocio
2.4 Medidas de Presentación & Mitigación
1.4 Alcance
1.5 Liderazgo yplanificación
1.6 Política de CN
1.7 Estructurade la organización
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
2. Hacer 3. Verificar 4. Actuar
Requisitos
ISO 22301, cláusula 4.1:
Comprensión de la organización y su entornoLa organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que afectan su capacidad de alcanzar los resultados esperados de su SGCN.
Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN.
La organización deberá identificar y documentar lo siguiente:
a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas incluyendo su estrategia global de gestión de riesgos.
c) El apetito por el riesgo de la organización.
Para establecer el contexto, la organización deberá:
1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.
1.2. Comprensión de la organización
Lista de actividades
1.1 Iniciar el SGCN
1.2.1 Misiónobjetivos, valores
estrategias
1.2.2 Entornoexterno
1.2.3 Entornointerno
1.2.5 Infraestructura
1.2.6 Partes interesadas
1.2.7 Requisitosdel negocio
1.2.9 AlcancePreliminar
1.2.8 Apetito porel riesgo y
criterios de riesgo
1.2.4 proceso y actividades
1.4 Alcance1.3 Análisisde brechas
1.2 Comprensión de laorganización
1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias
Misión
Valores
Los objetivos
DeContinuidaddel Negocio
EstratégicoAlineamiento
Estrategias
Objetivos
Políticas CorporativasPolíticas de Continuidad
del Negocio
1.2.2. Análisis del Ambiente Externo
Consejos Prácticos
•La ISO 22301 no ofrece enfoques prácticos para analizar el contexto de una organización
•Existen varias metodologías para entender cómo funciona una organización
•Lo importante es identificar las características de los factores ambientales internos y externos que influyen en la gestión de la continuidad del negocio: misión, actividades principales, organización interna, partes interesadas, ttc.
Fortalezas Debilidades
Oportunidades Amenazas
1.2.3. Análisis del Entorno Interno
Estructura organizativa y actores claves
Comprender la estructura y los principales actores de la organización relacionados con el ámbito de aplicación en losplanos:
Estratégico (¿Quién establece las orientaciones estratégicas?) Gobierno (¿Quién coordina y gestiona las operaciones?)
Operacional (¿Quién participa en las actividades de producción y apoyo?)
1.2.4. identificación de los Principales Procesos y Actividades
3. Activos de Información Claves
¿Cuáles son losActivos de
informaciónClaves de la
Organización?
1. Oferta de Productosy servicios
¿Cuáles son los bienes yServicios producidos por
la organización?
2. Procesos deNegocios
¿Cuáles so losProcesos claves que
Permiten a laOrganización cumplir
Con su misión?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni un inventario detallado de activos, sino sólo establecer una lista general
1.2.5. Identificación de la Infraestructura
ISO 22301, cláusula 3.20
Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organización
Categoría(Ejemplo)
Ejemplos
Sitios Oficinas, centro de datos, residenciad e los empleados, áreas seguras, Sitio de fabricación, etc.
Utilidades Electricidad, gas, aire acondicionado, control de humedad, etc.
Equipo industrial Almacenamiento y manejo de equipos, cintas transportadoras, robots industriales,
Servicio Contabilidad, recursos humanos, compras, logística, etc.
Transporte Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.
telecomunicaciones Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnología de la información
Servidor, ordenador portátil, red, sistema operativo, software de contabilidad, etc.
1.2.6. Identificación y Análisis de las Partes Interesadas
Análisis de sus necesidades y expectativas
1. Identificar lasNecesidades yexpectativas
• Identificar las necesidades y expectativas de todas las partes interesadas• Las necesidades y expectativas puedes ser implícitas o explícitas• Ejemplo: la tasa de disponibilidad del servicio del 99,5%
3. Identificar roles y
responsabilidades
2. Validar las necesidades y
expectativa
•Analizar las necesidades de seguridad y confirmar si responde a las preocupaciones de la organización en este momento
• Se puede hacer mediante el envío de un cuestionario, realizando entrevistas o facilitar grupos de enfoque
• Definir lo que se espera de las diferentes partes interesadas en el proyecto: las f unciones, las responsabilidades y los niveles de participación que se necesita
• Establecer un consenso con ellos durante la etapa de planificación de su participación
Partes Interesadas
Influencia positiva y negativa
Partes interesadas negativas
•Por estas, el SGCN podría tener un impacto• negativo
•Ejemplo: un departamento de recursos humanos involucrado en la implementación del SGCN sufrirá una pesada carga con la documentación de los expedientes de los empleados
Partes interesadas negativas
• Los que se beneficiarían del SGCN
• Ejemplo: los clientes de una empresa de servicios de TI
Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN
1.2.7. Identificación y Análisis de los Requisitos del Negocio
Legal yRegulatorio
Todas las leyes y reglamentos con los
debe cumplir laorganización
EstándaresLas normas internacionales
Y códigos de prácticas relacionados con el sector,que son voluntariamente
Implementados por laorganización
Mercado
Todas las obligacionescontractuales que la
organización ha firmadocon sus partes
interesadas
Políticas Internas
Todos los requisitosdentro de la organización:
las políticas internas, el código de ética, normas de
trabajo, etc.
Ext
ern
os
Obligatorios VoluntariosIn
tern
os
Cumplimiento de los Requisitos Legales
• La organización debe cumplir con
las leyes y reglamentos aplicables
• En la mayoría de los países, la
aplicación de una norma ISO es una
decisión voluntaria de la organización,
no una condición jurídica
• Las organizaciones que operan en
varios lugares a menudo tienen que
satisfacer las necesidades de las
diferentes jurisdicciones
• En todos los casos, las leyes tienen
precedencia sobre las normas
La ISO 22301
Puede ser utilizada
Para cumplir con
Varias leyes y
regularizaciones
Leyes y Reglamentos
Los cuatro sectores de la industria más afectados
Requiere plan de copia de seguridad de datos, plan de recuperación ante desastres y un plan de operación en el modo de emergencia
Requisitos para los registros electrónicos
Asi
ste
nc
iasa
nit
aria
Requiere plan de copia de seguridad de datos, plan de recuperación ante desastres y un plan de operación en el modo de emergencia
Requisitos para los registros electrónicos
Go
bie
rno
Requiere que los bancos tengan planes de CN y RD para garantizar el funcionamiento continuo y con el fin de limitar las pérdidas
Requiere que los planes de Continuidad del Negocio (PCN) se actualicen y prueben para incorporar los riesgos detectados
Requiere un PCN para garantizar que la continúa misión de la agencia durante una crisis
Se requieren planes de restauración de emergencia como condición para servicios continuados
Fin
anza
s
Uti
lid
ad
es
1.2.8. Determinación del Apetito por el Riesgo y los Criterios de Riesgo
ISO 22301, cláusula 3.49 y 4.1
Apetito por el Riesgo
Definición: Cantidad y tipo de de que una organización está dispuesta a conseguir o conservar
Es el nivel de riesgo que una organización está dispuesta a aceptar, antes de que la acción es considerada necesaria para reducirlo
Representa un equilibrio entre los beneficios potenciales de la innovación y las amenazas que el cambio inevitablemente trae consigo
0
20
101. Aversión
2. Mínimo
3. Prudente
4. Abierto
5. Hambriento
30
40
50
60
70
80
Ejemplo de escala de apetitopor el riesgo
Criterios de Riesgo
ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5
1 Evaluación de riesgo
2 Impactos
3 Aceptación del riesgo
Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados se definirán durante la evaluación del riesgo.
Criterios
1.2.9. Definición Preliminar del Alcance
El alcance preliminar del SGCN debería incluir:
Las principales características dela organización
Procesos de negocio que podrían estar dentro del ámbito
Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito del aplicación propuesto
Lista de ubicaciones geográficas en las que se aplicaría el SGCN
Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3
Comprensión de la organización
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 7
Análisis del sistema de gestión existente
a. Recopilación de la Información
b. Realización de una Entrevista
c. Análisis de Brechas
1.3. Análisis del Sistema de Gestión Existente
Hacer
3. Verificar
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
4. Actuar
3.1 Seguimiento, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
2.1 Análisis del Impacto al Negocio
(AIN)
2.2 Evaluacióndel negocio
2.3 Estrategia de Continuidad del Negocio
2.4 Medidas de Presentación & Mitigación
2.5 plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Inicio del SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo yplanificación
1.6 Política de CN
1.8 Informacióndocumentada
1.7 Estructurade la organización
1.9 Competencia &sensibilización
1. Planificar 2. Hacer
Lista de las actividades
Análisis del sistema de gestión existente
1.2 Comprensión de la organización
1.4 Liderazgo yplanificación
1.3.1 Recolecciónde información
1.3.2 Análisis de brechas
1.3.3. Objetivos einforme del análisis
de brechas
1.3.1. Recopilación de la Información
Técnicas
CuestionariosEncuestas
El envío de cuestionarios a una muestra de personas que representana las partes interesadas
Entrevistas
Revisión de ladocumentación
Las entrevistas con personas la claves en diferentes niveles jerárquicosdentro de la organización
Lectura y análisis de la documentación pertinente, las políticas internas, procedimientos, informes de auditorías previas, dictámenes jurídicos, contratos, etc.
Entrevista Individual y Grupal
Las entrevistas individuales suelesProporcionar información másprecisa y detallada y permiten tener una evaluación del riesgo más correcta
Individual
Grupal
Entrevista
Las entrevistas grupales son efectivas para comprender rápidamente las operaciones de un proceso desde perspectiva global
Realización de una Entrevista
Utilice preguntas abiertas y evite las preguntas cerradas o guiadas
Asegúrese de cubrir todos los temas, mientras controla el tiempo
Tome notas durante la entrevista
Realice preguntas para clarificar una respuesta o situación
1.3.2. Análisis de Brechas
Análisis de Brechas
Técnica para determinar los pasos para pasar de la situación actual a un estado futuro deseado.
1. Comparación del rendimiento actual del sistema de continuidad del negocio con los requisitos de la ISO 22301
2. Identificación de las necesidades de mejora
3. Bases para la elaboración del plan del proyecto del SGCN
Determinar el Estado Actual
El análisis de brechas y el nivel de madurez
Las preguntas típicas:
1. ¿El proceso está presente en la organización? ¿Está estandarizado?
2. ¿Es el proceso seguido por los usuarios relevantes?
3. ¿Está el proceso documentado? ¿Cómo?
4. ¿hay un responsable designado para la eficacia del proceso? ¿Están determinadas las funciones y responsabilidades?
5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay capacitación disponible?
6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido?
7. ¿El proceso está automatizado? ¿Se utilizan herramientas?
8. ¿Existe un proceso para actualizar el proceso?
9. ¿El rendimiento del proceso se compara con las prácticas de la industria?
1.3.3. Establecimiento de Objetivos y la Publicación de un Informe deAnálisis de Brechas
1Inicial
4Gestionado
cuantitativamente
0No existe
2Gestionado
3Definido
Situación actual Objetivo
5Optimizado
Establecimiento de Objetivos
El análisis de brechas y el nivel de madurez
Usted puede fijar las metas para los procesos
según el nivel de madurez
No hay procesosestándarvigentes
Los procesos estándocumentadosy comunicados
Procesosmonitoreados y
medidos
Procesosoptimizados
Hay implementaciónde proceso caso
por caso sin ningúnmétodo
0.Inexistentes
1.Iníciales
2.Gestionadas
3.Definidos
4.Cuantitativa
Mentegestionados
5.Optimizados
Ausencia total deProcesos
identificables
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 8
Alcance del SGCN
a. Límites de la organización
b. Los límites de las líneas de negocio
c. Límites Físicos
d. Ámbito de aplicación
1.4. Alcance del SGCN
n
1. Planificar
1.1. Inicio del SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo yplanificación
1.6 Política de CN
1.8 Informacióndocumentada
1.9 Competencia &sensibilización
1.7 Estructurade la organización
2.7 Ejercicio y pruebas
2.6 Comunicación
2.5 plan y procedimientos de la continuidad del negocio
2.4 Medidas de Presentación & Mitigación
2.3 Estrategia de Continuidad del Negocio
2.2 Evaluacióndel negocio
2.1 Análisis del Impacto en el Negocio (AIN) 3.1 Seguimiento,
medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
2. Hacer 3. Verificar 4. Actuar
Requisitos
ISO 22301, cláusula 4.3.2
Alcance del SGCNLa organización deberá:
a) Establecer las partes de la organización que se incluirán en el SGCN
b) Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las
obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las
responsabilidades legales y reglamentarias.
c) Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de
aplicación del SGCN.
d) Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con
clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus
necesidades, expectativas e intereses (según corresponda), y
e) Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado
de complejidad de la organización.
En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales
exclusiones no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos aplicables.
Ámbito de la aplicación
Importancia
Una clara definición del alcance, centrándose en actividades clave de la organización, es un factor de éxito importante para la implementación del SGCN.
Esto hará que sea más fácil:
1. Conseguir el apoyo de la dirección
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas
Nota importante: la extensión del ámbito de aplicaciónes el primer factor que determina la cantidad
de esfuerzo requerido por el proyecto.
1.4. Ámbito de Aplicación del SGCN
Lista de actividades
1.2 Comprensión de la organización
1.3 Analiza elSistema existente
1.5 Liderazgo &planificación
1.6 Política de CN
1.4.1 Límites Organizacionales
1.4.2 Límites de lasLíneas de negocio
1.4.3 Los límitesfísicos
1.4.4 Ámbitode aplicación
Límites del SGCN
Las 3 dimensiones a considerar
Las
línea
s fís
icas
Organizacional
del negocio
1.4.1 Definiendo los Límites Organizacionales del Alcance
Un proceso clave
Un departamento
La organizacióncomo un todo
La organización y suspartes interesadas
Nota: Donde una parte de una organización, queda excluida del ámbitode aplicación de su SGCN, laorganización debería documentar yexplicar la exclusión
1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de Aplicación
• La organización debe identificar los productos y servicios en el ámbito
• Ejemplo: Un hospital podría incluir sólo los servicios de emergencia en el
ámbito de aplicación La oficina de correos podría incluir todos los servicios en el
ámbito de aplicación con la exclusión de la entrega de paquetes/
encomiendas Una fábrica podría mantener sólo la producción de un producto. Etc.
1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación
• Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como
externos incluidos en el SGCN
• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen
• En el caso de los sitios físicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el Ámbito de Aplicación del SGCN
El documento de definición del ámbito de aplicación debería incluir:
1. Las principales características de la organización
2. Los procesos de negocios cubiertos por el SGCN
3. La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN
4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.)
5. La lista de ubicaciones geográficas
6. Los detalles y motivos para las exclusiones
Declaración del Ámbito de Aplicación
Ejemplo
• La declaración del alcance es pública y, en general, está disponible en el
sitio web del organismo de certificación que haya expedido el certificado
• Esta declaración resumida estará escrita en el certificado. Deberá ser:
1. Tan simple como sea posible
2. Comprensible para alguien externo a la organización
3. Lo suficientemente precisa para expresar lo que está cubierto por
la certificación
Ejemplo: Este sistema de gestión de la continuidad del negocioSe aplica al centro de distribución global proveyendo
Servicios de tercerización y contacto con el clienteY externalización de ABC S.A.
Cambios en el Ámbito de Aplicación
Cualquier cambio en elalcance debe ser evaluado,aprobado y documentado
Extensión del Ámbito de Aplicación
ISO 17021, cláusula 9.5.1
• Varias empresas auditadas prefieren definir un alcance reducido para una certificación inicial y complementar una solicitud de extensión en los años
siguientes
• La auditoría de extensión se puede realizar durante una auditoría de control
• Si no se concede la certificación de extensión, la organización no pierde su
certificado actual
Ejercicio 4
Definición del ámbito de aplicación
Día 2
Implementador Líder
Certificado en la ISO 22031
Capacitación Implementador Líder ISO 22301
Sección 9Liderazgo y planificación
a. Caso de negocios del SGCNb. Equipo del proyectoc. Objetivos del SGCNd. Plan del proyectoe. Plan de comunicación para el proyecto SGCNf. Aprobación de la Dirección
1.5. Liderazgo y Planificación
1. Planificar
Negocio
1.1. Iniciar el SGCN
1.2 Comprensión de la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
2. Hacer
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
3. Verificar 4. Actuar
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
Requisitos
Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2
5.1 Liderazgo y compromisoLas personas en los niveles superiores de la administración y otras en funciones de gestión en toda la organización beberán demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la DirecciónLa alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de :- Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la - continuidad del negocio y que sean compatibles con la dirección estratégica de la organización.
- Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio- Comunicar la importancia de una buena gestión de la continuidad del negocio y de conformidad con los requisitos del SGCN- Asegurar que el SGCN logre el resultado (s) esperados(s)- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN- Promover la mejora continua: y- Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus áreas de responsabilidad
7.1 RecursosLa organización deberá determinar y proporcionar los recursos necesarios para el SGCN
1.5. Liderazgo y Planificación
Lista de actividades
1.4 Alcance(ámbito de aplicación)
del SGCN
1.6 Política de CN
1.5.1 Caso de negocio
1.5.2 equipo de proyecto del SGCN
1.5.3 Determinación de los objetivos
1.5.4 Requisitosde los recursos
1.5.5 Plan delproyecto del SGCN
1.5.6 Plan de comunicación
1.5.7 AprobaciónPor la Dirección
1.5.1. Crear y Presentar un Caso de Negocio
Un caso de negocio es:
1. Una herramienta de apoyo de apoyo de la Dirección para la toma de decisiones
2. Un documento que se utiliza para promover el proyecto del SGCN
3. Una primera estructuración del proyecto
Contenido del Caso de Negocios
PMBOK
1.Medioambiente
2. Finalidad yobjetivos
3. ResumenDel proyecto
4. Beneficiosesperados
5. Alcancepreliminar
9. Funciones yResponsabili-
dades
6. FactoresCríticos de éxito
7. Anteproyecto
10. Recursosnecesarios
8. Plazos e hitos
11. Presupuesto 12. Restricciones
Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Equipo del Proyecto
Partes Interesadas
Gerentedel SGCN
Directordel proyecto
Equipo de Gestión delProyecto
DefensorDel
ProyectoDel SGCN
Director del Proyecto SGCN
Competencias requeridas
El director del proyecto SGCN debe tener los conocimientos y habilidades en las siguientes áreas:
1. Conocimiento y habilidades en Gestión de Proyectos
2. Conocimiento de la organización y su entorno
3. Conocimiento de gestión de la continuidad del negocio
4. Habilidades interpersonales (comunicación efectiva,
negación, resolución de problemas,
habilidades de liderazgo, etc..)
Comité Directivo
Durante el proyecto SGCN
Objetivo Asegurar la planificación y el seguimiento del SGCN
Misiones
Miembros
Frecuencia de las reuniones
1. Planificar la implementación del SGCN2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Dirección3. Definir las funciones y responsabilidades para el proyecto SGCN4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (después de la aplicación)5. Seleccionar el método de análisis de riesgo y el AIN6. Gestionar los recursos7. Realizar revisiones de los proyectos de la aplicación del SGCN
Director del Proyecto SGCN, responsables de los servicios claves que participan en los siguientes dominios de aplicación (TI, auditoría, legales, finanzas, recursos humanos, seguridad física etc.)
Mensuales
1.5.3. Determinación de los objetivos del SGCN
ISO 22301, cláusula 3.32 y 6.2
Determinar los objetivos
2
31
Una mayor flexibilidad(resilencia) de la
Empresa• ¿Puede el SGCN mejorar la resilencia de la organización en caso de un incidente perjudicial?
Gestión de continuidaddel negocio eficiente
• ¿Puede el SGCN mejorar la eficacia de la gestión de continuidad del negocio?
Ventaja del negocio• ¿L a implementación de un SGCN puede proporcionar ventajas competitivas
Determinar los Objetivos
Ejemplos
Los objetivos relacionados con la aplicación del SGCN pueden ser:
Velar por el cumplimiento de las obligaciones legales, reglamentarias y
contractuales de la organización Demostrar la debida diligencia y el cuidado debido de la gestión Inspirar confianza de las partes interesadas de la organización Proteger la disponibilidad de las actividades fundamentales de la organización Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores
prácticas Mejorar el tiempo de respuesta a incidentes y desastres Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.
1.5.4. Determinación de los Requisitos de Recursos para el Proyecto SGCN
ISO 22301, cláusula 8.3.2
• Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto• El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables• El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
información• Generalmente hay un desfase entre el tope de la inversión de un proyecto
y las demandas del proyecto…
1.5.5. Elaboración del Plan del Proyecto SGCN
PMBOK
Un método iterativo
ContenidoDel
Proyecto
Recursos Costos
Retrasos Riesgos
Plan delproyecto
Contenido del plan del proyecto SGCN
PMBOK
Un plan de proyecto incluye lo siguiente:
1. Carta del Proyecto
2. Descripción del enfoque o estrategia de gestión de proyectos
3. Formulación del contenido del proyecto, con resultados y objetivos del
proyecto
4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”)
5. Costos estimados, fecha de inicio prevista, y la asignación de responsabilidad
6. Referencias; medición de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
Revisión y Presentación del Plan del Proyecto SGCN
PMBOK
Revisión de los objetivos del proyecto y los factores de éxito
Revisión de las funciones
Definición de la frecuencia y el contenido de las reuniones de progreso
Revisión de los documentos del proyecto
Estimación de los recursos internos necesarios
Definición de la planificación y sucesivas fases de ejecución
Revisión de las presentaciones que deben proveerse
Revisar el método propuesto
Destacar los riesgos e incertidumbres inherentes en el proyecto
1.5.6. Plan de Comunicación para el Proyecto SGCN
Norma ISO 22301, cláusula 7.4
• Cuando se establece el SGCN, la organización necesita tener comunicación
efectiva y procedimientos de consulta para el intercambio de información con
las partes interesadas
• La organización debería disponer de una comunicación eficaz como parte de
su programa de sensibilización
• El plan de comunicación será detallado en el Día 3
SGCN
1.5.7. Aprobación por la Dirección del Proyecto SGCN
Norma ISO 22301, cláusula 5.2
Beneficios Claves delCompromiso de la Dirección
•Mayor conocimiento de las leyes• óptima asignación de recursos• Identificación de los activos críticos• Procesos y plan de la continuidad del negocio controlados y medidos
Apr
obac
ión
por
La D
irecc
ión
Funciones de la Dirección
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia de las reuniones
Alinear el SGCN con los objetivos y estrategia de negocio
1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la organización
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales3. Validar las funciones y responsabilidades de las principales partes interesadas en el
proyecto4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del
riesgo5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en
conformidad con los requisitos SGCN6. Proveer de recursos suficientes para la implementación del SGCN7. Asegurar que se llevan a cabo auditorias internas8. Hacer revisión del SGCN por la dirección9. Prestar apoyo al mejoramiento del SGCN
Alta Dirección (CEO, CIO, CFO…)
Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis de riesgo e informe del AIN, revisión por la dirección, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas
Capacitación Implementador Líder ISO 22301
Sección 10
Política de la continuidad del negocio
a. Crear modelos de política
b. Proceso de redacción de política
c. Aprobación por la Dirección
d. Publicación
e. Capacitación, comunicación y sensibilización
f. Control, evaluación y revisión
1.6. Política de la Continuidad del Negocio
1. Planificar 3. Verificar
4. Actuar2. Hacer
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
Requisitos
Norma ISO 22301, cláusula 5.3
Política
La alta dirección deberá establecer una política de continuidad del negocio que:
a) Sea apropiada para los fines de la organización
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
La política del SGCN deberá:- Estar disponible como información documentada- Ser comunicada dentro de la organización- Estar a disposición de todas las partes interesadas, según corresponda- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
produzcan cambios significativos
La organización deberá retener información documentada sobre la política
De continuidad del negocio.
Definición de Política de la Continuidad del Negocio
Norma ISO 22399, cláusula 3.19
Las intenciones generales y la dirección de la organización, relacionadas con su preparación ante incidencias y continuidad operacional, tal y como ha sido expresado por la alta dirección
1.6. Política de la Continuidad del Negocio
Lista de actividades
1.5 Liderazgo & planificación
1.6.4 Publicación
1.6.3 Aprobación por la Dirección
1.6.2 Redacción de la Política
1.6.1 Proceso de redacción de la
Política
1.6.5 Capacitación, comunicación y sensibilización
1.6.6 Control, evaluación y
revisión
1.7 Estructura organizativa
1.6 Política de C. N.
1.6.1. Definición del Proceso de Redacción de la Política
Proceso General
2.Definir los
componentesde la política
3.Redactar
lasSecciones
4.Validación
de loscontenidos yel formato
5.Aprobación
por lasPartes
Interesadas
1.Designar una
PersonaResponsable
Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación
1.6.2. Redacción de la Política de Continuidad del Negocio
Temas que suelen incluirse en la política
1. Un marco que permite definir objetivos y establecer una dirección y directrices de política para la gestión de Continuidad del Negocio
2. Una consideración de las obligaciones legales y reglamentarias impuestas a la organización, así como otros compromisos
3. La alineación de la gestión de continuidad del negocio con los objetivos estratégicos de la organización
4. Atribución de las funciones y responsabilidades
5. Aprobación oficial de los anteriores por la Dirección
1.6.3. Aprobación por la Dirección
La política del SGCN debe:
Demostrar el compromiso de la dirección
Ser aprobada por la Dirección
La política debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobación puede pertenecer a un comité:
Junto de Directores
Consejo de Administración
1.6.4. Publicación de la Política de Continuidad del Negocio
Principales modos de comunicación
Intranet
Distribución deCopias en papel
Reunión
Sesión de orientaciónde nuevos empleados
1.6.5. Capacitación, Comunicación y Sensibilización
Plan de comunicación
Público de destino
Difusión (reuniones, intranet,extranet, documentos…)
Comunicación
Sensibilización Capacitación
¿Objetivoalcanzado?
Control, evaluación y revisión
Procesorecurrente
No
Si Nota: Esta temática se discutirá durante el Día 3
1.6.6. Control, Evaluación y Revisión
Control
Evaluación
Revisión• Mantener • Asegurar
conformidad
• Medir el grado deconformidad
Capacitación Implementador Líder en la ISO 22301
Sección 11
Estructura Organizativa
a. Estructura de gestión
b. Estructura Orgánica para la gestión de la continuidad del negocio
c. Designación de un coordinación de la continuidad del negocio
d. Roles y responsabilidades de las partes interesadas
e. Roles y responsabilidades de los comités clave
f. Equipos de la continuidad del negocio
g. Proceso de decisión y de control
1.7. Estructura Organizativa
1. Planificar 2. Hace 3. Verificar 4. Actuar
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
Norma ISO 22301, cláusula 5.4
Funciones, responsabilidades y autoridades organizativas
La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización.
La alta gerencia deberá asignar la responsabilidad y autoridad para :
a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional; e
b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección
Estructura organizativa
Principios
• Para ser eficaz, un programa de continuidad empresarial debería ser un
proceso integrado de gestión impulsado desde las altas esferas de la organización, apoyado y promovido por los principales
directores y
ejecutivos
• Debería ser administrado en los niveles operativos y de la organización
• Puede requerirse una serie de profesionales y personal de otras disciplinas
relacionadas con la gestión y los servicios necesarios para apoyar y gestionar
el programa
• La continuidad de recursos necesarios, dependerá del tamaño y la diversidad
de la organización
1.7. Estructura Organizativa
Lista de actividades
1.6 Política de continuidaddel negocio
1.7.1 Estructurade gobierno yorganización
1.7.2 Coordinador de la continuidad
del negocio
1.7.3 Roles yResponsabilidades
de las partesinteresadas
1.7.6 Proceso de decisión y control
1.7.5 Equipos de lacontinuidaddel negocio
1.7.4 Roles yResponsabilidades
de los comitésprincipales
1.8 Informacióndocumentada
1.7 Estructura organizativa
1.7.1. Definición de la Gestión de Gobierno y de la Estructura Orgánica para la Gestión de Continuidad del Negocio
Estructura de gobierno
Junta de Directores
CEO
Comité de Crisis
Comité de Continuidad del
negocio
OperacionesRecursoshumanos
AuditoríaInterna
ServiciosAdministrativos
Tecnología de la información
(TI)
Ventas &Marketing
Continuidad del Negocio
Partes Involucradas
Actores Principales
Unidad de negocio 1 Unidad de negocio 2 Gestión de TI Gestión de Instalaciones
Organismos Externos
Comité de CrisisAlta DirecciónMedios de comunicación
Medios de
Director de la Continuidad delNegocio
Comité de Continuidad del Negocio
Plan de Continuidaddel Negocio
Seguridad pública
Autoridades del Gobierno
CERT
Director del Sitio
Coordinador de gestiónde CN del Sitio
Plan deContinuidad del
Negocio adaptadoPara la unidad
LosProcedimientos
locales
Director del Sitio
Coordinador de gestiónDe CN del Sitio
Director del Sitio
Coordinador de Recuperación de TI
Gerente de lasInstalaciones
Coordinador de la Respuesta de Emergencia
Plan de Continuidad del
Negocio adaptado para la unidad
Planes deRecuperación y
Restauración de TI
Planes de Recuperación yRestauración de
TI
Los Procedimientos
de TI
Planes deRespuesta deEmergencia
ProcedimientosDe emergencia
Procesos de Negocios Procesos de Soporte
1.7.2. Designación de un Coordinador de la Continuidad del Negocio
Funciones y responsabilidades
• El Coordinador de la continuidad del negocio tiene la responsabilidad general de la concepción, el desarrollo, la coordinación, ejecución, administración,
capacitación, programas de sensibilización, y el mantenimiento del Plan de continuidad de Negocios y el SGCN
• El CCN debería estar en una función de nivel de dirección
• Es responsable de la cooperación y colaboración en la Continuidad del Negocio de los gerentes, usuarios, administradores de sistemas, auditores, personal de seguridad, y habilidades de especialistas en áreas como los seguros, las
cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos
1.7.3. Definir las Funciones y Responsabilidades de las Partes Interesadas
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI
Encargado de Seguridad de la Información
Encargado de RRHH
Encargado de Patrimonio
Oficial de RRPP
Encargado del centroDe servicios / ”Help Desk”
Responsable de la Gestión de documentos
Auditor interno
Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación
Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección contra incendios, mantenimiento eléctrico, etc.)
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso, gestión de incidencias, etc.)
Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes interesadas externas
Validación del Cumplimiento del SGCN
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación de las pruebas
Coordinar las actividades relativas a la gestión de seguridad de la información
Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones
1.7.4. Definición de la Funciones y Responsabilidades de los Comités Claves
1. Comité Ejecutivo y Comité de Crisis
2. Comité de Continuidad del Negocio
3. Comités Operativos y Comité Local de CN
1.7.5. Creación de los Equipos Necesarios de Continuidad del Negocio
Ejemplo
Líder del Equipo de Gestión de Crisis (Director Ejecutivo)
Gerente de Evaluación de
Riesgo
Coordinar de la Continuidad
del Negocio
TI/RR.HH./Legales/Finanzas
Representantes de La unidad de
Negocio
Equipo de Respuesta de Emergencia
Equipo de Evaluación de
Daños
Equipo de Relaciones
Públicas
Equipo de Recuperación
Equipo de Restauración
Equipo de Telecomuni-
caciones
Equipo de Obtención de Recursos y Logística
Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisión y Control
Modelo de la estructura de comando y control
Nivel 2Táctico
Nivel 3Operativo
Nivel 1Estratégico
Esca
lada
del Control
Capacitación Implementador Líder ISO 22301
Sección 12
Información documentada
a. Requisitos de la información documentada
b. Valor de la documentación
c. Creación de plantillas
d. Gestión de la documentación
e. Implementación de un sistema de gestión de
documentos
f. Redacción de la información documentada de
l SGCN
g. Control de los registros
1.8. Información documentada
1. Planificar 2. Hacer 3. Verificar 4. Actuar
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.6 Política de CN
1.5 Liderazgo y planificación
1.8 Información documentada
1.7 Estructura organizativa
1.9 Competencia y sensibilización
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
Requisitos
Norma ISO 22301, cláusula 7.5
7.5 Información documentada
7.5.1 Generalidades
El SGCN de la organización incluirá:- La información documentada requerida por esta norma internacional- Información documentada determinada por la organización como necesaria para la
eficacia del SGCN
7.5.2 Creación y actualización
Al crear y actualizar la información documentada, la organización deberá garantizar la adecuada:
a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia),
b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por ejemplo, papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.
Requisitos
Norma ISO 22301, cláusula 7.57.5.3 Control de la información documentadaLa información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para asegurar que:
a) Está disponible y apta para su uso, cuándo y dónde sea necesario,
b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida de integridad).
Para el control de la información documentada, la organización deberá abordar las siguientes
actividades, según corresponda:- Distribución, acceso, recuperación y uso,- Almacenamiento y conservación, incluida la conservación de la legibilidad,- Control de los cambios (p. ej., control de versiones).- Retención y disposición- Recuperación y uso,- Preservación de la legibilidad (es decir lo suficientemente claro para leer), y - Prevención del uso no intencionado de información obsoleta.
La información documentada de origen externo determinada por la organización como necesaria
para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y
controlada.
Cuando se establece el control de la información documentada, la organización deberá asegurarse de que exista
una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la
modificación no autorizada o la eliminación).
Requisitos de Información Documentada
Resumen
Contenido Formato Ciclo de Vidadel Documento
Documentación del Sistema de Gestión
Tipos de información documentada
DescripcionesDel
Marco de Gestión
Describe los procesos,Procedimientos y controles(quién, qué, cuándo, cómo,
Dónde y por qué)
Describe en detalle cómo se llevan aCabo las tareas y actividades
Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Políticas, el alcance, revisión por la dirección, y otros documentos estratégicos
Descripción del proceso, actividades, controles y procedimientos
Hojas de cálculo, formularios listas de control, etc.
Registros
Valor de la Documentación
Notas importantes
• En muchas organizaciones, la creación de la
documentación está desproporcionada
• La preparación de los documentos no debería
ser un objetivo en sí mismo. Esta debe ser
actividad de valor añadido, soporte del SGCN
• La documentación que es demasiado es difícil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza…
• Cada organización determina la extensión de
la documentación necesaria y los medios de
comunicación a utilizar
1.8 Información documentada
Lista de actividades
1.7 Estructuraorganizativa
1.9 Competencia ysensibilización
1.8.1 Creación deplantillas
1.8.2 Control de los documentos
1.8.3 Sistema de gestión
de documentos
1.8.4 Establecer laDocumentación
del SGCN
1.8.5 Control de los registros
1.8 Información documentada
1.8.1. Creación de Plantillas
Tipo de documentos
Tipo Objetivos
Política Intenciones y directrices generales de una organización formalmente expresadas por la Dirección
Procedimiento
Directrices
Plan de Continuidad del Negocio
Carta
Esquema de proceso
Normativa de proceso
Formulario
Guía
Hoja de datos
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las directrices y las normas de apoyo se aplicarán realmente en un entorno operativo
Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas prácticas a seguir
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en el caso de una crisis
Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios empleados, proveedores o prestadores de servicios
Esquema que ilustra el trabajo de un proceso
Explicación detallada de funcionamiento de un proceso como una descripción
Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)
Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación
Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestión de la documentación
El desarrollo de un proceso de gestión de la documentación y redacción de un procedimiento
c) Clasificación, indexado yseguridad
b) Identificacióna) Creación
d) Modificación
e) Aprobación
f) Distribución
g) Uso adecuado
h) Conservación y archivado
i) Eliminación
1.8.3. Implementación de un Sistema de Gestión de Documentos
• Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su
información• Custodiar el ciclo de visa complement0 de los documentos
• Garantizar la trazabilidad
• Garantizar el acceso a los documentos
Optimizar búsqueday actualización
1.8.4. Redacción de la Información Documentada Requerida del SGCN
Como mínimo, el SGCN debería contener la siguiente documentación:
1. El contexto de la organización
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2)
4. Política de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)
7. Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia consideradas
9. Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditorías Internas (9.2)
13. Revisión por la dirección (9.3)
14. No Conformidades y acciones correctivas (10.1)
Información Documentada que puede ser Requerida
Además puede ser requerida la información documentada que abarca la siguiente información necesaria para asegurar la eficacia del SGCN:
1. Los contratos con clientes y los niveles de servicio
2. Resultados de los análisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinación y selección de las estrategias de continuidad del negocio
5. Resumen de respuesta ante incidentes
6. Programa de sensibilización
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitación para la organización y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores
11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspección, mantenimiento y calibración
13. Después de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunión de la revisión del SGCN
No van en el manual
Crear una Lista Maestra de Documentos
Buenas prácticas
Es una buena práctica crear una lista única de todos los documentos relacionados con el SGCN con información básica tal como:
El identificador único Título El tipo de documento Los nombres, funciones y servicios de los autores (y / o los propietarios) El nombre del responsable y la fecha de la aprobación Fecha de emisión Fecha de la versión y de la revisión Numeración de páginas Nivel de clasificación
1.8.5. Control de los Registros
o Los controles para garantizar la identificación, almacenamiento, protección,
disponibilidad, tiempo de conservación y eliminación de registros deben estar
documentados e implementados
o Los registros deben ser protegidos, permanecen legibles, fácilmente
identificables y accesibleso Ejemplos de registros:
Las actas de reunión Certificados de capacitación Enviar cartas a las partes interesadas Los informes de auditoría Informe de resultados de pruebas
Lista Maestra de Documentos
Ejemplo
Identificación Almacenamiento ResponsabilidadDuración de laconservación
Clasificación
Registro decapacitación
Departamento de Recursos Humanos
Director de Recursos Humanos
3 años Uso interno
Hoja de informeDe incidentes
Centro de ServiciosDirector
Centro de Servicios 2 años Confidencial
Ejercicios yRegistros de las
Pruebas delSGCN
Departamento de Gestión de Riesgos
Director de CN5 años Muy confidencial
7 añosSecretario del
Comité EjecutivoComité Ejecutivo
Revisión por laDirección
Muy confidencial
Gestión de la documentación
Problemas más comunes
Problema Causa potencial
Dificultad para encontrar o gestionar un documento
Cantidad demasiado grande de documentos mal clasificados y no catalogados
Incapacidad para extraer rápidamente información útil de un documento
Documento voluminoso, demasiado literario, a menudo con varios anexos
Actualizaciones de carácter tediosoLos procesos de gestión de documentos no están establecidos o poco explotados
Los empleados relacionados con las operaciones no han participado en la redacción de documentos
Diferencia entre los registros y procesos de negocio reales
Textos o gráficos ambiguos / incomprensiblesNo hay validación con los usuarios, la falta de formación y sensibilización, editor incompetente
Proliferación de versiones de los documentosNingún sistema de gestión de documentos en uso
Ejercicio 6
Lista maestra de documentos
Capacitación Implementador Líder en la ISO 22301
Sección 13
Competencia y sensibilización
a. Diferencia entre capacitación, sensibilización y comunicación
b. Definición de un programa de desarrollo de competencias
c. Evaluación de las competencias requeridas
d. Definición de un programa de capacitación
e. Definición de un programa de sensibilización
f. Evaluación y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilización
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisiónpor la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.7 Estructura organizativa
1.6 Política de CN
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 7.2 y 7.3
7.2 CompetenciaLa organización deberá:
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las medidas adoptadas, y
d) Mantener adecuada información documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la re-asignación de los empleados; o la contratación o subcontratación de personas competentes.
7.3 ConcienciaLas personas que realizan trabajos en el control de la organización deberán tener en cuenta:
f) La política de continuidad del negocio,
g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad del negocio,
h) Las consecuencias de no conformidad con los requisitos del SGCN
i) Su papel durante los incidentes disruptivos.
Competencia y Capacitación
Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2
Capacidad demostrada para aplicar conocimientos y habilidades
Competencia
Capacitación
Proceso para proporcionar y desarrollar los conocimientos, las habilidades y las conducta para cumplir con los requisitos
CompetenteDesempeño
Practicante
Habilidades
Habilidadesde
conducta
Conocimiento
Con
ocim
ient
osde
Contexto
ContextoC
ontexto
Capacitación, Sensibilización y Comunicación
Diferencias
Sensibilización ComunicaciónCapacitación
Adquisición de habilidades
Cambio de hábitos Estar informado
Dirigida al intelectoDirigida principalmente a
las emociones y el comportamiento
Dirigida al intelecto
¿Qué habilidadesTienen que adquirir?
¿Qué comportamiento queremos reforzar o
cambiar?
¿Qué mensajes enviamos?
1.9. Competencia y Sensibilización
Lista de actividades
1.7 Estructuraorganizativa
1.8.2 Evaluación de las
competencias necesarias
1.9.1 Definir un programa de desarrollo de competencias
1.9.3 Definir un programa de capacitación
1.9.4 Definir unprograma de
sensibilización
1.9.5 Evaluacióny mejora continua
1.8 Informacióndocumentada
2.1 AIN
1.9.1. Definición de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 cláusula 7.2
La organización debería desarrollar un programa de desarrollo de competencias
que incluya: La evaluación de competencias para las función (es) que se llevarán a
cabo Creación de un programa de desarrollo personal que identifica
capacitación, supervisión, etc. Servicios de capacitación y tutoría incluyendo la selección de métodos
y materiales adecuados Intercambio de Conocimientos Trabajo compartido Contratación de una persona o personas competentes Evaluación y mejora continua del programa
1.9.2. Evaluación de las Competencias Requeridas
Ejemplo
Funciones
Función A
Función B
Función C
Función D
Función E
Políticas Crisis AIN LegalesAuditorias
A
BB R
C
BC
B
C
B A C
A A
A
A
Experiencia Conocimiento Nivel de Sensibilización
1.9.3. Definición de un Programa de Capacitación
Tipos de programa y sus objetivos
Sesión de Iniciación
Educación continua
Educación Básica (Universidad)
Obtener información sobre temas específicos
Mantenimiento de las habilidades y adquisición de habilidades especificas
Adquisición de habilidades generales
Principales Métodos de Capacitación
Norma ISO 10015, cláusula 4.3
Taller
Cuando se selecciona una solución de capacitación para cerrar las brechas de competencia, deberían ser especificadas y documentadas las necesidades de capacitación
Deberían enumerarse los posibles métodos de capacitación a fin de satisfacer las necesidades de formación. La forma adecuada de capacitación dependerá de los recursos enumerados, las limitaciones y objetivos
Aprendizajea distancia
Autocapacitación
Aprendizaje
Métodos de capacitación
Cursoen el sitio o
fuera delsitio
Instrucciónen el puestode trabajo
1.9.4. Definición de un Programa de Sensibilización
Temas principalesLas personas que realizan trabajos en el control de la organización deberán tener en cuenta:
La política de continuidad del negocio,
Su contribución al SGCN prevista
Los beneficios de la continuidad del negocio
Su papel durante los incidentes
Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio de la organización es un Proceso en curso
1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de Competencias
El objetivo de la evaluación es confirmar que se han cumplido los objetivos de ambas competencias de la organización y las individuales, es decir, el programa de desarrollo ha sido efectivo
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 14
Análisis de Impacto en el Negocio (AIN)
a. Propósito de un AIN
b. Planificación de un AIN
c. La recopilación de datos
d. Análisis de los datos
e. Validación de los datos
f. Presentación del informe del AIN
2.1. Análisis del Impacto en el Negocio (AIN)
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis y
evaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 8.2.2Análisis del impacto en el negocio
La organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para determinar las prioridades, objetivos y metas de continuidad y recuperación. Este proceso deberá incluir la evaluación del impacto de interrumpir las actividades que apoyan las actividades de productos y servicios de la organización.
El análisis del impacto en el negocio deberá incluir lo siguiente:
a) Identificación de las actividades que favorezcan la presentación de los productos y servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas serían inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios
Propósito de un AINObtener una comprensión de los productos y servicios clave de la organización y la actividades que los ofrecen
Determinar las prioridades y los plazos para reanudar actividades
Identificar los principales recursos que puedan ser necesarios para la continuidad y recuperación
Identificar las dependencias (tanto internas como externas)
2.1. Análisis del Impacto en el Negocio (AIN)
Lista de actividades
1.9 Competencia y capacitación
2.2 Evaluación del Riesgo
2.1.1 Planificación del AIN
2.1.2 Recolección de los datos
2.1.3 Análisis de los datos
2.1.4 Validación de los datos
2.1.5 Presentación del Informe del AIN
2.1.1. Planificación de un AIN
Actividades
1 Determinación del enfoque y el método de recolección de datos
2
3
4
Identificación de las actividades que soportan los productos y servicios clave
Selección de los impactos que se van a analizar
Preparación de las herramientas del AIN
1. Determinación del Enfoque y el Método de Recolección de Datos
Determinación del enfoque
El enfoque puede ser cuantitativo (con cálculo de consecuencias financieras) y/o cualitativo (evaluación de impactos no financieros como la reputación, el servicio de atención al cliente, etc.)
Determinación del método
La recopilación de datos del AIN puede hacerse con una combinación de métodos como taller, entrevistas y cuestionario
Crear un equipo de AIN e identificar a quienes van a responder las entrevistas (de las funciones de negocio y las funciones de apoyo)
Identificación de los participantes
II. Identificar la Actividades que dan Apoyo a sus Productos y Servicios Principales
NADA
Las actividades a considerar• Las que apoyan la misión de la organización y que son vitales para sus logros
• Relacionadas con obligaciones legales y/o contractuales
Principales Actividades de Negocio
Ejemplo basado en la cadena de valor de Porter
Gestión de Infraestructuras
Gestión de Recursos Humanos
Finanzas y contabilidad
I+D Marketing Diseño Producción Distribución Atención alcliente
InvestigaciónY Desarrollo
Ventas
Marketing Diseño
Suministros
Transformación
Control de calidad
Fabricación
Exportación
Embalaje
Servicios Pos venta
III. Selección de los Impactos a Analizar
La
s i
nte
rru
pc
ion
es
IMPACTOS
SANCIONES• Contractuales• Regulatorias• Legales
PÉRDIDA DE INGRESOS• Pérdida Directa• Pagos Compensatorios• Ingresos Futuros Perdidos• Pérdida de Inversión
DAÑOS A LAREPUTACIÓN• Clientes, Proveedores, Socios, Bancos Mercados Financieros• Calificaciones de Crédito
GASTOS ADICIONALES• Costo de la Recuperación• Gastos Extras• Mayor Riesgo de Fraude• Una Mayor Tasa de Error• Los Gastos de Viaje• Los Empleados Temporales
RECAUDACIONES RETRASADAS• Las Pérdidas de Facturación• Descuentos Perdidos
PÉRDIDA DE PRODUCTIVEDAD• Número de Empleados afectados• Número de horas perdidas• % de Capacidad perdida
IMPACTOS EN SEGURIDAD• La pérdida de vida o lesiones• Irritación de las vías respiratorias• Enfermedad
IMPACTO AMBIENTALES• Contaminación del suelo• Contaminación del aire• Contaminación del agua• Devastación de la flora y la fauna
IV. Preparación de las Herramientas del AIN
Principales herramientas
o “Peor de los casos”
o Cuestionario
o Guía para al responder a los cuestionarios
o Guía para facilitadores y entrevistadores de talleres
o El Programa y la presentación de un taller
o Presentación de lanzamiento
o El software del AIN
2.1.2. La Recopilación de Datos
Durante el análisis del impacto en el negocio, es recomendable recoger datos a través de cuestionarios, entrevistas, o talleres
o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero estos datos se deberían recopilar sólo para respaldar o complementar los datos a través del contacto directo con expertos en la materia
o Durante la fase de recolección de datos, la siguiente información debería ser recopilada:
Evaluación de los impactos Identificación de los objetivos de continuidad del negocio, como RTO, RTP y
MBCO Documentación de actividades prioritarias
I. Evaluación de los Impactos
Ejemplo
Umbrales de Impacto
4Critico
1Limitado
3Grave
2Importante
Riesgo Financiero
Impacto a laFuncionalidad
Impacto en laImagen Pública
Compromiso de Responsabilidad
Riesgo Financiero
Riesgo Financiero
Riesgo Financiero
Riesgo Financiero
Sin más retrasodespués de 3meses
Sin más retrasodespués de 1mes
Sin más retrasodespués de 2semanas
Sin más retrasodespués de 1semana
LimitadaDivulgación de Incidentes
SignificativoCambio de Imagen Pública
ImportanteCambio de Imagen Pública
CambioPermanente de la Imagen Pública
Quejas de los Clientes
Cuestionamientode los ContratosActuales
Cancelación de los ContratosActuales
Destitución delDirector General/o miembros de laDirección
Impacto Económico,Humano y Social Riesgo Financiero
QuiebraPérdidaFinancieraLimitada
PérdidasFinancierasImportantes
DeudasFinancieras
II. Identificación de los Principales Recursos y Dependencias Vinculados a los Procesos Críticos
Ejemplo con un proceso de producción
III. Identificación de los Objetivos de Continuidad del Negocio
RPO y RTO
Objetivo de punto de recuperación (RPO, por sus siglas en inglés)
Objetivo de tiempo de Recuperación (RTO)
• Punto en que la información utilizada por una de las actividades debe ser restaurada para que la actividad pueda funcionar tras la reanudación.
• Periodo de tiempo después de un incidente en el que: el producto o servicio deben reanudarse; o la actividad debe reanudarse; o los recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de punto de Recuperación (RPO)
(Máxima pérdida de datos aceptable
Objetivo de Tiempo de Recuperación (TTO)
El tiempo máximo aceptable
DesastreDesastre
Tiempo0:00
Copia de seguridaden cintas(7 Días)
Copia de seguridad de la red
(24 H)
Sistema de espejos(1 Minuto)
Crítico(1 H)
MuyImportante
(12 h)Importante
(72 H)
Identificación de los Objetivos de Continuidad del Negocio
OMCN (MBCO)
Objetivo Mínimo de Continuidad del Negocio OMCN (MBCO)
• Nivel mínimo de los servicios y/o productos que es aceptable para la organización para alcanzar sus objetivos de negocio durante una interrupción
100 % Nivel de servicio normal
40 %
Objetivo Mínimo de Continuidad del Negocio (MBCO)0 %
IV. Documentación de las Actividades Prioritarias
Resumen basado en las mejores prácticas
1
2
3
4
5
Descripción de la Función Empresarial
Impacto del Flujo de Trabajo
Consecuencias de No Procesar
Las Dependencias
Las Actividades críticas
2.1.3. Análisis de los Datos
Transcribir en minutas de entrevistas o síntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado
Comprobar que los objetivos de continuidad de la empresa se justifican por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar
Identificar incoherencias
? ?
???
??
?
2.1.4. Validación de Datos
Validar con:o Gerente de la función de negocioo Director del Departamento
Cualquier cambio en los datos recopilados debe estar documentado y aprobado En la parte final de esta fase, asegúrese de que toda la información recopilada está completada, es precisa y está acordada por las personas implicadas
Validación de datos
2.1.5. Presentación del Informe del AIN
El informe del AIN
No hay formato normalizado para un informe del AIN y al igual que con muchos otros procesos, documento es probable que siga el formato estándar de la organización
Como mínimo, el informe del AIN debe incluir:
La lista de actividades queApoyan a los principales productos y servicios.Las evaluaciones de impactoEl RTO y las prioridades de la empresa para la recuperación Importantes dependencias y recursos de soporte
Resumen de Objetivos de Recuperación
Objetivo de Punto de Recuperación (RPO, porsus siglas en inglés
Objetivo de Tiempo deRecuperación(RTO)
Corte máximo aceptable(MAO)
Plan de protección y deMedidas de mitigación
Plan de capacitación y sensibilización
Desastre
Nivel de servicionormal100%
40%
0%
Última copia de seguridad
Objetivo Mínimo de Continuidaddel Negocio (MBCO) Horas Día
Llegar al punto de losServicios mínimos a
recuperar
Volver a Normal
Semana Mes Tiempo
Análisis de Impacto en el Negocio (AIN)
Resumen con un ejemplo
APORTACIONESDE LAS PARTESINTERESADAS
ProcesarFactura
Elaborarfactura
ProcesarFactura
ProcesarFactura
Operaciones más de 1.000Empleados afectados
Reputación –medios deComunicación anuncianpreocupaciones
Reputación –visión delcongreso
Servicio de atención al Cliente-más de 500 quejas de losclientes
72Horas
30 Horas
36Horas
36Horas
Servidor de Aplicaciones
Servidor Web
Servidor de Base de datos
Los ordenadores de escritorio
36 Horas
24Horas
12Horas
30Horas
Proceso de Negocio
ImpactosPotenciales
Máximo de Inactividad Tolerable
Componentes delSistema
Objetivo deTiempo
de Recuperación
Interdependencias
Ejercicio 7
Análisis del Impacto en el Negocio (AIN)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 15
Evaluación de riesgos
a. Identificación de riesgos
b. Análisis de riesgos
c. Estimación de riesgos
2.2. Evaluación de Riesgos
1. Planificar 1. Planificar 1. Planificar 1. Planificar
4.2 Mejora continua
4.1 No conformidades y acción correctiva
3.3 Revisión por la Dirección
3.2 Auditoría interna
3.1 Supervisión, medición, análisis yevaluación
2.7 Ejercicio y pruebas
2.6 Comunicación
2.5 Plan y procedimientos de la continuidad del negocio
2.4 Medidas de Protección &
Mitigación
2.3 Estrategia de la Continuidad del
Negocio
2.2 Evaluación del Riesgo
2.1 Análisis del Impacto en el Negocio (AIN)
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.4 Alcance
1.5 Liderazgo y planificación
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Proceso de Gestión de Riesgo (ISO 31000)
a. Crear valorb. Parte integral de los procesos de la organizaciónc. Parte de la toma de decisionesd. Aborda explícitamente
la incertidumbree. Sistemática,
estructurada y oportuna
f. Sobre la base de la mejor información disponible
g. Adaptadah. Toma en cuenta los
factores humanos y culturales
i. Transparente e inclusiva
j. Dinámica, interactiva y sensible a los cambios
k. Facilita la mejora continua y la optimización de la organización de la organización
Principios (cláusula 3)
Mandato y compromiso (4.2)
Diseño del marco de trabajo de la
Gestión de riesgos (4.3)
Mejora continuaDel marco
De trabajo (4.6)
ImplementaciónDe la gestión
De riesgos (4.4)
Seguimiento yRevisión del marco
De trabajo (4.5)
Marco (cláusula 4)
Establecer el contexto (5.3)
Evaluación de riesgos
Identificación de Riesgos (5.4.2)
Análisis de Riesgos (5.4.3)
Evaluaciónde Riesgos (5.4..4)
Tratamiento delRiesgo (cláusula 5.5):
Com
unic
ació
n y
cons
ulta
(5.
2)
Seg
uim
ient
o y
revi
sión
(5.
6)
Proceso (cláusula 5)
Herramientas y Métodos para la Evaluación de Riesgos Presentados en la Norma ISO 31010
Tormenta de ideas
Lista de verificación
Análisis de árbol de fallos
Entrevistas estructuradas osemi-estructuradas
Análisis de riesgo primario
Estudios de peligros yOperabilidad (HAZOP)
Análisis de Peligros y Puntos de Control Críticos ((APPCC)
Evaluación de riesgosmedioambientales
Estructura “¿Y si?” > (SWIFT)
Análisis de escenarios
Análisis del impacto en el negocio
Análisis de la causa raíz
Análisis de protección de la capa (LOPA)
Análisis de causa y efecto
Análisis de causas y consecuencia
Análisis de árboles de sucesos
Delphi
Modo de FallaAnálisis de los efectos
Mantenimiento centrado en la fiabilidad
Análisis de lazo
Análisis de fiabilidad humana
Árbol de decisión
Curvas FN
Estadísticas Bayesianas y Bayes
Simulación de Monte Carlo
Análisis Markov
Análisis furtivo de circuitos
Análisis de la relación coste/beneficio
Matrices de probabilidad / consecuencia
Índices de Riesgo
Análisis de decisión por multi-criterios (MCDA)
2.2. Evaluación de Riesgos
Lista de actividades
2.1 AIN
2.3 Política de CN
2.2.1 Identificación del riesgo
2.2.2 Análisis del riesgo
2.2.3 Evaluación del riesgo
2.2 Evaluación de Riesgos
2.2.1. Identificación de Riesgos
ISO 31000, cláusula 5.4.2
Las organizaciones deberían:
Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus
causas Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias La organización debería aplicar herramientas y técnicas de identificación del riesgo
que se adapten a sus objetivos y aptitudes, así como a los que está expuesta
Enfoque y Métodos de Identificación de Riesgos
Norma ISO 31010, cláusula 5.2
o Los métodos de identificación de riesgo pueden incluir: Métodos basados en la evidencia, ejemplos de los cuales son las listas de verificación
y los comentarios de datos
Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso
sistemático para identificar los riesgos por medio de un conjunto estructurado de
mensajes o preguntas
Técnicas de razonamiento inductivo como HAZOP
o Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad
en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi
1 HAZOP = estudios de Peligros y Operabilidad
Identificación de Riesgos
Principales elementos incluidos en los Métodos de Evaluación de Riesgos
1. Determinación de los criterios de aceptación de riesgos y la determinación de los
niveles de riesgo aceptables
2. Identificación de los activos
3. Identificación de las amenazas a las que se enfrentan los activos
4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas
5. Identificación de los impactos
6. Análisis y evaluación del impacto
7. Análisis y evaluación de la probabilidad
8. Evaluación de los niveles de riesgo
9. Determinación de umbrales aceptables sobre la base de riesgos establecidos
10. Identificación y evaluación de opciones de tratamiento del riesgo
11. Selección de las medidas y controles para tratar los riesgos
2.2.2. Análisis de Riesgos
ISO 31000, cláusula 5.4.3
El Análisis de riesgos se define como el análisis de un entorno de riesgos
Cada riesgo se evalúa de acuerdo con:
Las pérdidas que pueden ocasionar La probabilidad de ocurrencia El costo de las contra medidas para mitigar el riesgo y La pérdida probable si esas contra medidas fueron aplicadas
Enfoque y Métodos de Análisis del Riesgo
ISO 31010, cláusula 5.3.1
Análisis Cualitativo:Define la consecuencia, la probabilidad y el niel de riesgo por niveles de significación, como “alta”, “medio” y “bajo”, puede combinar la consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante de los criterios cualitativos
Análisis Cuantitativo:Estima los valores estimados para las consecuencias prácticas y sus probabilidades, y produce los valores del nivel de riesgo en las unidades especificas definidas en el desarrollo del contexto. Un completo análisis cuantitativo puede no ser siempre posible o deseable debido a información insuficiente
Análisis de Escenarios de Riesgo
Las categorías habituales
1
2
3
5
4
7
6
Escenarios con edificios
Escenarios de utilidades
Escenarios en los sistemas de comunicación
Escenarios de sistemas informáticos
Escenarios de consumibles
Escenarios que involucran personas
Escenarios de información o datos
Análisis de Escenarios de Riesgo
Ejemplo
Escenario 1
No disponibilidad del edificio
Posibles Causas/Amenazas
Consecuencias Impacto
Fuego
Inundación
Amenaza de bomba
Huelga
Manifestación
Fuga de gas
Huracán
Terremoto
Se ha detenido la producción
Incapacidad para garantizar la logística de entrega
Incapacidad de facturar bienes entregados
3
Probabilidad
2
Nivel de Riesgo
6
Comentarios: En los últimos 10 años, la organización ha perdido 9 días debido a la no disponibilidad del edificio (una huelga de 7 días, 1 día por una alerta, 1 por un fuga de gas)
Cálculo de la Determinación de Riesgo
Ejemplo de un cálculo del riesgo
Valor de los
activos
Posibilidad de ocurrencia - Amenaza
Baja
Nivel de Vulnerabilidad
AltaMediana
B
0
3
2
1
MB AM A B M A
0
4
3
4
1
2
1
2
4
3
5
2
6
3
4
5
1
2
4
3
5
2
3
4
5
6
3
4
6
5
7
2
3
5
4
6
3
4
5
6
7 8
7
6
5
4
2.2.3. Evaluación de Riesgos
ISO 31000, cláusula 5.4.4
o La evaluación de los riesgos es la comparación de los niveles de riesgo
estimados con los criterios de evaluación y los criterios de aceptación de riesgos
y priorizarlos
o La estimación de riesgos es necesaria antes de tomar una decisión sobre las
posibles opciones para el tratamiento de riesgos incluyendo:
Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado
A cuáles riesgos se les dará prioridad
Decisión como resultado de la evaluación de Riesgos
Norma ISO 31010, cláusula 5.4
Las decisiones pueden incluir:
Si un riesgo necesita tratamiento
Prioridades de tratamiento
Si una actividad debe llevarse a cabo
Cuál, de una cantidad de caminos debería seguirse
Nota: La decisión sobre las medidas a tomar después de la evaluación del riesgo se verá influida por el nivel
de apetito por el riesgo de la organización
Ejemplo de una Matriz de Evaluación de Riesgos
AmenazaValor de
consecuencia(activo)
Probabilidad de ocurrencia de la amenaza
Nivel de riesgo
Orden de prioridad de la amenaza
Escenario A
Escenario B
Escenario D
Escenario C
Escenario E
Escenario F
5 2102
2
3
4 38
155 1
4
1 3
2
1
4
3
4
8
5
4
33
Evaluación de Riesgos
Selección de medidas de protección y mitigación
o Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las
medidas de gestión apropiadas y las prioridades de gestión de los riesgos y
para aplicar las medidas de protección y mitigación para proteger contra estos
riesgos
o Las medidas pueden ser seleccionadas a partir de varias normas o pueden
diseñarse nuevos controles para satisfacer las necesidades especificas de la
organización
o La selección de medidas de protección y mitigación se detallan en el Día 3
Día 3
Implementador Líder
Certificado en la ISO 22031
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 16 Estrategia de continuidad del negocio
a. Análisis de las opciones de la estrategia de CN
b. Selección de la estrategia de protección de actividades
prioritarias
c. Selección dela estrategia para estabilizar, continuar
reanudar y recuperar actividades prioritarias
d. Selección de la estrategia para la mitigación,
respuesta y manejo de los impactos
e. Evaluación de las capacidades de continuidad del
negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 8.3.1
8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección
La determinación y selección de la estrategia deberá basarse en los resultados de los análisis de impacto en el negocio y la evaluación de los riesgos.
La organización deberá determinar una adecuada estrategia de continuidad del negocio para:
a) Proteger las actividades prioritarias,
b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.
La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la
Reanudación de las actividades.
La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del
Negocio de los proveedores
Estrategia de Continuidad del Negocio
o El objeto de la Selección de la Estrategia es colaborar en la definición de las
necesarias para proteger a la organización y para seleccionar las soluciones
para la recuperación más adecuada para las funciones críticas de la empresa
y los recursos de soporte
o La estrategia debe encarar los resultados del AIN y la evaluación del riesgo
o La estrategia de continuidad del negocio es la base
para los Planes de Continuidad del Negocio
STRATEGY
2.3. Estrategia de Continuidad del Negocio
Lista de las actividades
2.1 AIN2.2 Análisisde riesgos
2.4 Medidas de Protección &
mitigación
2.3.1 Análisis &Selección de
Una estrategia
2.3.2 Estrategiapara proteger
las actividadesprioritaria
2.3.4 Estrategia para mitigar, responder a y
gestionar impactos
2.3.3 Estrategia para Estabilizar, continuar, Reanudar y recuperar
2.3.5 Evaluación de las capacidades de
los proveedores
2.3 Estrategia de C.N.
2.3.1 Análisis de las Opciones de la Estrategia de CN
La organización debería determinar las opciones de estrategia para:
Proteger actividades prioritarias
Estabilizar, continuar, reanudar y recuperar actividades prioritarias
Mitigar, responder al impacto y gestionarlo
2.3.2 Selección de la Estrategia para la Protección de Actividades Prioritarias
La protección de actividadesPrioritarias puede ser dirigida a:
2
31
• Reducir el riesgo de la actividad
• transferir la actividad a un tercero (aunque la responsabilidad sigue siendo de la organización
• Cesar o modifica la actividad si existen alternativas viables
2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar y recuperar actividades prioritarias
La organización debería determinar las opciones apropiadas de terminar las opciones apropiadas de estrategia para:
1
2
3
5
4
Traslado de la actividad
Re- ubicación o re- asignación de recursos
Procesos alternativos y capacidad de reserva
Sustitución de habilidades y recursos
Solución temporal
2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y Manejo de los Impactos
La organización debería determinar las opciones apropiadas de estrategia para:
A) L
a co
ntra
taci
ón d
e un
segu
ro
B) R
estauración de activos
C) Gestión de la reputación
La compra de seguros puedeOfrecer cierta compensaciónFinanciera en caso de pérdidas,Pero no cubrirá todos los costes
La contratación de los servicios de las compañías que se especializan en la limpieza o reparación de bienes después de los daños
Desarrollo de una efectiva capacidad de comunicación y deAlerta y establecer procedimientos de comunicación eficaces
Ejemplo de Opciones de la Estrategia de CN
Las estrategias de CN disponibles y el RTO que cumplen
IX Sitio cliente
VII,Trabajo a distancia
VI, Sitiotibio
V, Acuerdo reciproco
IV, Sitio móvil
III, Sitiofrio
Ninguna Estrategia
VIII,Traslado a
otros centrosdel grupo
II,Reconstruccióny restauración
COSTO
DE
LA
ESTRATEGIA
TIEMPO DE RECUPERACIÓN
I. Ninguna Estrategia
Ninguna estrategia definida No hay documentación de recuperación y continuidad del negocio No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia utilizada por las organizaciones con un evaluado apetito por el riesgo o de un sitio con baja criticidad; también puede ser cuando un producto tiene una vida útil limitada
Car
acte
ríst
icas
DesventajasVentajas
La estrategia menos costosa para aplicar
La estrategia más cara después de un desastre…
II. Reconstrucción y Restauración
La estrategia se enfoca principalmente en los seguros Documentación de los bienes materiales e instalaciones No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio con poca criticidad C
arac
terí
stic
as
DesventajasVentajas
Estrategia de bajo costo y fácil de implementar Protección contra las pérdidas financieras de los activos físicos
Estrategia que generalmente no toma en cuenta los procesos de negocio y los activos inmateriales Estrategia que no incluye un plan para asegurar la continuidad de las operaciones en caso de desastres
III. Sitio frío
Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC en inglés) Listo para recibir el equipo pero no hay hardware de computación en el sitio Los enlaces de comunicación pueden o no estar preparados Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca criticidad C
arac
terí
stic
as
DesventajasVentajas
Bajo coste Rápido de implementar Fácil de mantener
Falsa sensación de seguridad El tiempo de recuperación puede ser largo dependiendo de la complejidad de la tecnología y el equipo utilizado por la organización El proveedor d e servicios puede sobre valorar las capacidades de procesamiento
IV. Sitio móvil
Tráiler que puede transportarse rápidamente a un sitio alternativo
Puede ser pre configurado con servidores, equipos de escritorio, equipos de comunicaciones, microondas y enlaces para la transmisión de datos por satélite
Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica C
arac
terí
stic
as
DesventajasVentajas
Bajo coste Rápido de implementar Fácil de mantener Flexibilidad
La capacidad de los equipos puede ser insuficiente para la necesidad
V. Acuerdo Recíproco
Acuerdo con otra empresa con hardware o configuraciones de software similares
Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad (Gran Suposición)
Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto con un entorno de tecnología compatible
Car
acte
ríst
icas
DesventajasVentajas
Bajo o ningún costo
Si los requisitos de procesamiento son similares puede ser variable
Muy poco probable la existencia de la capacidad
Limita severamente la capacidad de respuesta y apoyo
VI. Sitio Tibio
Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y enlace de comunicación Las estaciones de trabajo y las impresoras están disponibles pero el software puede no estar instaladoEstrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un sitio con baja o media criticidad C
arac
terí
stic
as
DesventajasVentajas
Costo – mucho menos que el del sitio Caliente
Ubicación: Ya que se requiere menos control, los sitios pueden ser más flexibles
El proveedor de servicios puede sobre valorar capacidades de procesamiento
VII. Trabajo a Distancia
Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la empresa, por ejemplo hoteles
Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio
Car
acte
ríst
icas
DesventajasVentajas
Bajo costo y fácil de implementar para una organización pequeña
Solución Flexible flexibles
Debido a cuestiones de seguridad y confidencialidad esta opción no siempre es adecuada Difícil de coordinar para grandes organizaciones
VIII. Traslado a Otros Centros del Grupo
En el caso de un incidente perjudicial de una división de la organización, el traslado se hará a otro centro de la misma organización
Estrategia utilizada por grandes organizaciones con varias instalaciones
Car
acte
ríst
icas
DesventajasVentajas
Costo puede ser bajo a medio Fácil de implementar En la mayoría de los casos, compatibilidad de tecnología Respuesta rápida de activar
No tiene una garantía de la existencia de la capacidad cuando sea necesario
Contención de recursos durante los desastres
IX. Sitio Caliente
Las aplicaciones se instalan en los servidores y las estaciones de trabajo
Las estaciones de trabajo y servidores están actualizados
Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o para un sitio con alta criticidad
Car
acte
ríst
icas
DesventajasVentajas
Disponibilidad 24/7, exclusividad de uso
Disponible de inmediato
Admite interrupciones de corto y largo plazo
Costoso Requiere de un constante mantenimiento de hardware, software, datos y aplicaciones Seguridad del sitio caliente, la seguridad del sitio primario se debe duplicar
2.3.5 Evaluación de las Capacidades de Continuidad del Negocio de los Proveedores
o La organización debería evaluar los riesgos relevantes y, a continuación,
adoptar las medidas adecuadas para garantizar que equipos críticos y los
servicios de los proveedores pueden ser garantizados en caso de un incidente
de interrupción que los afectao Debería hacerse una evaluación periódica de la capacidad del CN para las
actividades críticas tercerizadas o que dependen de un proveedor, Que puede
ser por: Pedir que los proveedores estén certificados en la ISO 22301
Auditoría de los proveedores
La comprobación auditada de la viabilidad de los planes de continuidad
de los proveedores clave
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo
1. Durante del acuerdo o contrato
2. Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas
3. Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios
4. Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato
5. Necesidades en materia de sistemas de información (incluidos los datos y requisitos de telecomunicaciones ) para el hardware, el software y las necesidades especiales del sistema (hardware y software)
6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad
7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto
8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba
9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación electrónicos e impresos
10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los servicios del sistema de información prestados), el proceso de negociar la ampliación del servicio
11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales)
12. Otras cuestiones contractuales, según corresponda
Ejercicio 8
Selección de una estrategia de continuidad del negocio
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 17 Las medidas de mitigación y protección
a. Medida de mitigación y protección
b. Medida preventiva
c. Medida de detección
d. Medida correctiva
2.4. Las Medidas de Mitigación y Protección
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 8.3.3
Protección y mitigación
Para identificar los riesgos que requieren tratamiento, la organización deberá estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupción;
b) Acorde el periodo de interrupción; y
c) Limiten el impacto de una interrupción en la provisión de los productos y la presentación de los servicios principales de la organización.
La organización deberá elegir e implementar un tratamiento de riesgo apropiado
según su nivel de aceptación del riesgo
2.4. Las Medidas de Mitigación y Protección
Lista de actividades
2.1 AIN
2.5 Plan de laContinuidaddel Negocio
2.4.1 Medidas preventivas
2.4.2 Medidas dedetección
2.4.3 Medidas correctivas
2.2 Evaluación del riesgo
2.3 Estrategia de la Continuidaddel Negocio
2.6 Comunicación
Aplicación de las Medidas de Mitigación y Protección
Desastre
MedidasPreventivas
Medidas deDetección
MedidasCorrectivas
Escenarios de Riesgo y la Selección de las Medidas de Mitigación y Protección
Ejemplo
Escenario Probabilidad Impacto Evaluación Medidas de Protección y Mitigación
Fracaso de los
servicios públicos
AltoGrave (3)Posible (3)
• Redundancia en la protección de equipos de aire acondicionado• de salas técnicas• Contrato de Intervención Rápida• Redundancia de las tareas de mantenimiento• Documento de las tareas de mantenimiento
Acceso alsitio no
autorizadoRegular (4)
Importante(2)
Alto• Hacer valer el respeto de la política de seguridad física• Hacer valer el respeto de la política de acceso físico para las dependencias y los recursos
Vandalismointernacional externo
Posible(3) Grave (3) Alto• Redundancia del sistema• Las pruebas periódicas de los equipos de emergencia
Falloeléctrico
Raro (2)Importante
(2)Significativo
• Pruebas periódicas de generadores de electricidad• Estar conectados a dos estaciones de transformadores eléctricos• UPS y parada segura de la maquinaria• Utilización de equipos con doble fuente de alimentación• Contratos de Intervención Rápida
2.4.1. Aplicación de Medidas Preventivas
Gestión de riesgos
Mantenimientodel
equipamiento
Gestión del Cambio y de laconfiguración
Protección física
y lógica
Reducir la probabilidad y el posible impacto
Medidas preventivas:- Trabajar de manera pro activa- Asegurarse de que su preparación es adecuada- Desalentar o prevenir la aparición de problemas- Debe estar basada sobre la mejora continua
2.4.2. Aplicación de Medidas de Detección
SeguimientoGestión de incidentesAlertas
Reducir el impacto
Medidas de detección:- Detectar e identificar anomalías- Dar indicaciones rápida- No son discriminativas- Deben ir seguidas de un procedimiento de escalada
2.4.3. Aplicación de Medidas Correctivas
Planes de CN yRD (Recuperaciónante Desastres)
Seguimientode No-
conformidades
Copia deseguridad
Comunicación
Mitigación de las consecuencias
Medidas correctivas:- Trabajar a corto y largo plazo- Deben seguir la gestión del cambio- Muy probablemente necesitan la participación humana- Debe incorporarse en la mejora continua
Ejercicio 9
Medidas de mitigación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 18 Planes y procedimientos de continuidad del negocio
a. Desarrollo del plan de continuidad del negocio
b. Estructura y formato del plan
c. Contenido del plan de continuidad del negocio
d. Tipos de planes de continuidad del negocio
e. Activación de los diferentes planes
2.5. Planes y Procedimientos de la Continuidad del Negocio
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 8.4.1
Establecer y aplicar procedimientos de continuidad del negocio
La organización deberá establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un evento perturbador y continuar sus actividades sobre la base de objetivos de recuperación identificados en el análisis del impacto en el negocio .
La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial.
Requisitos
ISO 22301, cláusula 8.4.4
Planes de continuidad del negocio
La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades de las personas que van a utilizarlos.
Cada plan deberá definir:- Finalidad y alcance;- objetivos;- criterios y procedimientos de activación- procedimientos de aplicación;- funciones, responsabilidades y autoridades;- requisitos y procedimientos de comunicación;- Las interdependencias y las interacciones internas y externas.- necesidades de recursos; y- flujo de información y procesos de documentación
Plan de Continuidad del Negocio (PCN)
Objetivos
o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO
o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta
inicial al punto en el que se reanudan las operaciones comerciales normales
o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos
para la continuidad del negocio y los equipos de recuperación de recursos
En particular, el plan asigna roles y su rendición de cuentas, responsabilidad
y autoridad
El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios
2.5. Planes y Procedimientos de la Continuidad del Negocio
Lista de actividades
2.2 Análisisde Riesgos
2.7 Ejercicio y pruebas
2.5.1 Proceso deldesarrollo del
plan
2.5.2 FormatoY estructura
Del Plan
2.5.3 Redactarel/los plan (es)
de CN
2.3 Estrategia de la Continuidaddel Negocio
2.4 Medidas de Proteccióny mitigación
2.6 Comunicación
2.5.4 Redactarlos procedimientos
de CN
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilarinformación
1. Nombrarun
responsable
2. Enfoque yestrategia
3. Estructura,Formato,
componentes
6-9 Revisión
8. Uso
5.Redacción
7. Publicar
2.5.2. Definir un Formato y Estructura del Plan
Recomendaciones
o La estructura del PCN debe ser personalizada para satisfacer las necesidades
específicas de la organización
o Aunque el seguimiento de una estructura de PCN no es obligatorio, se
recomienda un formato estándar de PCN que permita la aplicación coherente en
toda la organización
o La buena prácticas identifican que un PCN debería ser de diseño modular con
diferentes secciones numeradas / nombradas consecutivamente
Las distintas secciones del PCN proporcionan la oportunidad de formar
documentos separados (denominados: módulos, secciones o “sub planes”) que
pueden ser suministrados a las personas y/o equipos sobre la base de saber lo
necesario
Análisis de Escenarios de Riesgo
Contenido mínimo requerido por la ISO 22301
1 Finalidad y alcance
2
3
5
4
7
6
8
9
Requisitos y procedimientos de comunicación
Las interdependencias y las interacciones internas y externas
Recursos necesarios
Flujo de información y procesos de documentación
Las funciones, responsabilidades y autoridades
Procedimientos de aplicación
Criterios y procedimientos de activación
Objetivos
Contenido a excluir del Plan de CN
Los siguientes datos no son esenciales para la invocación y el funcionamiento del plan de continuidad del negocio y deberían ser excluidos y mantenidos en documentos separados:
X Evaluación de Riesgos
X Análisis del Impacto en el Negocio (AIN)
X Informes de Ejercicios, Ensayos o Pruebas
X Proceso de Mantenimiento
X Informe de Auditoría
X Otra información y registros no esenciales
Contenido del Plan de Continuidad del Negocio (parte 1)
Ejemplo
Descripción de la Sección
1. Descripcióngeneral del Plan
Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan, registro de evento o decisión
2. La rendición de cuentas,
Responsabilidades yautoridades
3. Notificación,invocación y
escalada
4. Equipo de GCN
5. contactos
6. Lista de tareas y ayuda memorias
7. Información de soporte
Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,Equipo de GCN de la Unidad de Negocio
Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesosde escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una cascada inversa) y/o diagrama de flujo
Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN, Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando
Personal interno, contactos externos incluyendo expertos en la materia
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico, proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)
Descripción de la Sección
8. Las Actividades Criticas de la Empresa
Calendario de las Actividades Criticas de la Empresa o de actividades de apoyo, recuperación de las Actividades Criticas de la Empresa o de actividades Criticas de la Empresa o de actividades de apoyo (objetivos del RTO y RPO)Plan de acción, perfil de recuperación de recursos de la GCN, perfil de recuperación de la GCN
9. Ubicación del sitio de recuperación (dentro de la organización o proveedor externo)
Proceso de invocación y/o diagrama de flujo, diseñado del plan del piso del sitio de recuperación (área de trabajo), mapa de ubicación del sitio de recuperación, re ubicación de personal (incluido el transporte y alojamiento), seguridad, correo.
10. Perfil de los recursos de recuperación
Estaciones de trabajo estándares decir escritorio, silla, teléfono y ordenador, el equipo de computación, las aplicaciones de software, conectividad de las tecnologías, las telecomunicaciones, los datos copia de seguridad, documentos/registros de vital importancia/únicos , equipos de oficina, equipo de especialistas, suministros de oficina, por ejemplo requisitos de acceso para personas discapacitadas al sitio de recuperación
11. Las plantillas de formularioOrden del Día de las reuniones, información interna, registro de decisiones y acciones, informe de estado de la lista de tareas, mensajes telefónicos, hoja de cálculo de acciones o tereas.
Apéndices Contratos y Acuerdos de Nivel de Servicio, volver a casa
Tipos de Planes
Descripción de la Sección
Plan de continuidad del negocioProcedimientos documentados que orientan a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras interrupciones
Plan de respuesta a incidentes
Plan de respuesta de emergencia
Plan de gestión de crisis
Plan de Recuperación
Plan de restauración
Plan de comunicación
Procedimientos documentados que orientan a las organizaciones para responder a un incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia
Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a la propiedad contra daños en respuesta a una amenaza física
Coordinación de los procedimientos para manejar situaciones complejas que representan una amenaza a los objetivos estratégicos, la reputación o la existencia de una organización
Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o reconstrucción de las instalaciones, redes o capacidad operativa
Proporciona procedimientos par a difundir informes de situación al personal y al público
Plan de capacitación y sensibilización
Para garantizar procedimientos para difundir informes de situación al personal y al público
Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activación de los Diferentes Planes
Cronología de la respuesta de incidentesDesastre Tiempo
Protección y plan de mitigación Plan de respuesta a incidentes
Plan de respuestade emergencia
Plan de gestión de crisis
Plan de recuperación
Plan de restauración
Plan de comunicación
Plan de capacitación ysensibilización
Plan de ejercicio ypruebas
2.5.4. Redacción de los procedimientos Relacionados con la CN
ISO 22301, cláusula 3.39
Procedimiento
Definición: Forma especificada para llevar a cabo una actividad o un proceso
La estructura y el formato de los procedimientos documentados (copia impresa o por medios eléctricos) deberían ser definidos por la organización en las siguientes formas: texto, gráficos, tablas, una combinación de los anteriores, o cualquier otro método apropiado de la organización
Descripción de las Actividades en el Marco de un Procedimiento
Las 6 palabras (W: W/H en inglés)
1. Quién
2. Qué
3. Cómo
4. Cuándo
5. Dónde
6. Por qué
Ejemplo:El administrador de la red (quién) se asegura de que las copias de seguridad
(qué)se completan mediante la revisión de lo registros de copia de seguridad
(cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de
Verificaciones (dónde) que se mantiene para futuras consultas (por qué)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 19 Plan de respuesta a incidentes
a. Supervisión de eventos
b. Detección de incidentes
c. Valoración y evaluación de los incidentes
d. Activación de la respuesta a incidentes
e. Comunicación de respuesta a incidentes
estructurada
f. Escalada de los incidentes
g. Documentación acerca de un incidente
Requisitos
ISO 22301, cláusula 8.4.2
Estructura de respuesta a IncidentesLa organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para administrar un incidente.
La estructura de respuesta deberá:
a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal,
b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c) poner en marcha una respuesta de continuidad del negocio apropiada;
d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación
de la respuesta;
e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un
incidente perjudicial para minimizar el impacto, y
La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias, incluyendo los medios de comunicación.
Requisitos
ISO 22301, cláusula 8.4.3
Alerta y comunicación
La organización deberá establecer, implementar y mantener procedimientos para:
a) la detección de un incidente,
b) el seguimiento regular de un incidente,
c) la comunicación interna en el seno de la organización y recibir, documentar y responder a la comunicación de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
e) velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo,
f) Facilitar la comunicación estructurada con los equipos de emergencia,
g) Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.
Plan de Respuesta a Incidentes
Objetivos y contenido común
El plan de respuesta a incidentes debería integrar procesos y procedimientos para:
I. El seguimiento de los eventos que pueden provocar incidentes
II. Detectar un incidente
III. Analizar y evaluar un incidente
IV. Declarar una respuesta a incidentes
V . Facilitar la comunicación estructurada
VI. Escalar un incidente
VII. Documentar y registrar información vital acerca de la incidencia
VIII. Revisión de un incidente
¿ Qué es un Incidente?
ISO 22301, cláusula 3.19
o Definición: Situación que pudiera constituir o pudiera redundar en una
interrupción, una pérdida, emergencia o crisis
o Importante no confundir con el uso del término “incidente” en el campo
de la seguridad de la información y tecnologías de la información:
Una interrupción no planificada de un servicio (ITIL en inglés)
Un único o serie de eventos de seguridad de la información no deseados o
inesperados que tiene una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información
(ISO 27000)
I. Supervisión de eventos
o La organización debe hacer un seguimiento de los eventos que podrían dar
lugar a un incidente
o El seguimiento debería estar en consonancia con los escenario
documentados en la evaluación del riesgo y el AIN El uso de herramientas de detección y el análisis de tendencias Compartir e intercambiar con expertos Advertencias tempranas y los avisos recibidos de
las autoridades, los servicios de emergencia, los
clientes, los medios de comunicación, etc.
Informe de eventos
o Un corte o interrupción puede ocurrir con o sin previo aviso
o Los eventos pronosticados debería ser comunicados a las partes
interesadas pertinentes o Ejemplos:
Un aviso de antemano del Servicio Nacional de Meteorología de que está
previsto un huracán que afectará una determinada zona
Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organización Mundial de la salud
Una alerta del CERT (Computer Emergency Response Team) de que un
virus informático se espera en una fecha determinada
II. Detección de incidentes
o La organización necesita implementar las medidas para detectar
incidentes y recoger la información asociada a ellos
o Las medidas de detección deben estar en línea con hipótesis
documentadas en la evaluación del riesgo y el AIN
Alertas en el sistema de TI Sistema de Alarma Detector deBombas y metal
III. Evaluación y Valoración de la Incidencia
Ejemplo de un proceso
Notificación deDetección
Notificación de
Recopilación de
Primera Evaluación
Falso Positivo
Relevante
Segunda evaluación¿Relevante?No Si
Usuario/FuenteGrupo de Apoyo a las Operaciones
Equipo de Respuestaa incidentes
Equipo de Gestión de Crisis
Respuesta
inmediata
Revisión de la
Mejora continua
Respuesta
No
Evaluación deDecisión
¿Incidentebajo control? ¿Crisis?
Aná
lisis
for
ense
Si
No
Actividades decrisis
RespuestapositivaC
omun
icac
ione
s
de un Evento
Tie
mp
o
Si
No
Si
IV. Invocación de una Respuesta a incidentes
Criterios y procedimientos
o El plan de CN debería se activado si se cumplen uno o más de los criterios de
activación
o Si se cumple un criterio de activación, la autoridad designada debería activar
el plan
o Los criterios para la activación de interrupciones o las disrupciones en el
sistema son único para cada o organización u deberían definirse
o Los criterios pueden basarse en:
Magnitud de los daños al sistema (por ejemplo, físicos, operativos o
costos) Criticidad del sistema ala misión de la organización (p. ej. Activo de
protección de infraestructuras críticas) Duración prevista de la interrupción más larga que el RTO
V. Comunicación de respuesta a Incidentes
Comunicación de respuesta a incidentes
Para ponerse en contacto con el personal de emergencia
Para alertar a todas las partes interesadas potencialmente afectadas por un real o inminente perjudicial
Asegurar la inter operabilidad de múltiples organizaciones y personal de respuesta:
Métodos de notificación
o Las notificaciones se pueden realizar a través de una variedad de
métodos, ya sean automático o manual, entre los que se incluyen: Teléfono Correo electrónico: Teléfono móvil Visitar en persona el hogar, etc.
o Los sistemas de notificación automática siguen protocolos y criterios
establecidos y pueden incluir una rápida aceptación y autenticación
y mensajería segura
o Los sistemas de notificación automática requieren una inversión inicial y una
curva de aprendizaje, pero pueden ser una manera eficaz para algunas
organizaciones para garantizar la rapidez y precisión en la entrega
VI. Escalada de un Incidente
Ejemplo de una escalada de incidentes
ModoIncidente
Modo Crisis
Modo Estándar
Modo de desastres
Evento
OK
Escalada
OK
Escalada
VII. Documentación de un Incidente
Toda la información pertinente relacionada con el incidente debería ser registrada,
Incluyendo:
1. Descripción del evento
2. Categoría y prioridad
3. Fecha/hora del registro, escalada, decisión
4. Los activos y procesos afectados
5. Grupos o personas afectados por el incidente
6. Actividades realizadas para resolver el incidente y sus resultados
7. Las Decisiones tomadas
VIII. Revisión Pos-incidente
En el caso de un incidente que perturba las actividades prioritarias de la organización o que requiere una respuesta a incidentes, debería llevarse a cabo una revisión pos-incidente. Esto puede incluir:
1. Identificar la naturaleza y la causa del incidente
2. Evaluar la suficiencia de la respuesta de dirección
3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de
tiempo de recuperación
4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la
hora de preparar a los empleados en la previsión del incidente
5. Identificar las mejoras que se pueden introducir
6. Compara los impactos reales con los que se consideran en el análisis del
impacto en el negocio
7. Obtener retro alimentación de las partes interesadas y de los que han participado en la respuesta
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 20 Plan de respuesta de emergencia
a. ¿Qué es una emergencia?
b. Objetivos de un plan de respuesta de emergencia
c. Funciones y responsabilidades
d. Procedimiento de evacuación
e. Procedimiento de presentación de informes de
emergencia
f. Controles para limitar los impactos durante una emergencia
g. Controles de detección y prevención
h. Sensibilización, simulacro y capacitación
Requisitos
ISO 22301, cláusula 8.4.4
Planes de continuidad del negocio
Los procedimientos de respuesta deberán contener colectivamente:
c) Detalles para gestionar las consecuencias inmediatas de una interrupción
De una interrupción del negocio, teniendo en especial consideración:
1) el bienestar de las personas
2) las opciones estratégicas y operativas para responder a la interrupción; y
3) la prevención de pérdidas adicionales o indisponibilidad de las actividades priorizadas
¿Qué es una Emergencia?
ISO 22399, cláusula 3.6
o Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere
acción inmediata
o Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:
Fuego Incidente de materiales peligrosos Inundaciones o riadas Huracán Tornado Tormenta de invierno Terremoto Fallo de las comunicaciones Accidente radiológico Disturbios Civiles Pérdida de proveedores o clientes principales Explosión, etc.
Objetivos de un Plan de Respuesta de Emergencia
1ª PRIORIDAD: PROTEGER LA VIDA
o La protección de la salud y la seguridad de todos en las instalaciones es la primera prioridad durante una emergencia
o Las otras prioridades pueden ser:
Proteger el medio ambiente
Limitar la pérdida financiera
Proteger la salud y la seguridad de los animales
Proteger registros,
Restaurar las operaciones, etc.
Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse
I. Funciones y responsabilidades
II. Procedimiento de evacuación
III. Procedimiento de presentación de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de detección y prevención
VII. Sensibilización, simulacro y capacitación
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o Él está al mando y en control de todos los aspectos de la situación de
emergencia
Redacción de los procedimientos de respuesta de emergencia
Aplicar controles preventivos físicos
Ordenar la evacuación o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación
1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentación de Informes de Emergencia
Listas de Llamadas de Emergencia
o Las listas (del tamaño de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendrían para responder a una emergencia, sus
responsabilidades y sus números de teléfono disponibles las 24 horas
o Determinar requisitos locales y estatales para la presentación de informes
sobre las emergencias y a incorporarlos en sus procedimientos
Policía
Cuartel de Bomberos
Compañía de Gas
Los proveedores de telecomunicaciones, etc.
IV. Medidas Inmediatas para Limitar los Impactos
Elementos a tener en cuenta durante una emergencia
o En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el
control del acceso, pero nadie debería colocarse en peligro físico para realizar estas
funciones
o Las medidas de seguridad básicas incluyen: Cierre las puertas o las ventanas Establecer barreras provisorias con muebles después de que las personas han
evacuado de forma segura Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de
materiales con fugas Cerrar los armarios de archivo o los cajones de escritorios
o Sólo personal capacitado debería poder realizar medidas de seguridad avanzada
o El acceso a la planta debería estar limitado a las personas directamente implicadas en la
respuesta
V. Cierre de Instalaciones y Sistemas
Establecer los procedimientos de apagado/cierre
o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones y daños a la propiedad
o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre
o Trabajar con los jefes de departamento para establecer los procedimientosapagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar:
Las condiciones que podrían exigir el cierre/apagado?
¿Quién puede ordenar un cierre/apagado
Quién va a llevar a cabo los procedimientos de cierre/apagado
Cómo afectaría un cierre parcial a otras operaciones de las instalaciones
El tiempo necesario para apagar y reiniciar
VI. Controles de Prevención y Detección
Algunos ejemplos de las medidas que se pueden aplicar ante una emergencia
o Sistema de protección contra incendios
o Sistemas de protección contra rayos
o Sistemas de vigilancia del nivel de agua
o Dispositivos de detección de desbordamiento
o Desconexión Automática
o Sistemas de generación de energía
eléctrica de emergencia
VII. Sensibilización, Simulacro y Capacitación
1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones
2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y confusión antes de llevar a cabo las actividades de capacitación más exigentes
3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo general más gente y es más profunda que la de un ejercicio de mesa
4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica, las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas problemáticas
5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas de escombros, humo en los pasillos. Los planes se modifican en consecuencia
6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la dirección de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Preparación de las pruebas de auditoría para el plan de respuesta ante emergencias
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 21 Plan de gestión de crisis
a. ¿Qué es una crisis?
b. Desarrollo del Plan Gestión de Crisis
c. Contenidos del Plan Gestión de Crisis
Requisitos
o Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un plan de crisis pueden ser incluidos en los planes)
o El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de respuesta ante emergencias y el plan de comunicación en un único plan
Importante: El plan y los procedimientos desarrollados deberían permitir responder al mismo tiempo de una
forma coherente, integrada y complementaria
¿Qué es una crisis?
ISO 22300, cláusula 2.1.12
Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y requiere medidas urgentes
Características de una Crisis
o La crisis no siempre implican interrupciones de la actividad empresarial o amenazas a la vida, a la propiedad, los activos
o Sin embargo, casi siempre son reto a la reputación de una organización y su marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y liderazgo efectivo
o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso escrutinio del público y de los medios
Plan de Gestión de Crisis
Objetivos y elementos comunes incluidos
El plan de gestión de crisis debería integrar procesos y procedimientos para:
I. Las funciones, la rendición de cuentas, la responsabilidad y la autoridad
II. Procedimiento de Emergencia
III. Notificación, invocación y escalada
IV. Comité de Crisis y equipos de gestión de crisis
V . Plan de comunicación de crisis
Gestión de Crisis
Una responsabilidad de la alta dirección
o Las funciones de la gestión estratégica se amplifican durante una crisis
o Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo
largo de líneas que no se pueden prever
o Incluso pueden incluir reposicionamiento estratégico de la organización en su
conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección
o Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a
aplicar, conducir y dirigir la gestión de crisis
La Gestión de Crisis lidia con la Complejidad
o Una gran cantidad de incidentes que pudieran causar trastornos (tornado,
terremoto, etc.) son predecibles y se pueden desarrollar respuestas pre-
preparadas
o Las crisis, por otra parte, se producen a menudo por riesgos que no
habían sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado
o Una crisis también puede ser producto de una combinación imprevista de
riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la
respuesta por lo general requiere soluciones realmente creativas, en
contraposición a las pre-preparadas,
o La gestión de crisis debe ser capaz de hacer frente a problemas que no se
pueden administrar por los procedimientos de GCN, sin importar qué tan bien
desarrollados pueden estar
La Gestión de Crisis lidia con Dilemas
o Las crisis están asociadas con problemas muy complejos, las consecuencias y la naturaleza de los cuales no ser clara en el momento. Cada solución posible puede tener graves consecuencias de una forma u otra
o Los administradores pueden tener para elegir la solución “menos mala” y puede que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos fundamentales. Estos pueden significar que cada elección viene con una pena de algún tipo y que no existe una solución ideal
Comunicación
Un factor clave de éxito
o Aun cuando la organización se considera que está mal, o censurable, la manifestación dela virtud, la integridad y la compasión pueden compensar, en cierta medida, el daño a su reputación y prestigio
o La buena gestión de crisis puede demostrar las cualidades positivas de la organización y mejorar su reputación general
Ejercicio 11
Plan de pandemia
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 22 Plan de recuperación de TIa. Objetivos del plan de recuperación de TI
b. Activación del sitio de recuperación
c. Traslado al centro de recuperación y logística
d. Suministro de equipos
e. Procedimiento financieros y administrativos
f. Recuperación de telecomunicaciones
g. Recuperación de datos y procedimientos de backup
h. Recuperación de los servicios y sistemas por prioridad
i. Procedimiento de recuperación para cada sistema
Requisitos
ISO 22301, cláusula 8.4.4
Planes de continuidad del negocio
La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o reparará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán entender a las necesidades de las personas que van a utilizarlos
El Plan de Respuesta de TI
Objetivos y elementos comunes incluidos
El plan de recuperación de TI debería integrar los procesos y procedimientos para:
I. La activación del sitio de recuperación
II. El traslado al centro de recuperación y logística
III. El suministro de equipos
IV. Los procedimientos financieros y administrativos
V . Recuperación de telecomunicaciones
VI. Recuperación de datos y procedimientos de backup.
VII. Recuperación de los servicios y sistemas por prioridad
VIII. Procedimiento de recuperación para cada sistema
Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse
I. Funciones y responsabilidades
II. Procedimiento de evacuación
III. Procedimiento de presentación de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de detección y prevención
VII. Sensibilización, simulacro y capacitación
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o Él está al mando y en control de todos los aspectos de la situación de
emergencia
Redacción de los procedimientos de respuesta de emergencia
Aplicar controles preventivos físicos
Ordenar la evacuación o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación
1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activación del Sitio de Recuperación
o El equipo de recuperación debería llegar en primer lugar al sitio alternativo para hacer una evaluación rápida con el fin de preparar el traslado de los empleados
o Con el uso de una lista de comprobación, se debería verificar y confirmar el
estado de los recursos en uso:
HVAC
Equipo y redes de TI
Telecomunicaciones
Copia de seguridad
Espacio de oficina
II. Traslado al Centro de Recuperación y Logística
Logística
o Transporte de personal y materiales
o Apoyo y bienestar del personal
o Lista de los proveedores y contratos
o Entorno de los trabajadores remotos
III. Suministro de Equipos
Existen tres estrategias básicas para garantizar una rápida situación de los equipos
Suministro de Equipos
Acuerdoscon los
proveedoresInventario
de Equipos
EquiposCompatiblesExistentes
IV. Compatibilidad y Administración
o La organización debería desarrollar los procedimientos financieros y administrativos para apoyar las necesidades de la empresa antes, durante y después de un incidente
o Deberían establecerse procedimientos para garantizar que las decisiones financieras se puedan acelerar y deberían estar en conformidad con os niveles de autoridad y los principios de contabilidad
o Los procedimientos deberían incluir, pero no limitarse a, lo siguiente:
Autoridad de finanzas, incluyendo sus relaciones de subordinación al coordinador del programa(s)
Acceso a fondos de emergencia Procedimientos de contratación de programas Nóminas Sistemas de contabilidad para llevar un seguimiento y documentar los
costos
V. Recuperación de Telecomunicaciones
Métodos Descripción
RedundanciaConsiste en proporcionar capacidad adicional con un plan para utilizar el exceso de capacidad si no se encuentra disponible la capacidad de transmisión principal normal
Ruta alternativa
Enrutamientodiverso
Diversidad deRed largadistancia
Sistemas de Comunicaciones de Emergencia
Información de enrutamiento a través de un medio alternativo como cables de cobre o fibra óptica
Enrutamiento del tráfico mediante instalaciones de cable partido o de cable duplicado
Muchos proveedores de instalaciones de recuperación han proporcionado diversas redes de larga distancia disponibles
Con el fin de comunicarse entre los miembros del equipo, debería elegirse un sistema de comunicaciones de emergencia y otras alternativas
VI. Recuperación de Datos y Procedimientos de Backup
Los componentes clave para restaurar la disponibilidad de la información
o Los procedimientos de copia de seguridad es el componente clave para restaurar la disponibilidad de la informacióno Una organización debería asegurarse de que la integridad y la confidencialidad de los datos de la empresa se mantienen mientras se transfieren (ya se electrónica o físicamente) a y desde los centros de recuperación, sujeto a las obligaciones contractuales con organizacioneso Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de
copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los temas que una política y procedimientos de copias de seguridad deberían resolver están: A qué datos hay que hacerles copia de seguridad Cómo se caratula durante cuánto tiempo se mantiene Cómo se prueban las copias Con qué frecuencia se realizan backups Dónde se almacenan los medios Que tan rápidamente pueden ser recuperados los medios Quién está autorizado a recuperar los medios Cómo se restablecen
Copia de seguridad
Principales soluciones
1. Red de Área de Almacenamiento •Gracias a la virtualización del almacenamiento, se combinan varios dispositivos de almacenamiento en un solo, lógico, sistema de almacenamiento virtual
2. Duplicación
• Con la duplicación de los discos o las imágenes de recuperación, se ha optimizado la recuperación. Los datos se escriben en dos discos y proporciona una alta disponibilidad
3. Procesamiento distribuido •Los servicios, que se encuentra en la misma o en múltiples ubicaciones, se configuran con equilibrio de carga y agrupamiento para procesar las solicitudes y los datos de intercambio
•Las publicaciones remotas, las transacciones o archivos de diarios son transmitidos periódicamente a las unidades remotas que se encuentran fuera del sitio
•Con el almacenamiento electrónico, se realiza una copia de seguridad de los datos a las unidades remotas que se encuentran fuera de las instalaciones mediante enlaces de comunicación de alta calidad
•Otro es grabar archivos a medios de copia de seguridad y transportarlos, a una ubicación fuera del sitio
4. Almacenamiento electrónico
5. Diario Remoto 6. Archivos de medios
Alineación de la Estrategia de Copia de Seguridad
Con RPO y RTO
Propiedad Descripción
Propiedad baja – algún tipo de interrupción con poco impacto, daño o perturbación de la organización
• Copia de seguridad: Copia de seguridad en cinta• Estrategia: Reubicar o sitio frío
Propiedad importante o moderada – cualquier sistema que, si perturbado, podría causar un problema moderado a la organización y posiblemente a otras redes o sistemas
• Copia de seguridad: Duplicidad de seguridad óptica de WAN/VLAN
• Estrategia. Sitio Frío o Tibio
De importancia fundamental o prioridad alta- el daño o perturbación a estos sistemas puede provocar el mayor impacto sobre la organización, misión y otras redes y sistemas
• Copia de seguridad: Sistemas reflejados y duplicación de discos• Estrategia: Sitio Caliente
Copia de seguridad
Ubicación y almacenamiento
Copia de seguridad
• Puede ser almacenada en varios lugares, cada uno cumpliendo un propósito diferente
• Cuando son transportados, los medios deberían ser garantizados
VII. Recuperación de los Servicios y Sistemas por Prioridad
Sobre la base de las prioridades de las operaciones predeterminadas en el análisis de impacto, una organización debería priorizar los servicios y los sistemas a restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños en el equipo, la disponibilidad real de personal y los posibles avances de la recuperación
P r i o r i t y
!Ckdejhj naadjhu hdna
características
VIII. Procedimiento de recuperación para cada Sistema
o En el plan de recuperación, debería estar disponible un procedimiento de
recuperación para restaurar cada sistema en el ámbito del SGCN con:
Una lista de la secuencia de operaciones a restaurar
Requisitos del sistema para restaurar
Tiempo estimado para cada operación
o Se describen los procedimientos de recuperación por equipo se deberían
realizar en la secuencia que se presenta para mantener un eficiente esfuerzo
de recuperación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 23 Plan de restauracióna. Los objetivos del plan de restauración
b. Asegurar los sitios
c. Evaluación de daños y seguros
d. Plan de restauración y asignación de recursos
e. Limpiar el sitio y restaurar la infraestructura
f. Sistemas y recuperación de datos TI
g. Pruebas y validación
h. Traslado al sitio principal
i. Recompensa y reconocimiento del personal
Requisitos
ISO 22301, cláusula 8.4.5
No hay ningún requisito formal de la norma ISO 22301
Para establecer un plan de restauración
Plan de Respuesta ante
Objetivos y elementos comunes incluidosEl Plan de restauración debería integrar los procesos y procedimientos para:
I. Asegurar los sitios
II. Evaluación de daños y de seguros
III. Plan de restauración y asignación de recursos
IV. Limpiar el sitio y restaurar la infraestructura
V . Sistema y recuperación de datos de TI
VI. Pruebas de validación
VII. Traslado al sitio principal
VIII. Recompensa y reconocimiento del personal
I. Asegurar los Sitios
Primer paso
o En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes, saqueos, vandalismo, etc.
o Las obras de restauración deben ser protegidas para evitar acceso físico no
autorizado
o La planificación debería considerar cómo asignar o contratar guardias de
seguridad
II. Evaluación de Daños y de Seguros
Evaluación de daños Contacto con el seguro
III. Plan de Restauración y la Asignación de Recursos
Después de revisar la información sobre la magnitud de los daños y sus repercusiones en el funcionamiento, recolectados por los equipos de respuesta de emergencia y de continuidad, la alta dirección debería seleccionar las medidas que han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura
Limpiar el sitio Reconstruir la instalación yRestaurar la infraestructura
V. Recuperación de los Sistemas de TI y de Datos
Restauración de la Infraestructura de TI
Restauración de datos
VI. Pruebas y Validación
Prueba y validación de datos
Las pruebas y la validación de datos es el proceso de prueba y validación de datos para asegurarse de que los archivos de datos o bases de datos se han recuperado completamente en la ubicación permanente
Pruebas y validación de la funcionalidad
Pruebas de validación de la funcionalidad es el proceso de verificar que la funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los procedimientos de validación para asegurar que el sistema esté en funcionamiento
VII. Traslado al Sitio Principal
Restaurar el funcionamiento normal
Declaración de fin del incidente o crisis
Cierre del sitio de recuperación
Informes de comentarios y de pos-recuperación
VIII. Recompensa y Reconocimiento del Personal
o Cuando termina un incidente, es importante que el personal que participó en la
respuesta a incidentes reciba cierto grado de recompensa o reconocimiento
o Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje para
asegurarse de que no se repita
o Las personas que han trabajado más allá de sus horas de trabajo y que han
tomado tareas adicionales deberían ver sus esfuerzos reconocidos de alguna manera
o Esto puede hacerse de manera informal o formal. Por lo general es muy positiva la participación de los gerentes y directores en un proceso formal de reconocimiento
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 24 Plan de comunicacióna. Principios de una eficaz estrategia de comunicación
b. Proceso de Comunicación de CN
c. Establecer objetivos de comunicación
d. Identificar las partes interesadas
e. Planificar las actividades de comunicación
f. Planificar de la comunicación de una crisis
g. Realizar una actividad de comunicación
h. Evaluar la comunicación
2.6. Plan de Comunicación
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 7.4 y 8.4.3
7.4 Comunicación
La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN incluyendo:
a) Contenido de la comunicación.
b) Cuando comunicar, y
c) A quién se va a comunicar.
La organización deberá establecer, implementar y mantener procedimiento(s) para :
- Comunicación interna entre las partes, interesadas y empleados dentro del a organización,- Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras partes interesadas, incluidos los medios de comunicación,- Recibir, documentar y responder a la comunicación de las partes interesadas.- Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificación y el uso operacional, cuando corresponda.- Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo.- Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter
operabilidad de múltiples organizaciones y personal, cuando corresponda, y - Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las comunicaciones normales.
2.5. Planes y Procedimientos de la Continuidad del Negocio
Lista de actividades
5. Plan y procedimiento de la
Continuidad del Negocio
2.6.1 Establecer objetivos de
Comunicación
2.6.3 Planificarlas actividades de
comunicación
2.6.4 Realizar unaactividad de
comunicación
2.7 Capacitación y sensibilización
2.6.5 Evaluarla comunicación
2.6.2 Identificalas Partes
Interesadas
Principios de una Eficaz Estrategia de Comunicación
1 Hacer que todos los procesos, procedimientos, métodos, fuentes de datos y supuestos utilizados en la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la confidencialidad de la información según se requiera
2
3
5
4
Transparencia
IdoneidadHacer que la información proporcionada en las partes interesadas sea pertinente, utilizando formatos, el idioma y los medios que cumplan con sus intereses y necesidades, para que puedan participar plenamente
Credibilidad
Respuesta
Claridad
Comunicar con una conducta honesta y justa, y proporcionar información que sea veraz, exacta y sustantiva. Desarrollar la información y datos con métodos e indicadores reconocidos y reproducibles
Responder a las preguntas y preocupaciones de las partes interesadas de forma plena y oportuna. Hacer conscientes a las partes interesadas de cómo se han abordado sus preguntas e inquietudes
Asegurar que los métodos de comunicación y el lenguaje son comprensibles para las partes interesadas para minimizar la ambigüedad
Proceso de Comunicación de la CN
ORGANIZACIÓN
PartesInteresadas
Gruposobjetivo
Pri
nc
ipio
s d
e l
a c
om
un
ica
ció
n
Establecerobjetivos
Identificarlas partes
interesadas
Estrategia de comunicación de la Continuidad del Negocio
Tener en cuenta lasCuestiones relativas
a los recursos
Política de comunicación de la continuidad del negocio
Otros principiosCorporativos,
Políticas y estrategias
Política de continuidad del negocio
Planificar
Realizar
Evaluar
Las actividades de comunicación de la continuidad del negocio
2.6.1. Establecer Objetivos de Comunicación
Ejemploso Mejorar la credibilidad y la reputación de la organización
o Establecer diálogo constante sobre cuestiones de la continuidad del negocio con las partes interesadas
o Cumplir con los requisitos legales aplicables y otros requisitos que la organización suscriba
o Influir en la política pública sobre problemas de continuidad del negocio
o Proporcionar información y fomentar la comprensión de las partes interesadas acerca de las actividades de la continuidad del negocio
o Cumplir con las expectativas de las partes interesadas sobre información de la continuidad del negocio
2.6.2. Identificar las Partes Interesadas
Para adaptar el plan de comunicación
Clientes
Inversores
ProveedoresMedios de
comunicación
Empleados
Comunidades
2.6.3. Planificar las Actividades de Comunicación
Claves para el éxito
o Una organización debería decidir qué es lo que pretende conseguir con una actividad de comunicación de la continuidad del negocio
o Se deberían establecer objetivos compatibles con los objetivos de comunicación de la continuidad del negocio y que sean específicos, mensurables, alcanzables, realistas y con plazos
o Esto permitirá que la organización evalúe la actividad de comunicación de la continuidad del negocio y determine si el objetivo se ha cumplido, o no
o La organización debería prever problemas de continuidad de negocio de interés para las partes interesadas
Planificar la Comunicación de una Crisis
o Aunque la comunicación de la continuidad del negocio es importante en todo momento, es particularmente importante durante las crisis y las emergencias de continuidad del negocio
o La organización debería identificar las posibles crisis y emergencias, y planificar la adecuada comunicación de la continuidad del negocio
o La planificación debería abordar información
pertinentemente para dar respuesta a las situaciones
potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicación
Sitio Web
Informes
Folletos &Boletines
Carteles
Métodos y herramientas de comunicación
Correos electrónicos
Artículos de prensa
Comunicados de prensa
Anuncios
Reuniones Públicas
Grupos de enfoquey encuestas
Visitas guiadas a la organización
TalleresY Conferencias
Entrevistas con los Medios
Presentación a los grupos
Medios sociales
Ejemplo de Actividades de Comunicación
Invitación a visitas y medios de comunicación durante un ejercicio
o Los visitantes pueden tomar una función más o menos formal de “observador”
o Se invita ocasionalmente a los medios de comunicación a informar sobre ejercicios (pero su presencia también puede ser peligrosa…)
2.6.5. Evaluar la comunicación
o Una organización debería permitir tiempo suficiente para que la comunicación de la continuidad del negocio sea eficaz
o El tiempo necesario depende de la naturaleza de la comunicación, el número de partes interesadas y sus preocupaciones, y el tipo de soporte utilizando
o La organización debería revisar y evaluar la eficacia de su comunicación de la continuidad del negocio
Comunicación y Reportes
Ejemplo de un formularioNombre delproyecto
Número de proyecto
Responsable Nombre Fecha 01.02.2015
Comunicación Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3
Enfoque de lacomunicación
Interés y temas principales
Estado Actual (Partidario/Natural/Oponente
Apoyo deseado(Alto/Medio/Bajo)
Funciones prevista en elProyecto(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales decomunicación
Ejercicio 12
Comunicación de una crisis
Día 4
Implementador Líder
Certificado en la ISO 22031
Curso de Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 25 Pruebas y ejercicios
a. Definición
b. Definición de la estrategia de ejercicios y pruebas
c. Creación de un plan de ejercicios y pruebas
d. Creación de escenarios de ejercicios y pruebas
e. Programa de ejercicios y pruebas
f. Determinar los objetivos de los ejercicios/pruebas
g. Realizar una actividad de ejercicios y pruebas
h. Evaluación de una actividad de ejercicios y de pruebas
i. Informe de Ejercicios/Pruebas
2.7. Pruebas y ejercicios
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 8.5
Pruebas y ejercicios
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organización deberá llevar a cabo ejercicios y pruebas que:
a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
Pruebas y ejercicios
Ejercicio
• Proceso para capacitar, evaluar, practicar, y mejorar el
rendimiento de una organización
Prueba
• Único y particular tipo de ejercicio, que incorpora un elemento de expectativa de aprobar dentro del objetivo o los objetivos del ejercicio que está previsto
Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes, procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales; aclarando y capacitando al personal en funciones y responsabilidades; mejorar la coordinación inter institucional, y las comunicaciones; identificar las deficiencias en materia de recursos; mejorar el desempeño individual; e identificar las oportunidades de mejora
¿Por qué Evaluar Planes de Continuidad del Negocio?
Capacitación del personal en la utilización de planes de CN
Ganar adeptos en todas las áreas de negocio
Probar la adecuación, exactitud y veracidad de los actuales planes de recuperación
Probar los componentes de elementos técnicos
Objetivos de los ejercicios y pruebas
Mejorar procedimientos de recuperación del negocio
Asegurar que todos los aspectos del negocio están cubiertod
Capacitación del personal en la utilización de planes de CN
2.7. Pruebas y ejercicios
Lista de actividades
2.6 Comunicación
3.1 Supervisión,Medición, análisis y
evaluación
2.7.3. Creación de escenarios
2.7.4 Programa de ejercicios y
pruebas
2.7.5 Selección De objetivos
De ejercicio/prueba
3.2 Auditoriainterna
3.3 Revisiónpor la Dirección
27.6 Realizar una actividad de
ejercicio/prueba
2.7.1 Definición de la estrategia
2.7.2 Plan de ejercicios &
pruebas
2.7.7 Evaluación de una actividad
de ejercicio/prueba
2.7.8 Informe de Ejercicio/Prueba
2.7.1. Definición de la Estrategia de Ejercicios y Pruebas
Proceso de revisión
Familiarización
Comprobación y tutorialdel proceso
de invocación yrecuperación
Operacional
ServicioEn operaciones
Servicios integrales de conmutación entre el
Sitio principal y el secundario
Aumentar la confianza y la capacidad de recuperación
Simulación de recuperación
IntegradoComponente
Pruebas / ejercicios de cada proceso
O competen de la infraestructura
Pruebas / ejercicios de recuperación del
Servicio integral
2.7.2. Creación de un Plan de Ejercicios y Pruebas
El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la base para una auditoría, incluyendo:
1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio, etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta dirección
2.7.3. Creación de Escenarios de ejercicios y Pruebas
Tipo de ejercicio ¿Qué es? Beneficio Desventajas
Lista de control
Tutorialestructurado
Paralelo
Simulación
Interrupcióntotal
Distribuye planes para surevisión
Examina detenidamenteCada paso del PCN
Prueba completa, pero las Operaciones no se
detienen
Escenario para representarProcedimientos de
recuperación
El desastre se replica al punto de que cesen las
Operaciones normales
Asegura que el plan abordatodas las actividades
Asegurar que las actividadesPrevistas se describen con
exactitud en el PCN
Sesión de práctica
Garantizar un alto nivel de Fiabilidad sin interrumpir las
Operaciones normales
Prueba más fiable del PCN
No aborda la eficacia
Bajo valor parademostrar capacidad
de respuesta
Cuando los subconjuntos son
muy diferentes
Caro, ya que todo el personal está involucrado
Arriesgada
Tipo de Escenarios de Prueba para el Sistema de TI
Prueba
Prueba Estática
PruebaDinámica
PruebaFuncional
Objetivo
• Valida que los equipos y sistemas se ajustan a las especificaciones y que operan en los entornos requeridos, y que los procedimientos y los procesos son viables.
2.7.4. Programa de Ejercicios y Exámenes
Departamento/Proceso/Sistema PruebaLista decontrol Tutorial
Recursos humanos Estática
Finanzas
Adquisiciones
Ventas
CRM Dinámica
Sistema de correoelectrónico
Funcional
EjercicioParaleloSimulación
Interrupcióntotal
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas
Recomendaciones
o Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de prestación de servicios, el ejercicio debería ser cuidadosamente planeado para reducir al mínimo el riesgo de que ocurra un incidente como consecuencia
directo del ejercicio
o Los ejercicios deberían ser realistas y cuidadosamente planificados y acordados con las partes interesadas, de modo de que exista un mínimo riesgo de interrupción de los procesos empresariales
o La escala y la complejidad de los ejercicios deberían ser adecuadas a los objetivos de recuperación de la organización
2.7.6. Realizar una Actividad de Ejercicio/Prueba
El ejercicio debería realizarse en el momento oportuno que mejor responde a los objetivos del evento, y:
Causa el nivel mínimo de perturbación a la organización y a las partes interesadas
Cuando el número apropiado de participantes requeridos para apoyar el ejercicio está disponible
Cuando los lugares físicos, activos, equipos o instalaciones están disponibles para su uso en el ejercicio
Detener o Suspender el Ejercicio
Detener o Suspender
• Hay ejercicios que se pueden detener o suspender, antes de la hora programada por una serie de razones, incluso cuando se plantea un incidente real
• Esta decisión de detener o suspender el ejercicio debería ser adoptada por el coordinador del ejercicio, que debería estar en posesión del estado de las actividades desarrolladas en el ejercicio y poder decidir el momento más seguro para detener las actividades
• Algunas organizaciones utilizan palabras clave para lograr esto
Documentación de Ejercicios/Pruebas
Lista estándar
1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duración de la prueba
7. Pasos específicos de la prueba
8. Quiénes serán los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medición del éxito o el fracaso de las pruebas
2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba
Los informes pos ejercicios deberían cubrir:
TiempoTiempo real de ejecución de las tareas previamente determinadas vs. El tiempo planificado
Suma Suma del trabajo realizado vs. El trabajo planificado
Número
Precisión
Leccionesaprendidas
Recomendaciones
Cantidad de transacciones y registros realizados con éxito vs. La cantidad planificada
Precisión de la entrada de datos en la instalación de reserva comparada con la precisión normal vs. La planificad
Identificación de errores y comisiones
Lo que hay que aplicar para mejorar el PCN
2.7.8. Informe de Ejercicios/ Pruebas
EjemploDificultades / ProblemasDurante el ejercicio/prueba
Razones/Causas Cogniciones (LeccionesAprendidas)
<Texto> … …
<Texto> … …
<Texto> … …
<Texto> … …
…
¿Qué ha funcionadoDurante la prueba?
¿Qué no funcionóDurante la prueba?
Curso de Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 26 Supervisión, medición, análisis y evaluación
a. Proceso de supervisión, medición, análisis y evaluación
b. Determinar los objetivos de la medición
c. Objetivo de la supervisión y de la medición
d. Determinación de la frecuencia y del método
e. Presentación de los resultados
f. Tablero del SGCN
3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 9.1
9.1 Supervisión, medición, análisis y evaluación
9.1.1 Generalidades
La organización deberá determinar:
a) Lo que debe ser medio controlado
b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para asegurar resultados válidos;
c) Cuándo el seguimiento y la medición deberán ser llevados a cabo;
d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los resultados de las mediciones.
La organización deberá conservar la información apropiada documentada como evidencia de los resultados.
La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN.
Además la organización deberá:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados antes de que se produzcan una no conformidad
- Conservar la información apropiada documentada como evidencia de los resultados
-
Definiciones
según la ISO 22301
Supervisión (3.29)
•Determinar el estado de un sistema, un proceso o actividad
Medida (3.27)
Evaluación del Rendimiento (3.36)
•Proceso para determinar un valor
•Proceso de determinar resultados mensurables
Proceso de Supervisión, Medición, Análisis y Evaluación
El objetivo principal es la mejora del SGCN
Objetivo A
Objetivo B
Objetivo C
Atributo A
Atributo B
Atributo C
Indicador de rendimiento A
Indicador de rendimiento B
Indicador de rendimiento C
TABLEROOBJETIVO DE MEDICIÓN
REVISIÓN YMEJORA
3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
Lista de Actividades
2. Implementacióndel SGCN
(Hacer)
3.3 Revisiónpor la Dirección
3.1.1 Objetivosde medición
3.1.2 Objetivos de Supervisión y
Medición
3.1.3 Creaciónde indicadores
3.1.4 Creación de paneles
3.2 AuditoriaInterna
3.1.1. Determinación de los Objetivos de medición
Objetivos de la Medición
La norma no indica lo que debe ser objetivo de supervisión o medición
Corresponde a la empresa determinar qué es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de continuidad
• Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante
2. Función de Asesoramiento dentro de la organización para la mejora continua
3.1.2. Objetivo de la Supervisión y Medición
¿Qué mínimamente necesita ser supervisado y medido?
1. La medida en que se cumplen la continuidaddel negocio, política, objetivos y metas de la organización
5. Los datos y losresultados de lasupervisión y mediciónsuficientes para facilitarel posterior análisis de las acciones correctivasy preventivas
2. Los procesos, procedimientos y funciones que protegen sus actividades prioritarias
3. Evidencia históricade los resultados
deficientes del SGCN,por ejemplo, no
conformidad, conatos,falsas alarmas
4. El cumplimiento de las exigencias legales y nominativas, las mejores prácticas del sector y de laconformidad con su propia gestión de la política y objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
• % de falsas alarmascon detección de eventos
• Costo promedio de un incidente
• % del personal que ha recibido capacitación y calificaciones de CN
• Número de horas de capacitación de los empleados
• • % de planes
probados• Número de ejercicios
realizados en el último año
• % de no conformidades no cerradas en lademora fijada
• Número de días en promedio para cerrar
una no conformidad
Incidentes Capacitación Ejercicios No conformidades
3.1.3. Determinación de la Frecuencia y el Método de Supervisión y Medición
Objetivos de la Medición
La norma no indica, ni cómo ni la frecuencia con que debe realizarse o evaluarse la supervisión o la medición
Es ala organización quien determina cómo controlar, medir y con qué frecuencia
• Es la mejor práctica utilizar tableros para registrar y notificar las actividades de medición
y supervisión con indicadores de rendimiento
• Los tableros deberían indicar los resultadosobtenidos frente a los objetivos de rendimiento
¿Cómo y cuándo se debe controlar y medir?
COMO
3.1.4. Presentación de los resultados
Ejemplo de Tablero
Ejecución – OperativoPresenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestión – TácticoMide el progreso hacia el logro delos objetivos tácticos
Alta Dirección – EstratégicoHace posible el progreso de la estrategia de
continuidad
I. Tablero Operativo
Ejemplo
II. Tablero Táctico
Ejemplo
Evaluación de los procedimientos
Procedimiento evaluadoNotas a la debilidad
Y la fuerzaNivel de cumplimiento
1 2 3 654 7 8
1
2
5
4
3
6
8
7
9
10
Evaluación global
Procedimiento de control de documentos
Procedimiento de control de registrosProcedimiento de competencia, sensibilización y capacitación
Procedimiento de auditorias interna
Procedimiento de acciones correctivas
Procedimiento de acciones correctivasProcedimiento de revisión por la
direcciónProcedimiento de supervisión y medición
Procedimiento de gestión de recursos
Procedimiento de compra
Nro.
III. Tablero Estratégico
Ejemplo
Indicador 1 Indicador 2 Indicador 3 Indicador 4
2004 2005 2006 2007 2008 2009 20100
1020304050607080
18 1927 29
36 4150
2839
49 48
65 6171
Serie 1 Serie 2
25
20
27
60
20
Descripción A Descripción B Descripción C
Descripción D Descripción E
Ejercicio 13
Supervisión, medición, análisis y evaluación
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 27 Auditoria Interna
a. Las diferencias entre las Auditorías Internas y Externas
b. Rol de la Función de la Auditoria Interna
c. Independencia, objetividad e imparcialidad
d. Planificación de las actividades de auditoria
e. La gestión y la asignación de recursos
f. Crear un procedimiento de auditoría
g. Actividades de seguimiento de no conformidades
3.2. Auditoría Interna
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 9.2
9.2 Auditoría interna
9.1.1 Generalidades
La organización deberá llevar a cabo auditorías internas a intervalos planificados para proporcionar información a fin de prestar asistencia en la determinación de si el SGCN:
a) cumple:1) Las necesidades propias de la organización para su SGCN,
2) Los requisitos de esta norma Internacional.
b) se aplica y es manteniendo de forma afectiva.
La organización deberá:-Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
métodos,- responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías
(s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,- Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria,- La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad del proceso de auditoría.- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la
auditoría.
¿Qué es una Auditoría?
ISO 19011, cláusula 3.1
Proceso sistemático, independiente ydocumentado para obtener evidencia de auditoríay evaluarla para determinar en qué medida cumple los criterios de auditoría
En resumen:Auditoría significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditorías
InternaAuditoría de primera
ParteNuestra organización audita sus
propios sistemas
Organización
Auditoría de SegundaParte
Nuestro cliente auditanuestra organización
Auditoria de SegundaParte
Nuestra organizaciónaudita a nuestro
proveedor
Auditoría de Tercera parte
La organización es auditada por una
organizaciónindependiente
Cliente Proveedor
Externa
Las Diferencias entre las Auditorías Internas y Externas
Principales características
Auditoría Interna
1. Es independiente de las actividades auditadas(no de la organización)
2. Considera la eficacia y la eficiencia del sistema de gestión
3. Función de Asesoramiento dentro de la organización para la mejora continua
4. Puede llevarse a cabo en el curso de las operaciones
Auditoría Externa
1. Totalmente independiente de la organización auditada y sus actividades
2. Sólo considera la eficacia del sistema de gestión
3. No tiene función de asesoramiento a la organización (sólo recomendaciones generales)
4. La actividad de la auditoría siempre e planifica de manera oportuna
Principales Servicios y Actividades de la Auditoría Interna
Objetivosprincipal
es
1. Evaluación de los objetivos del sistema de gestión
2. Evaluación general delFuncionamiento del sistema de gestión
3. Evaluación de la gestión de riesgos en curso
4. Evaluación de la eficacia y la eficiencia de los procesos y medidas
8. Coordinación entre las auditorias internas y externas
7. Evaluación de la mejora continua
6. Evaluación de la medición y la revisión del sistema de gestión
5. 4 Evaluación de la eficacia y la eficiencia de la gestión del ciclo de vida del mismo sistema de gestión
ISO 19011
INTERNATIONAL ISO
STANDARD 19011
______________________________________ Societal security- Business continuity
Management Systems –Requirements
______________________________________
Guía de auditoría para los sistemas de gestión
o Las definiciones de los conceptos de auditoría de sistemas de gestión
o Descripción de las características y principios básicos de la auditoría y la
profesión de auditor
o Descripción de todos los elementos clave del proceso de auditoría
o Descripción de los aspectos fundamentales de un programa de auditoría
o Directrices sobre las calificaciones de los auditores
2.7. Pruebas y ejercicios
Lista de actividades
3.1 Supervisión, medición,
análisis y evaluación
3.3 Revisión por la Dirección
3.2.3 Establecer Independencia, objetividad e Imparcialidad
3.2.4 Planificar actividades de
auditoria
3.2.5 Asignar y administrar los
recursos
3.2.6 Crear procedimiento de
auditoría
3.2.1 Crear el programa de
auditoría interna
3.2.2 Designar una Persona Responsable
3.2.7 Realizar actividades de
auditoría
3.2.8 Seguimiento de No
conformidades
3.2.1. Crear el Programa de Auditoria Interna
ISO 19011, cláusula 5
Establecer el programa de auditoría (5.2)
- Objetivos y alcance – Roles y responsabilidades- Competencia - riesgo del programad e auditoría
- Procedimientos - Recursos
Aplicación del programa de auditoría (5.3)
-Definir cada objetivo, alcance y criterios de la auditoría
-Determinar el método (s) de auditoría-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa de auditoria
Supervisión del programa de auditoria (5.4)
-Revisar y aprobar los informes de auditoría -Determinar la necesidad de una auditoria de
seguimiento-Evaluar el desempeño delos miembros del equipo de auditoria y retro alimentación por
parte de todos los interesados
Actividades deAuditoria
(cláusula 6)
Competencia y evaluaciones
de los auditores
(cláusula 7)
Pla
nif
icar
Hac
erV
erif
ica
r
Act
ua
r Revisar y mejorar programa de auditoría (5.5)
3.2.2. Designar una Persona Responsable
1. Desarrollar un programa de auditoría interna (funciones y responsabilidades, procedimientos, documentos de trabajo, formación de auditores, etc.)
2. Planificar las actividades de auditoría
3. Administrar los recursos
4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con estos criterios
5. Escribir informes de auditoría
6. Asegurar que se siguen las mejores prácticas y que se aplican los procedimientos de auditoría durante la realización de la auditoría.
7. Implementar un programa de evaluación continua de los auditores
8. Realizar el seguimiento de las no conformidades y las recomendaciones de auditorías anteriores
Funciones y responsabilidades
Principales Servicios y Actividades de la Auditoría Interna
Preparar, conducir y cerrar una auditoria, comunicación oral y escrita de las conclusiones
Operación de un sistema de gestión e interacción
entre sistemas
Principales leyes y reglamentos, cláusulas
de contrato
Evaluación y gestión de los riesgos de auditoría y aquellos relacionados a la operación de un sistema de gestión
Principales procesos presentes en todas las organizaciones (RRHH, Finanzas, Producción, etc.)
Principiosde auditoría
Sistema de gestión
Aspectoslegales
Procesoorganizacional
Riesgosde auditoría
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditoría
Definición normal del propósito y actividades de la auditoría interna
Definición formal de la autorización de acceso de Auditores internos
El establecimiento de la independencia de la auditoría interna
Definición de las responsabilidades y los servicios que serán proporcionados por la auditoría interna
Definición formal del alcance y la extensión de la auditoría interna
Estructura del estatuto(carta) de auditoría
El Acceso y la Independencia
El acceso a los recursos y la colaboración
• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados, oficinas, información, explicaciones y la documentación necesaria para el buen desarrollo de la auditoría para el buen desarrollo de la auditoría
• Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de auditoría
Independiente
• Los auditores internos deben ser independientes de los procesos auditados, y esto generalmente se garantiza si el auditor informa a la Comisión de cuentas de la organización en lugar de directamente a la alta dirección
• Esta necesidad de independencia debería reflejarse en el organigrama
1
2
3.2.4. Planificación de las Actividades
Planificación a corto y largo plazo
Una planificación de auditoría d alto nivel para tres años
• Esta planificación debe tener en cuenta que el sistema general de gestión debería ser auditado cada tres años
Una planificación anual más detallada
• Esta planificación debe tener en cuenta que no hay ningún requisito para que el auditor audite todos los procesos y controles del sistema de gestión durante ese año
3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría
Recursos financieros Recursos humanos
ISO 19011, cláusula 5.3.6
Herramientas
Políticas y procedimientos de auditoría Logística
3.2.6. Crear Procedimientos de Auditoría
1. Planificar y programar las auditorias teniendo en cuenta los riesgos de auditoría
2. Administrar la seguridad de la información y la confidencialidad y gestionar los riesgos de auditoría
3. Garantizar la competencia de los auditores y los lideres de los equipos
Los procedimientos de auditoría deberían incluir información sobre cómo:
4. Seleccionar equipos de auditoria apropiados y asignar sus roles y responsabilidades
5. Realizar auditorias incluyendo el uso de métodos de
muestreo apropiados
6. Realizar el seguimiento de la auditoría, si procede
7. Informar de los resultados del programa de auditoría al cliente de auditoría
8. Mantener registros del programa de auditoría
9. Monitorear la operación, los riesgos y eficacia del programa de auditoría
ISO 19011, cláusula 5.3.5
Para las organizaciones pequeñas, las actividades mencionadas arriba pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditoría
Fuente de información
Uso de Procedimientos de auditoría
Incluyendo el muestreo
Evidencia de la auditoría
Evaluación frente a los Criterios de auditoria
Hallazgo de la auditoría
Revisión
Conclusiones de la auditoría
No conformidad
Definición
o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad es el “no cumplimiento de un requisito”
o Hay dos tipos de no conformidades
No conformidad menor
No conformidad mayor
3.2.8. Seguimiento de no conformidades
Directriceso El auditor interno debería seguir los planes de acción presentados en respuesta a las no conformidades (como resultado de las autoridades internas y externas)
o La persona a cargo del SGCN debe informar al auditor interno de la marcha de las acciones correctivas
o El papel del auditor interno se limita a validar los planes de acción y las acciones correctivas
o No todas las medidas correctivas tiene que ponerse en práctica inmediatamente
Basado en su experiencia y conocimiento, el auditor interno deberíaejercer buen criterio y evaluar si los planes de acción
apropiados y pueden abordar las causas intrínsecas de las conformidades
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 29 Tratamiento de problemas y no conformidades
a. Proceso de análisis de la causa raíz
b. Herramienta de análisis de la causa raíz
c. Procedimiento de acciones correctivas
d. Procedimiento de acciones preventivas
3.3. Revisión por la Dirección
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 9.3
Revisión por la Dirección
La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia
La revisión por la dirección deberá incluir la consideración de :
a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema de gestión de la continuidad del negocio;
c) Información sobre el desempeño de la continuidad del negocio, incluyendo las tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluación del seguimiento y la medición;
3) Resultados de la auditoría; y
d) Oportunidades para la mejora continua.
Revisión por la Dirección
Definición
Una revisión periódica de la eficacia del Sistema de Gestión realizada por la alta dirección para analizar su conveniencia, adecuación y eficacia continuas
Término Concepto
Idoneidad
Adecuación
Eficacia
Los resultados se logran de la mejor manera posible
Las salidas cumplen con los criterios establecidos
El sistema cumple con las necesidades de la organización
3.3. Revisión por la Dirección
Lista de actividades
1.2 Implementacióndel SGCN
4. MejoraContinua
3.3.1 Prepararla Revisión
por la Dirección
3.3.2 Realizar la Revisión
por la Dirección
3.3.3 Cierre dela Revisión
por la Dirección
3.3.4 Seguimiento de la Revisión
por la Dirección
3.1 SupervisiónMedición, análisis y
evaluación
3.2 AuditoríaInterna
3.3.1. Preparación de la Revisión por la Dirección
o La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados (por lo menos una vez al año)
o La revisión por la Dirección se puede incluir en una reunión de Dirección y ser uno de los temas del orden del día
o Es una buena práctica enviar al comité de gestión toda la documentación relacionada (informe de auditoría, resultados de las revisiones, planes de
acción…) antes de la revisión
Requisitos
ISO 22301, cláusula 8.5
Pruebas y ejercicios
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organización deberá llevar a cabo ejercicios y pruebas que:
a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y.
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
3.3.2. Realizar una Revisión por la Dirección
La entrada de una revisión por la Dirección debería incluir información sobre:
1. Los resultados de auditorías del SGCN y sus revisiones
2. Las técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el rendimiento y la eficacia del SGCN
3. Estado de las acciones preventivas y correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo anterior
6. Los resultados de las mediciones de la eficiencia
7. Las acciones de seguimiento de revisiones por la Dirección anteriores
8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos
9. Adecuación de la política
10. Recomendaciones para la mejora
11. Las enseñanzas derivadas de incidentes
12. Buenas prácticas y guías emergentes
Temas que figuraran en el programa
3.3.3. Resultados de la Revisión
El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones relacionadas con lo siguiente:
1. Variaciones al alcance del SGCN;
2. Mejora de la efectividad del SGCN;
3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante incidentes y procedimientos de respuesta;
4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los cambios en: Requisitos empresariales y de funcionamiento Reducción de riesgos y requisitos de seguridad Procesos de las conducciones de funcionamiento del negocio que inciden en
los requisitos operativos existentes; Los requisitos reglamentarios o legales Las obligaciones contractuales Los niveles de riesgo y/o criterios para la aceptación de riesgos; Necesidades de recursos Los requisitos económicos y presupuestarios Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles
Decisiones y resoluciones
3.3.4. Seguimiento de la revisión por la Dirección
o Las revisiones por la Dirección deben ser documentadas
o La organización debería presentar informes sobre la revisión por la Dirección a todos los que forman parte de ella
o El coordinador del SGCN y el quipo de auditoría interna tiene la responsabilidad de garantizar que los planes de acción de seguimiento sean aprobados
Dirección
Follow Up!
4.1. Tratamiento de Problemas y No Conformidades
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 10.1
10 Mejora
10.1 No conformidad y acción correctiva
La organización deberá:
a) Identificar no conformidad(es);
b) Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad, con el fin de que no se repita o se de en cualquier otra parte
d) Implementar las medidas necesarias
e) Examen de la eficacia de las medidas correctivas adoptadas,
f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a los efectos de las no conformidades encontradas
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
Definiciones
ISO 9000
Mejora continuaActividad recurrente para aumentar la capacidad de cumplir con los requisitos (ISO 9000, 3.2.13)
Corrección Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Acción Correctiva
Acción Preventiva
Acción para eliminar la causa de una no conformidad detectada u otra situación indeseada (ISO 9000,3.6.5)
Medidas para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades
Lista de actividades
2 Implementacióndel SGCN
4.2. MejoraContinua
4.1.1 Procesode resolver
problemas y no conformidades
4.1.2. Procedimiento d
acciones correctivas
4.1.3. Procedimiento de
acciones correctivas
4.1.4. Planes de acción
3.1 Medición del SGCN
3.2 AuditoríaInterna
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades
Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas
Inicio
3Desarrollar
Plan Provisional de Contención
Elegir/ Comprobar las Acciones CorrectivasPermanentes (ACP)
5Definir y VerificarCausa(s)4
Seleccionar las causasProbables
¿Es la CausaUna
CausaRaíz?
DesarrollarSoluciones posibles(s)
Validar y Aplicar las ACP
Prevenir la recurrencia
Facilitar a su Equipo
6
7
8Describir el Problema
Establecer el Equipo/Utilizar un enfoque de
Equipo
Identificar el Problema
2
1
0
Finalizar
Si
No
Face de Planificación
Herramienta de Análisis de la Causa Raíz
Diagramas de causa y efecto
Gestión de Procedimientos
El Sitio de la Red nofunciona
con
frecuenciaNo hay un procedimientoPara gestionarlo
No hay formación en la sensibilización
Ningún proceso establecido para tratar con sitio de la red
Cuando se descompone
El personal de TI no mide el rendimiento del prestador del servicio del sitio de la red.
Proveedor externo inadecuado
Equipos Obsoleto
No se siguen adecuadamente los procedimientos de actualización de la
página web
El personal de TI no está apropiadamente capacitado para gestionar el sitio de la red.
No hay capacitación de gestión del sitio de red para sus
empleados
Insuficiencia de recursospara gestionar el sitio de la Red
Causas Prioritarias
Evaluaciones Recursos Recursos
Haciendo las preguntas correctas
Situación actual Interrogatorio Seguimiento de la solución Opción (es)
¿Qué se ha hecho?
¿Cómo se hace?
¿Dónde se hace?
¿Quién lo hizo?
¿Cuándo se hace?
¿Por qué es necesario?
¿Por qué se hace de esta manera?
¿Por qué se hace en este lugar?
¿Por qué esta persona?
¿Por qué se hace en este momento?
¿Qué otra cosa podríamos hacer?
¿Cómo hacerlo de manera diferente?
¿Quién más podría hacerlo?
¿Dónde más podríamos hacerlo?
¿Podríamos hacerlo en otro momento?
¿Qué se hará?
¿Cómo se hará esto?
¿ Quién lo hará?
¿Cómo se hará esto?
¿Cuándo se va a hacer?
Necesarias para el análisis de cualquier problema
4.1.2. Procedimiento de Acciones Correctivas
Acción correctiva
Mejora Continua
Análisis situacional
Identificación de la no conformidad
Revisión y seguimiento de acciones tomadas
Implementación de soluciones y registros de las medidas tomadas
Análisis de las causas raíz
Evaluación de las opciones
Selección de soluciones
Identificación y documentación de la no conformidad
4.1.3. Procedimiento de Acciones Preventivas
La organización deberá determinar las acciones para eliminar las causas potenciales de no conformidad, de conformidad con los requisito del SGCN
Eficacia
Acciones preventivas Acciones correctiva
Costos
4.1.1. Elaboración de Planes de Acción
Se puede escribir en forma resumida
Deben permitir que sea corregida la no conformidad
Deberían basarse en un enfoque preventivo y correctivo
Deben incluir un plazo de ejecución
Deben permitir la obtención de resultados verificados
Presentación de los Planes de Acción tras una Auditoría
o Se deberá presentar un plan de acción global por cada no conformidad, no un plan de acción para todas las no conformidades
o Los planes de acción deben ser aprobados por la dirección
o El auditor analizará las causas y evaluará si la corrección especifica y las medidas correctivas adoptadas o previstas, permitirán eliminar no conformidades detectadas, dentro de un tiempo definido
Planes de Acción
Ejemplo
1 Almacenar datos archivados y correos electrónicos en un servidor de archivos más fiable (2º trimestre 2008)
2 Una nueva versión de la política de CN debe ser publicada para incluir un marco para establecer objetivos (en el plazo de 2 meses)
3
Los nombres de las personas de contacto en caso de desastre deben ser explícitamente mencionados en el plan de continuidad del negocio (inmediatamente) y los procedimientos para contactar a estas personas deben ser documentados y comunicados (Tema incluido en el plan de concientización del 2009)
Ejercicio 14
Planes de acciones correctivas
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 30Mejora continua
a. Proceso de seguimiento continuo de factores de cambio
b. Mantenimiento y mejora del SGCN
c. Actualización continua de la documentación y registros
d. Documentar las mejoras
4.2. Mejora Continua
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No conformidades y acción correctiva
4.2 Mejora continua
3.1 Supervisión, medición, análisis yevaluación
3.2 Auditoría interna
3.3 Revisión por la Dirección
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del Riesgo
2.3 Estrategia de la Continuidad del
Negocio
2.4 Medidas de Protección &
Mitigación
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Planificar el SGCN
1.2 Comprensiónde la organización
1.3 Analizar el sistema existente
1.5 Liderazgo y planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura organizativa
1.8 Información documentada
1.9 Competencia y sensibilización
Requisitos
ISO 22301, cláusula 10
10 Mejora
10.2 Mejora Continua
La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del SGCN
NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación y evaluación del desempeño, para lograr mejoras.
Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la eficiencia de la organización para cumplir con sus políticas y objetivos.
En pequeños pero certerospasos
4.2. Mejora Continua
Lista de Actividades
2. Implementacióndel SGCN (Hacer)
Auditoría de Certificación
4.2.1. Supervisión de factores de
cambio
4.2.2. Mantenimiento y
mejoras
4.2.3. Actualización de la
documentación
4.2.4. Documentar las mejoras
3. Verificar4.1. Tratamiento De problemas y no conformidades
4.2.1.Proceso de Seguimiento continuo de los Factores de Cambio
Los cambios en la organización
• Misión• Objetivos de la empresa• Presupuesto y recursos• Cambios en el personal
Cambios enlas tecnologías
• Hardware• Software• Los procedimientos de TI• Los procesos de TI
Cambios por el SGNC
• Política de continuidad del negocio• Nuevos escenarios de riesgo • Los cambios de los procedimientos• Resultado de las pruebas y ejercicios• Resultado de la auditoría
Los Cambios externos
• Leyes y reglamentos:• Necesidades y preocupaciones de los clientes y proveedores• Proveedores de SLA• Los cambios en el entorno por ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
• El SGNC debe ser mantenido y actualizado periódicamente.
• Las mejoras acordadas en el proceso y las acciones necesarias para mejorar el proceso deberían ser notificadas a los directores más apropiados para asegurar que ningún riesgo es pasado por alto ni subestimado antes de la aplicación de los cambios.
Mejora
Implementación
Mantenimiento
4.2.3. Actualización Continua de la Documentación y Registros
Cambio continuo
Documentación del SGCN
• Política del SGCN• Análisis de riesgos• Estrategia• Continuidad del Negocio y planes de
reanudación• Programa de sensibilización• Programas de Educación• Planificación de las actividades y los
resultados.• Los niveles de servicio acordados
Ejercicio
• Evolución organizacional• Nuevas reglas• Cambios en el alcance del negocio• Incidentes• Funcionamiento defectuoso• Fallos• Informes de la Gestión de Riesgos• Resultados de las pruebas• Auditorías Internas• Auditorías Externas
Revisar y adaptar
4.2.4. Documentar las Mejoras
Por lo general, mediante el procedimiento de gestión del cambio
Record of Changes
Page # Change Comment Date of Change
Signature
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 31Preparación para la auditoría de certificación
a. Selección de la entidad de certificación
b. Preparación para la auditoría de certificación
c. Etapa 1 de la auditoría
d. Etapa 2 de la auditoría
e. Auditoría de seguimiento
f. Decisión sobre la certificación
g. Auditoría de vigilancia
Requisitos
ISO 22301, cláusula 4.4Sistema de gestión de continuidad del negocio
La organización deberá establecer, implementar, mantener y mejorar continuamente un SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de esta Norma Internacional.
Organismo de Certificación
ISO 17021
Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión.
Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas.
Lista de Actividades
Proceso de Certificación
1. Seleccionar un Organismo de Certificación:
2. Preparación de la auditoría
Mejora Continua y Auditoría de Vigilancia
3. Etapa 1 de la auditoría
4. Etapa 2 de la auditoría (auditoría
in situ)
Implementación del SGCN
An
tes
de
la
A
ud
ito
ría Informe de auditoría
interna Revisión por la Dirección
Au
dit
orí
a I
nic
ial
Se
gu
imie
nto
de
la
Au
dit
orí
a 5. Auditoría de seguimiento (si es
necesario)
6. Decisión de Certificación
Antes de la Auditoría
o Antes de ser auditado, un SGNC debe estar en funcionamiento durante un tiempo determinado
o Por lo general, se requiere un plazo mínimo de tres meses.
o Como mínimo, se debe haber realizado por lo menos una auditoría interna, así como una revisión por la dirección.
1. Selección de un Organismo de Certificación
Principales criterios
1 Notoriedad y credibilidad
2 Presencia geográfica
3 Las referencias en su sector
4 Posibilidad de una auditoría combinada
5 Habilidades y experiencia del equipo auditor
6 Precio
El Rechazo de un Auditor
o Es posible solicitar la
sustitución de los miembros
del equipo de auditoría por
razones válidas.
o El equipo de auditoría podría
retirarse si considera que las
razones mencionadas no son
válidas.
Ejemplo de razones
válidas:
• El auditor se encuentra en
una situación de conflicto de
interés (real o potencial)
• El auditor ha mostrado
anteriormente conducta no
profesional
• El auditor no tiene la
habilitación requerida por la
entidad auditada.
2. Preparándonos para la Auditoría de Certificación
2.Preparar al personal
3. Auditoría de práctica.
1. La Auto evaluación
Recomendaciones
Preparación para la auditoría
3. Etapa de la auditoría
1. Visita al sitio• Evaluación de la ubicación del cliente y las condiciones
específicas del lugar.• Reunión/contacto con el personal auditado.• Observación general de las operaciones del SGCN
2.2. Entrevistas con actores claves
• Validación del alcance, así de cómo las limitaciones legales, reglamentarias y contractuales aplicables
• Validación de que se han realizado las auditorías internas y las revisiones por la Dirección.
• Preparación de la etapa 2 de la auditoría.
3. Revisión de documentos• Comprensión general del funcionamiento del sistema de
gestión.• Evaluación del diseño del sistema de gestión, así como de los
procesos y controles relacionados.
Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.
4. Etapa 2 de la auditoría
Auditoría in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA
Asegurar que el SGCN:
- Cumple con todos los requisitos de la norma ISO 22301- Está eficazmente aplicado- Permite que la organización logre sus objetivos de continuidad del
negocio
Recomendación de Certificación
Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes relativas a la certificación:
1. Recomendación para la certificación.
2. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas sin visita previa.
3. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas con visita previa.
4. Recomendación desfavorable.
5. Realización de una Auditoría de Seguimiento
• Basado en las conclusiones de la auditoría, el auditor puede tener que llevar a cabo una auditoría de seguimiento antes de que la organización sea recomendada para la certificación.
• La verificación de los planes de acción y las medidas correctivas relacionadas con las no conformidades identificadas en el informe de auditoría.
ISO 17021, cláusula 9.1.12-13
Una no conformidad mayor debería generalmente implicar una auditoría de seguimiento.
6. Decisión sobre la Certificación
El organismo de certificación debe tomar la decisión de certificación basado en:
Una evaluación de los resultados y conclusiones de la auditoría.
Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)
ISO 17021, cláusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.
6. Decisión sobre la Certificación
El organismo de certificación debe tomar la decisión de certificación basado en:
Una evaluación de los resultados y conclusiones de la auditoría.
Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)
ISO 17021, cláusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.
Elementos a Auditar durante una Auditoría de Vigilancia
ISO 17021, cláusula 9.3.2
Gestión del Cambio
Auditoría Interna
La auditoría de vigilancia tiene por objeto garantizar que el SGCN sigue
siendo implementado y está mejorando.
Planes de Acción
Revisiónpor la
Dirección
Mejora Continua
Reclamos Y
Sugerencias
Utilización de marcas registradas
La auditoría se centra principalmente en la mejora continua, y en el
seguimiento de los planes de acción.
Control de las Operaciones
Efectividad y métricas
Auditoría de Re Certificación
• Una auditoría de re certificación deberá ser planificada y realizada para evaluar el cumplimiento continuo de todos los requisitos cada tres años.
• La auditoría de re certificación tendrá en cuenta el rendimiento del sistema de gestión durante el periodo de certificación, y deberá incluir la revisión de los anteriores informes de auditoría de vigilancia.
• La duración de una auditoría de re certificación debería ser de 2/3 del tiempo dedicado a la auditoría inicial
ISO 17021, cláusula 9.4
Uso de los Órganos de Certificación y las Marcas Registradas ISO
• Una organización certificada está autorizada para exhibir públicamente su certificación y para su uso con fines de comercialización
• La certificación no se puede mostrar directamente en un producto o de una manera que conduzca a creer que el producto está certificado.
• El organismo de control proporcionará a la entidad auditada un logotipo que se puede utilizar para la comercialización.
ISO 17021, cláusula 8.4.1.
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 32Competencia y evaluación de un Implementador Líder
a. Las competencias de un implantador
b. Esquema de certificación de PECB
c. Solicitud de auditoría
d. Mejora continua de las competencias
Definiciones de Competencia
ISO 9000, cláusula 3.1.6
Capacidad demostrada para aplicar conocimientos y habilidades
Competencia
CompetenteDesempeño
Practicante
Habilidades
Habilidadesde
conducta
Conocimiento
Con
ocim
ient
osde
Contexto
ContextoC
ontexto
Habilidades de Conducta
Habilidades de Conducta
Describe en detalle cómo se llevan aCabo las tarea y actividades
Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma
1. Integridad 5. Perceptivo 10. Responsable
2. Mente abierta 6. Versátil 11. Abierto a la mejora
3. Diplomático 7. Tenaz 12. Culturalmente sensible
4. Observador 8. Decisivo 13. Colaborador
9. Auto suficiente
Habilidades de Conducta
Esquema de Certificación de PECB para la ISO 22301
Resumen de requisitos
Examen Credencial Profesional Experiencia Profesional
Experiencia auditoría de
SGCN
Experiencia Proyecto de
SGCN
ISO 22301 Fundamentos
ISO 22301 Fundamentos --------------- ------------- -------------
ISO 22301 Auditor Líder
ISO 22301 Auditor Provisional -------------- ------------ -------------
ISO 22301 Auditor 2 Años (1 en
continuidad del negocio)200 horas ------------
ISO 22301 Auditor Líder
5 Años (2 en continuidad del negocio)
300 horas ------------
ISO 22301Implementador Líder
Implementador Provisional ISO 22301 ------------ ------------ ------------
ISO 22301Implementador
2 Años (1 en continuidad del negocio) ------------ 200 horas
ISO 22301Implementador Líder
5 Años (2 en continuidad del negocio)
------------ 300 horas
AL ISO 22301 + IL ISO 22301 ISO 22301 Master 10 años (6 en
continuidad del negocio)500 horas 500 horas
Proceso de la Certificación de PCEB
4. Solicitud de certificación
5. Evaluación de su solicitud
6. Certificación7. Mantenimiento de la certificación
1. Examen PECB 2. Certificado CPD3. Resultados del
examen
1. Presentarse al Examen de PECB
Preparación para el examen• El Objetivo de este examen es garantizar que los candidatos conocen y
dominan:
1. Los principios fundamentales y los conceptos de continuidad del negocio.
2. Las Mejores prácticas de Control de la continuidad del negocio.
3. La planificación de un SGCN basado en la norma ISO 22301
4. La aplicación de un SGCN basado en la norma ISO 22301
5. La evaluación del desempeño, seguimiento y medición de un SGCN basado en la norma ISO 22301
6. La mejora continua de un SGCN basada en la norma ISO 22301
7. Prepararse para una auditoría de certificación del SGCN
• Los participantes tienen derecho a utilizar toda su
documentación• El examen dura tres horas
2. Certificado de Terminación de Curso
Certificado de DPC (Desarrollo Profesional continuo)
3. Anuncio de los Resultados del Examen
Los posibles resultados son:
AP
RO
BA
DO Usted recibe un número de examen por correo
electrónico Este número de examen es importante cuando
solicite la certificación de PECB
DE
SA
PR
OB
AD
O
Puede intentar una re-examinación dentro de los 12 meses del examen inicial
Contáctese, por favor, con el proveedor del examen para determinar una fecha para la re-examinación
Nota Importante: Al candidato no se le enviará una puntuación numérica
4. Solicitud de Certificación
Proceso general
• Una vez que ha aprobado el examen, usted puede solicitar en línea su certificación de PECB en www.pecb.org
• Al hacer la solicitud, debe proporcionar la siguiente información:
1 Sus detalles de contacto
2 Su experiencia profesional y su experiencia de auditoría
3 Por lo menos tres referencias.
4. Solicitud de Certificación
Expediente de experiencia profesional
Experiencia válida de proyectos Las actividades de implementación
Pre-evaluación
Análisis de brechas
Implementación interna
Implementación externa / consultoría
Implementación parcial
Elaboración de la implementación de un caso de negocio del SGCN
Gestión de un proyecto de implementación del SGCN
Realizar una evaluación de riesgos y un AIN
Aplicar medidas de mitigación Elaborar un plan de continuidad del
negocio Participar en las pruebas y ejercicios
de los planes de CN Aplicar las métricas y tableros Aplicar medidas correctivas o
preventivas Realizar una revisión por la
dirección Gestionar un equipo de continuidad
del negocio.
5. Evaluación de su Solicitud
Una vez que esté completada su solicitud, PECB hará la evaluación:
• Se contactará a sus referencias para validar:
Su experiencia de trabajo y su experiencia de auditoría.Su actitud personal.
• Su solicitud no será evaluada hasta que por lo menos dos de sus referencias hayan contestado.
• Usted podrá verificar si sus referencias han contestado en su cuenta de membresía de PECB
6. Certificación
• Si su solicitud es aprobada, PECB enviará el certificado por correo electrónico en formato PDF.
• Este certificado contiene el número de certificación que puede validar en la página web PECB www.pecb.org siguiendo la pestaña “Entregar un certificado”
• Sólo las personas que estén debidamente certificadas pueden usar el título de “Implementador Líder Certificado en la ISO 22301 (PECB)”
• También es posible utilizar los siguientes títulos:
IL Certificado ISO 22301 (PECB) Implementador Líder ISO 22301 (PECB) IL ISO 22301 (PECB)
6. Mantenimiento de la Certificación
Mantenimiento y mejora continua de las competencias
Desarrollo profesional continuo (mínimo de 45 horas de capacitación continua para un periodo de 3 años)
Mantenimiento de capacidades de proyecto (mínimo de 45 horas de actividades de proyecto para un periodo de 3 años)
7. Mantenimiento de la Certificación
Mantenimiento y mejora continua de las competencias
CERTIFICACION:
Requisitos Anuales Total Tri - Anual
Experiencia Educación Experiencia Educación
Fundamentos, implementador
Provisional y Auditor provisional
0 Ninguna 0 Ninguna Ninguna Ninguna
Implementador 10
Horas de experiencia laboral, implementación o experiencia relacionada con consultoría
10
Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.
30 horas 30 horas
Auditor 10
Horas de experiencia laboral, tareas relacionadas con experiencia en auditorías o evaluación
10
Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.
30 horas 30 horas
Implementador Líder 15
Horas de experiencia laboral, implementación o experiencia relacionada con consultoría
15
Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.
45 horas 45 horas
Auditor Líder 15Horas de auditoría o de tareas relacionadas con evaluación
15
Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.
45 horas 45 horas
Máster 30Horas de implementación, gestión o tareas relacionadas con auditoría.
30
Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.
90 horas 90 horas
Capacitación para Auditor Líder Certificado en la Norma ISO 22301
Sección 33Cierre de la capacitación
a. Evaluación de la capacitación
b. Otras capacitaciones y certificaciones para la ISO 22301
c. Otras Capacitaciones y certificaciones para implementadores
Evaluación de la Capacitación
Formulario de evaluación del curso
Otras Capacitaciones y Certificaciones para ISO 22301
Auditor Líder ISO 22301
(5 días)
Principios fundamentales de la continuidad del negocio Conceptos fundamentales y principios de auditoría Pruebas y riesgo Procedimientos de auditoría Conclusiones de la auditoría Acciones Correctivas
Gestor de RiesgosISO 27005:31000
(3 días)
Términos y definiciones relativos a la gestión de riesgos Las normas, marcos de referencia y metodologías de
gestión de riesgos. Establecer el contexto y definir criterios del riesgo. Identificación y análisis de riesgos. Evaluación y tratamiento de riesgos. Las opciones y planes de tratamiento de riesgo.
Desarrollo de la Carrera Profesional
Otras Capacitaciones y Certificaciones para Implementadores
ISO 9001 Gestión de Calidad
ISO 14001 Gestión Ambiental
OHSAS 18001 Gestión de salud y seguridad física
ISO 20000 Gestión de servicios TI
ISO 22000 Gestión de la seguridad alimentaria
ISO 22301 Gestión de Continuidad de Negocios
ISO 27001 Gestión de seguridad de la información
ISO 28000 Sistemas de gestión de seguridad para la cadena de suministro
Capacitación “Puente”