ISO 22301 - Resumen

Curso de Capacitación
Sección 1
Objetivos y estructura del curso

a. Información general
b. Objetivos del curso
Objetivos del Curso
Adquirir conocimientos

Comprender la operación de un Sistema de Gestión de

Continuidad del Negocio basado en la ISO 22301 y sus
procesos principales

Comprender el objetivo, contenido y la correlación entre la ISO

22301 y otras normas y marcos reglamentarios

Dominar los conceptos, enfoques, normas, métodos y técnicas

para la implementación y la gestión eficaz de un SGCN
Objetivos del Curso
Desarrollo de capacidades

Interpretar los requisitos de la norma ISO 22301 en el contexto

específico de una organización

Desarrollar los conocimientos necesarios para apoyar a una

organización en la planificación, ejecución, administración,
supervisión y mantenimiento de un SGCN, según lo especificado en
la norma ISO 22301

Adquirir los conocimientos necesarios para asesorar a una

organización en las mejores prácticas de continuidad del negocio

Fortalecer las cualidades personales necesarias para actuar con el

debido cuidado profesional cuando se realiza un proyecto de
cumplimiento
Enfoque Didáctico
Los estudiantes en el centro
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 2
Estándar y marco normativo
a. ¿Qué es ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión
d. Sistema de gestión integrado
e. Normas de Continuidad del Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
¿Qué es ISO?

• ISO es una red de organismos nacionales de estandarización de más de 160 países

• Los resultados finales de los trabajos realizados por ISO son publicados como normas
internacionales
• Se han publicado más de 19000 normas desde 1947
Principios Básicos- Normas ISO

1. Representación igualitaria: 1 voto por país

Principios 2. Adhesión voluntaria: ISO no tiene autoridad para forzar la

adopción de sus normas

Básicos de 3. Orientación del negocio: ISO sólo desarrolla normas

para las que existe demanda del mercado
las Normas
4. Enfoque de consenso: busca un amplio consenso entre las
ISO distintas partes interesadas

5. Cooperación internacional: más de 160 países además de organismos de

enlace
Los Ocho Principios de Gestión de la ISO

Participación de las Enfoque en los

Enfoque en el cliente Liderazgo
personas procesos

Relaciones
Enfoque basado en
Enfoque en el sistema mutuamente
Mejora continua hechos para la toma
para la gestión beneficiosas con el
de decisiones
proveedor
Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar certificada

ISO 14001 OSHAS 18001 ISO 20000

ISO 9001 Salud y
Medio Servicios de
Calidad Ambiente Seguridad en TI
el trabajo

ISO 27001 ISO 28000

ISO 22000 ISO 22301
Seguridad de Seguridad de
Sanidad Continuidad la la Cadena de
Alimentaria del Negocio Información Suministro
Sistema de Gestión Integrado
Estructura típica de las normas ISO
Requisitos ISO ISO ISO ISO ISO
9001:2008 14001:2004 20000:2011 22301:2012 27001:2005
Objetivos del 5.4.1 4.3.3 4.5.2 6.2 4.2.1
sistema de gestión
Política del 5.3 4.2 4.1.2 5.3 4.2.1
sistema de gestión
Compromiso de la 5.1 4.4.1 4.1 5.2 5
dirección
Requisitos de 4.2 4.4 4.3 7.5 4.3
documentación
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisión por la 5.6 4.6 4.5.4.3 9.3 7
Dirección
ISO 22301

• Especifica los requisitos de gestión de un SGCN

• Los requisitos (cláusulas) son escritos utilizando el INTERNATIONAL
STANDARD
ISO
22301
verbo “deberán” en imperativo
• Integrar el modelo PDCA (Plan, do , Check, Act)
• Auditable
• La organización puede ser certificada en esta _______________________________________________
Societal security-
norma Business continuity

Management Systems –Requirements

_________________________________________________
ISO 22301
Contenido

Sección 1 Ámbito de aplicación

Sección 2 Referencias normativas

Sección 3 Términos y definiciones

Sección 4 Contexto de la organización

Sección 5 Liderazgo

Sección 6 Planificación

Sección 7 Apoyo

Sección 8 Funcionamiento

Sección 9 Evaluación del desempeño

Sección 10 Mejora
ISO 22313
• Guía para el código de buenas prácticas INTERNATIONAL
STANDARD
ISO
22313
para implementar, mejorar un Sistema de
Gestión de la Continuidad de los Negocios
(Documento de referencia).
• Cláusula escrita utilizando el verbo _______________________________________________
“debería” a fin de proporcionar orientación Societal security-Business continuit
en materia de aplicación. Management Systems –Gidance

• La organización no puede ser certificada en

esta norma

_________________________________________________
Historia de la norma ISO 22301
1988-2013

2013

2012

2007 ISO publica la

primera versión
de la norma ISO
2006 ISO publicó 22313
la primera
versión de
la norma
2003 Publicac
ISO 22301
ión de la
norma
2002 Publicación BS
de la 25999-2
norma BS
1984 25999-1
Publicación de
PAS 56
BCI publica
1988 Guías de
Buenas
Creación del Prácticas de la
Business GCN
Continuity
Institute
Creación del DRI (BCI) en el
Internacional conocido Reino Unido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperación ante
Desastres)en los EEUU
Otras normas sobre continuidad del Negocio
Ejemplos
El contenido y la Relación entre ISO
ISO 27001, A.14: Gestión de Continuidad del Negocio
A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los
efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna
Incluir seguridad de l
A.14.1.1 Información en el proceso de
Gestión de la continuidad
del negocio
A.14.1.2 Continuidad del negocio y
evaluación del riesgo
A.14.1.3 Desarrollo e implementar
Planes de continuidad
Incluyendo seguridad de la
información
A.14.1.4 Marco referencial para la
Planeación de la continuidad
Del negocio
A.14.4.5 Prueba mantenimiento y re-
Evaluación de planes de
continuidad
De negocio
ISO 22301
Requisitos
Control
Se debe desarrollar y mantener un proceso gerencial para la continuidad del
negocio a través de toda la organización para tratar los requerimientos de Continuidad del negocio
seguridad de la información necesarios para la continuidad comercial de la 4.4 sistema de gestión
organización.
Control
8.2 AIN y la Evaluación de
Se deben identificar los eventos que causan interrupciones en los procesos de los riesgo
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la información.
Control
8.4 Procedimientos de la
Se deben desarrollar e implementar planes para mantener o restaurar las
continuidad del negocio
operaciones y asegurar la disponibilidad de la información en el nivel requerido
y en las escalas de tiempo requeridas después de la interrupción o falta en los
procesos de negocios críticos.
Control
6 Planificación del SGCN
Se debe mantener un solo marco referencial del plan de continuidad de negocio
para asegurar que todos los planes sean consistentes y para tratar
consistentemente los requerimientos de la seguridad de la información e
identificar las prioridades de pruebas y mantenimiento.
Control 8.5 Ejercicio y pruebas
Los planes de continuidad de negocio se deben probar y actualizar regularmente
para asegurar que estén actualizados y sean efectivos.
Continuidad del Negocio
Ventajas

Previsible y Mantenimiento de Mejor

Protección de las actividades
eficaz respuesta esenciales de la
comprensión de
las personas
a las crisis organización la organización

Respeto de las Protección dela

Reducción de Confianza de
partes reputación y la
costos: los clientes
interesadas marca

El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Caso de estudio – Taller ISO 22301 - 1

• Mitos y Realidades- Continuidad del Negocio

• En cada una de las siguientes afirmaciones, determine si cree que son verdaderas o falsas y justifique su respuesta:
• 1. Se trata de catástrofes naturales
• 2. Tenemos un plan, por lo que estamos preparados
• 3. Cualquier desastre será un acontecimiento singular
• 4. Hemos probado nuestro plan, por lo que estamos bien.
• 5. Los planes de continuidad del negocio son responsabilidad de TI (Tecnología de la Información)
• 6. No es necesario un plan de continuidad del negocio porque su personal estará siempre presente, y usted puede
contar con que ellos harán lo correcto.
• 7. Los planes de continuidad del negocio son los mismos planes de recuperación de desastres.
• 8. Un plan de recuperación cumple con todos los requisitos del escenario.
• 9. Una distancia más larga significa una mejor protección contra desastres.
• 10.Los usuarios de TI y del negocio tienen los mismos intereses en la Continuidad del Negocio y Recuperación ante
Desastres.
Caso de estudio – Taller ISO 22301 – 2

• Razones para adoptar la ISO 22301

• Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN
• Por favor, lea las siguientes partes del estudio de caso dado para este curso:
• Historia de la empresa comercial
• Organización de la empresa comercial
• Utilizando esta información, determine y explique las tres ventajas más importantes de implementar en la norma ISO
22301 en esta organización y cómo la organización puede medir estas ventajas a través de indicadores.
• Ventaja 1:
• ¿Cómo puede la organización medir esta ventaja?
• Ventaja 2:
• ¿Cómo puede la organización medir esta ventaja?
• Ventaja 3:
• ¿Cómo puede la organización medir esta ventaja?
Capacitación Implementador Líder
Certificado en la norma ISO 22301
Sección 3
Principios Fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperación de desastres

b. Evento: de un incidente a una emergencia

c. Organización y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Continuidad del Negocio
Asegurar que el negocio
Pueda continuar durante
Una emergencia
Los Objetivos son:
•En primer lugar, el capital
Humano de la empresa
•Entrega de productos o
prestación de servicios a los
clientes de la empresa
•Funciones críticas dl negocio
en la empresa
Recuperación ante
desastres
Recuperar la “tecnología” Lo
más rápidamente posible.
Se incluyen:
• Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Críticas de la empresa
•Un plan de recuperación ante
desastres (DRP) también
incluye la elaboración de planes
para
hacer frente a la inesperada
o repentina pérdida de personal
clave
•En u PCN, es uno de los
aspectos del plan
 GESTIÓN DE RIESGO

GESTIÓN ANTE
UNA EMERGENCIA

RECUPERACIÓN DE TI
ANTE DESASTRE

ADMINISTRACIÓN DE
LAS INSTALACIONES

GESTIÓN DE LA CADENA DE
SUMINISTRO

GESTIÓN DE CALIDAD

GESTIÓN DEL MEDIO

AMBIENTE

SALUD Y SEGURIDAD
Está en relación con:

GESTIÓN DE CRISIS

RECURSOS HUMANOS
La Gestión de Continuidad del Negocio

SEGURIDAD

COMUNICACIONES &
Participación de todos los elementos de la organización

RRPP
Evento: de un Incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399

Evento
• Ocurrencia de un conjunto particular de circunstancias.
(ISO 22301, 3.17)

Interrupción • Evento que pudiera constituir o pudiera redundar en una interrupción

(ISO 22399. 3.4 del negocio, en una pérdida, emergencia o crisis.

• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales,

Incidente
que requieren de atención urgente y de medidas para proteger la vida,
(ISO 22301, 3.19)
los bienes o el medio ambiente.

• Cualquier incidente(s), causado por los humanos o causas naturales,

Crisis
que requieren de atención urgente y de medidas para proteger la vida,
(USO 22399, 3.3)
los bienes o el medio ambiente.

•Situación en la que se han producido amplias pérdidas humanas,

Desastre materiales, económicas o ambientales que superaron la capacidad de la
(ISO 22300, 2. organización, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.

Emergencia (ISO • Suceso o evento repentino, urgente, generalmente inesperado que

22399, 3.6) requiere acción inmediata.
Organización y Actividades
ISO 22301, Cláusula 3.1, 3.33 y 3.42

Organización (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.

Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organización (o en su nombre) que producen o
dan apoyo a uno o más productos y servicios.

Actividades Prioritarias (3.42)

Las actividades a las que deben darse prioridad

tras un incidente con el fin de mitigar los impactos.
Proceso
ISO 22301, cláusula 3.40

Conjunto de actividades mutuamente relacionadas o que interactúan, que

transforman elementos de entrada en resultados.

Entrada Actividades Salida

Recursos
ISO 22301, cláusula 3.47

Recursos
•Todos los archivos, personal, Las Personas
habilidades, información,
tecnología (incluyendo maqui-
naria y equipos), locales, y
suministros e información (ya
sea electrónica o no) que una Activos Información
organización debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos. Locales Tecnologías Suministros
Actividades Críticas y Recursos
BIA
Enfoque de un AIN

• Identificar y analizar aquellas actividades que tienen que llevarse a cabo

para entregar los productos y servicios principales que permiten a una
organización alcanzar sus objetivos más importantes y sensibles, en un
plazo de tiempo determinado.
• Evaluar los recursos, como las personas, los locales, la tecnología, la
información, los suministros y las partes interesadas que están
soportando las actividades críticas.
Riesgo ES TODO LO QUE ME AYUDA A MEJORAR, O PERDER VALOR, DEPENDIENDO DE COMO LO ANALICE LA GESTION AL RIESGO, ES MATE

ISO 22301

Riesgo (3.48)

Efecto de incertidumbre sobre los objetivos

Apetito por el riesgo (3,49)

Cantidad de riesgo que una organización está

Dispuesta a conseguir o conservar

Evaluación de Riesgo (3.50)

Proceso general de identificación, análisis y

Evaluación de riesgos.

Gestión del riesgo (3.51)

Actividades coordinadas para dirigir y controlar

Una organización con respecto al riesgo
Probabilidad, Consecuencia e Impacto
ISO 22399

Probabilidad (3.28)

Grado al que es probable que se produzca

un evento

Consecuencia (3.2)

Resultado de un evento

Impacto (3.10)
Consecuencia evaluada de un resultado en
particular
Parte interesada (interesados)
ISO 22301, cláusula 3.21
Persona u organización que puede afectar, pueden verse afectados por, o se consideran afectados por una decisión o
actividad

Instituciones Proveedores Clientes Grupos

financieras Interesados

Consejo de Equipo de
Administración Gestión

Organización

Empleados Sindicatos

Regulador Medios Público Accionistas

Resiliencia
ISO 22300, cláusula 2.1.17

Resilencia

Capacidad de adaptación
de una organización en un ambiente
complejo y cambiante
Objetivos de Recuperación
ISO 22301, clásula 3.25, 3.26, 3.28 , 3.44 , -45

Objetivo de tiempo de Recuperación

Punto de recuperación de datos (PRD)
(OTR)

• Punto a partir del cual debe ser • Periodo de tiempo después de un

posible recuperar la información incidente en el que: el producto o
utilizada por una actividad, para que servicio deben reanudarse; o la
esta pueda funcionar tras una actividad debe reanudarse; o los
interrupción. recursos deben ser recuperados.

Tiempo máximo aceptable de Objetivo Mínimo de Continuidad del

Interrupción (TMAI) Negocio (OMCN)

• Tiempo necesario para que los

• Nivel mínimo de servicios y/o
impactos desfavorables que pudiesen
productos que es aceptable por la
surgir como consecuencia de no
organización para conseguir sus
suministrar un producto/servicio o de
objetivos de negocio durante una
no realizar una actividad, se
interrupción.
transformen en inaceptables.
PRD Y OTR
Ejemplo
RPO
RTO

Punto de Recuperación de Objetivo de Tiempo de

datos Recuperación
(Máxima pérdida de datos aceptable El tiempo máximo aceptable sin
actividad

Desastre
Desastre

Tiempo
0:00 Muy
Copia de Copia de Sistema Crítico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Días) (24 H)
Sistema de Alta Disponibilidad
“Cinco 9s” (99,999 por ciento) de disponibilidad

• En tecnología de la información y de las comunicaciones, “alta

disponibilidad” se refiere a los sistemas o componentes que están
continuamente operativos durante un esperable largo periodo de
tiempo con un RTO cercano a “0”
• La disponibilidad se puede medir con respecto a “100 %
operacional” o “ nunca falla”
• Hay un estándar de disponibilidad de un sistema o producto
ampliamente sostenido pero difícil de alcanzar que se conoce como
“cinco 9s” (99,999 por ciento) de disponibilidad
Criticidad de los Sistemas y el RTO / RPO
Ejemplo

Criticidad Clase del sistema Ventana de operación RTO/RPO

0 A0 24H / 7d Max. 1 hora / Sin pérdida de datos
B0 8H/ 5d Max. 1 hora / Sin pérdida de datos
1 A1 24H / 7d Max. 2 horas / Sin pérdida de datos
B1 8H/ 5d Max. 2 horas/ Sin pérdida de datos
2 A1 24H / 7d Max. 4 horas / Sin pérdida de datos
B1 8H/ 5d Max. 4 horas/ Sin pérdida de datos
3 A1 24H / 7d Max. 1 Día / Sin pérdida de datos
B1 8H/ 5d Max. 1 Día / Sin pérdida de datos
4 A1 24H / 7d Max. 1 Día / 4 horas
B1 8H/ 5d Max. 1 Día / 4 horas
5 A1 24H / 7d Max. 1 Semana / 1 Día
B1 8H/ 5d Max. 1 Semana / 1 Día
6 A1 24H / 7d Max. 2 Semanas / 1 Semana
B1 8H/ 5d Max. 2 Semanas / 1 Semana
Tiempo Máximo aceptable de Interrupción (TMAI)
Ejemplo

3H 24H 72 H (30 días)

Desastre

Critico Importante Deseable

Muy
importante

Tiempo Máximo Aceptable de Interrupción

Resumen de los Objetivos de Recuperación

Punto de Objetivo de Tiempo máximo

Recuperación de datos Tiempo de aceptable de interrupción
(PRD) Recuperación (TMAI)
(RTO)

Plan de protección y de Plan de respuestas a

Medidas de mitigación incidentes

Plan de capacitación y
Plan de recuperación
concienciación

Desastre Plan de restauración

Nivel de
servicio
100%
normal

40%
Objetivo Mínimo de Continuidad
del Negocio (MBCO) Horas Día Semana Mes Tiempo
0%

Última copia de seguridad Llegar al punto de los Volver a la

Servicios mínimos a Normalidad
recuperar
Caso de estudio – Taller ISO 22301 – 3

• Actividades Críticas y Recursos

• Complete las tablas siguientes para el Banco Central por Internet
• NOTA: Limítese a tres líneas de la tabla si hay más entradas posibles
• Tabla: Actividades críticas identificadas
Actividad Crítica Recursos Relacionados

• Tabla: Registros Críticos de la Empresa identificados

Nombres de registro Se convierte en crítico Cuando se requiere
Caso de estudio – Taller ISO 22301 – 3

• Tabla: Registros Críticos de la Empresa identificados

Nombres de registro Se convierte en crítico Cuando se requiere

Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 4
Sistema de Gestión de la Continuidad del Negocio (SGCN)

a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
¿Qué es la continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratégico y táctico de ajuste a los objetivos que:

Mejora la organización pro activa de resistencia contra la interrupción de su

1 capacidad de lograr sus objetivos clave

Proporciona un método ensayado para restaurar la capacidad de una organización para

2 garantizar el suministro de sus productos y servicios clave después de una interrupción

Proporciona una capacidad demostrada para gestionar una interrupción del

3 negocio y proteger la reputación de la organización y de la marca
Gestión de Continuidad del Negocio
ISO 22301, Cláusula 3.4:

• Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las
operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un
marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que
salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación
de valor

Nota: El sistema de gestión incluye la estructura, las políticas, las

actividades de planificación, las responsabilidades,
Las prácticas, los procedimientos,
Los procesos y los recursos de la organización
Los componentes clave de un SGCN
ISO 22301, Introducción
Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales :

1. Una política
2. Personas con responsabilidades definidas;
3. Procesos de gestión asociados con:
- Política
- Planificación
- Implementación y operación
- Evaluación del rendimiento
- Revisión por la Dirección
- Mejora
4. Documentación que provea pruebas auditables
5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización
El ciclo Planificar- Hacer- Verificar- Actuar
ISO 22301, Introducción

Planificar Partes
Partes
Interesadas Interesadas
Establecer
un
SGCN
Actuar
Hacer
Mantener y
Mejorar el Implementar
Requerimientos
SGCN El SGCN
expectativas Supervisar y
de la Continuidad del
Revisar el Negocio
Continuidad del SGCN
Negocio Gestionada
Verificar
Metodología de Implementación Integrada para los Sistemas de Gestión
y las Normas (IMS2)

1. Planificar
2. Hacer 3. Verificar 4. Actuar

2.1 Estrategia del CN

( Continuidad del Negocio)
1.1. Iniciando del
SGCN 2.2 Estructura de la
organización 3.1 Seguimiento,
4.1 Tratamiento de No
1.2 Comprensión medición, análisis y
conformidades
de la organización evaluación
2.3 Gestión de Documentos
1.3 Analizar el
sistema existente

1.4 Liderazgo y 2.4 Medidas de

Presentación & Mitigación 3.2 Auditoria Interna
aprobación del proyecto

1.5 Ámbito de
2.5 plan de la continuidad del
aplicación
negocio & Procedimientos
4.2 Mejora continua
1.6 Política de CN 3.3 Revisión
2.6 Comunicación por la Dirección
1.7 Análisis del
impacto en el negocio 2.7 Capacitación,
Concienciación
1.8 Evaluación del
riesgo
2.8 Ejercicio y pruebas
Requisitos generales
ISO 22301
En resumen
La organización deberá establecer, implementar, mantener y mejorar un SGCN en conformidad con las necesidades y los
requisitos de las partes interesadas

1.Conocimiento 2. Determinar
3. Implementar y
de la las
organización Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organización
ISO 22301, Cláusula 4

•Las actividades de la organización, las funciones, los servicios, productos, asociaciones,

Conocimiento de la cadenas de suministro, las relaciones con las partes interesadas.
Organización y su •Los vínculos entre la política de continuidad del negocio y los objetivos de la
entorno organización y otras políticas
•El apetito de la organización por el riesgo

Comprensión de las •Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y •Los requisitos de estas partes interesadas
Expectativas de las •Requisitos jurídicos y normativos
Partes interesadas

•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance
Determinar el
Alcance del SGCN •A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y
externas y los requisitos
Leyes y Reglamentos
Los cuatro sectores de la industria mas afectados:

 Requiere plan de copia de

seguridad de datos, plan de  Hace hincapié principalmente en la seguridad de
Asistencia

Gobierno
sanitaria

recuperación ante desastres y un los datos más que en CN y RD

plan de operación en el modo de
emergencia  Una necesidad importante que se debe abordar
es la necesidad que el gobierno esta abierto y en
 Requisitos para los registros funciones durante la crisis
electrónicos

 Requiere que los bancos tengan  Requiere un PCN para garantizar

planes de CN y RD para garantizar que la continúa misión de la

Utilidades
Finanzas

el funcionamiento continuo y con el agencia durante una crisis

fin de limitar las pérdidas
 Se requieren planes de restauración
 Requiere que los planes de de emergencia como condición
Continuidad del Negocio (PCN) se para servicios continuados
actualicen y prueben para
incorporar los riesgos detectados
Ámbito de aplicación del SGCN
ISO 22301, Cláusula 4.3.2
El documento de definición del ámbito de aplicación debería incluir:

1.Las principales características de la organización

2.Los procesos de negocios cubiertos por el SGCN

3.La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del
SGCN

4.La lista de los principales sistemas de Información.

5.La lista de ubicaciones geográficas

6.Los detalles y motivos para las exclusiones

Liderazgo y Compromiso de la Dirección
ISO 22301, Cláusula 5.1 y 5.2

Orientación estratégica

•Asegurarse de que el SGCN es compatible con la

orientación estratégica de la organización
•Integrar los requisitos del SGCN en los procesos de
negocio de una organización

Hacer que los recursos estén

disponibles

• La Dirección deberá determinar y proporcionar los

Recursos necesarios para el SGCN

Comunicación

• Dirección deberá comunicar la importancia de una

buena Gestión de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Política y Continuidad del Negocio
ISO 22301, cláusula 5.3
• La alta dirección debe establecer una política de continuidad del negocio que:
- Sea apropiada para los fines de la organización
- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN

• La política del SGCN deberá:

- Estar disponible como información documentada
- Ser comunicada dentro de la organización
- Ser comunicada dentro de todas las partes interesadas, según corresponda
- Ser revisada para su adecuación continuada a intervalos definidos y cuando se reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades
ISO 22301, Cláusula 5.4
• La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean
asignadas y comunicadas dentro de la organización.

• La alta gerencia deberá asignar la responsabilidad y autoridad para:

- Garantizar que el sistema de gestión se ejecuta en conformidad con los requisitos de la norma ISO 22301.
- Informar sobre la eficacia de la gestión a la alta dirección.
Los objetivos y los Planes para alcanzarlos
ISO 22301, Cláusula 6.2

• La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados
para las funciones y los niveles pertinentes dentro de la organización
• Los objetivos deberán:
a) Ser coherentes con la política de continuidad del negocio
b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar
sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados según proceda
Opciones de Estrategia de Continuidad del Negocio
Las estrategias de CN disponibles y el OTR que cumplen

X Sitio
espejo

C
O IX Sitio
S E caliente
T S
O T VIII
R Traslado a
A otros
T centros de
D
E grupo
E
G VII Trabajo
I a distancia
L A
A
VI Sitio
Tibio

V Acuerdo Ninguna
reciproco II Estrategia
IV Sitio
III Sitio frío Reconstrucción
móvil y restauración

TIEMPO DE RECUPERACIÓN
Apoyo
ISO 22301, cláusula 7:

La organización Las personas que realizan El SGCN de la

deberá determinar y Trabajo en el marco del Organización deberá
proporcionar los Control de a organización Incluir información
recurso necesarios Deberán ser conscientes Documentada requerida
para el SGCN De la política de la CN, Por la ISO 22301 y
Sus funciones en el SGCN Registros para
Y los requisitos para la demostrar
organización La eficacia del SGCN

Recursos Competencia Sensibilización Comunicación Documentación

La organización
Deberá asegurar
Tener personas La organización deberá
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicación con
relacionadas con las partes interesadas
el SGCN internas y externas
Información documentada
ISO 22301, Cláusula 7.5

3. Clasificación
2. Identificación y seguridad

1. Creación
4. Modificación

9. Disposición 5. Aprobación

6. Distribución
8. Archivado

7. Uso adecuado

Debe establecerse un procedimiento para gestionar el ciclo de vida de la documentación

Análisis del Impacto en el Negocio y Evaluación de los Riesgos
ISO 22301, Cláusula 3.8, 3.50 y 8.2

Proceso de
análisis de las
funciones del
negocio y del Proceso general
efecto que una Análisis de
Evaluación de identificación,
interrupción del Impacto en el
de riesgo Análisis y
negocio podría Negocio
Evaluación de
tener sobre riesgos
dichas funciones
Caso de estudio – Taller ISO 22301 – 4

• Apreciación del Riesgo

• Determine las amenazas y vulnerabilidades asociadas a las siguientes situaciones e indique los posibles impactos.
Indique también si los riesgos afectarían la disponibilidad, integridad y/o confidencialidad
• Complete la matriz de riesgos (ver la próxima página):
• Emmanuel Rikir , el administrador senior de bases de datos, tuvo un accidente de esquí que requiere cirugía mayor que
lo mantendrá alejado de su trabajo de 6 a 8 semanas.
• El proveedor de Telecom que gestiona la línea arrendada entre las dos oficinas requiere urgente mantenimiento (una
ventana de intervención de 4 horas), después que se detectaron algunas inconsistencias. La sincronización entre los dos
SAN depende de la copia de la línea de SDSL (2Mbps)
• Una reunión cumbre europea enfrenta fuertes manifestaciones que afectan el acceso de peatones y tráfico al distrito
financiero.
• El sistema de aire acondicionado de la sala de servidores en la oficina paralela se averió. La temperatura podría llegar a
su umbral de alerta dentro de un par de horas y desencadenar un apagado ordenado de todos los servidores.
Estrategia de Continuidad del Negocio
ISO 22301, cláusula 8.3
La organización deberá determinar las opciones apropiadas de continuidad para:

A) Proteger las actividades

prioritarias

B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Aplicación de las Medidas de Mitigación y Protección
ISO 22301, Cláusula 8.3.3

Medidas Medidas de Medidas

Preventivas Detección Correctivas

Desastre
Caso de estudio – Taller ISO 22301 – 5

• Medidas de mitigación
• Para cada riesgo identificado en el ejercicio anterior donde existe un impacto en la disponibilidad, proporcione las
especificaciones apropiadas (dando el número de la cláusula de la especificación) que permite reducir, transferir o evitar
los riesgos. Complete la matriz y esté dispuesto a debatir las medidas de mitigación que ha seleccionado.
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, cláusula 8.4.1
• La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad
de las actividades y la gestión de un incidente perjudicial.

Generalidades

•La organización deberá

establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperación
identificados en el análisis
del impacto en el negocio
Plan(es) de Continuidad del Negocio
Contenido mínimo requerido por la ISO 22301
1. Finalidad y Ámbito de aplicación
2. Objetivos
3. Criterios y procedimientos de activación
4. Procedimientos y aplicación
5. Las funciones, responsabilidades y autoridades
6. Requisitos y procedimientos de comunicación
7. Las interdependencias e interacciones internas y externas
8. Recursos necesarios
9. Los procesos relativos al flujo de información y a la documentación
Ejercicios y Pruebas
ISO 22301, Cláusula 8.5

La organización
deberá ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
Negocio
Escenarios de pruebas y ensayos
Mejores prácticas

Tipo de ejercicio ¿Qué es? Beneficio Desventajas

Distribuye planes para su Asegura que el plan aborda

Lista de control No aborda la eficacia
revisión todas las actividades

Asegurar que las actividades Asegurar que las actividades

Tutorial Examina detenidamente
Previstas se describen con Previstas se describen con
estructurado Cada paso del PCN exactitud en el PCN exactitud en el PCN

Escenario para representar

Simulación Procedimientos de Sesión de práctica Sesión de práctica
recuperación

Prueba completa, pero las Garantizar un alto nivel de

Caro, ya que todo el personal
Paralelo Operaciones no se Fiabilidad sin interrumpir las
esta involucrado
detienen Operaciones normales

El desastre se replica al punto

Interrupción
de que cesen las Prueba más fiable del PCN Arriesgada
total Operaciones normales
Evaluación del desempeño
ISO 22301, Cláusula 9

1. Revisión del ejercicio y la prueba de

2. Revisión periódica de la eficacia del SGCN
los procedimientos de continuidad,
teniendo en cuenta las proposiciones y
después de los informes sobre
sugerencias de los interesados.
incidentes.

6. Revisión de la gestión
y actualización de los planes de
continuidad del Monitoreo
3. Medición de la eficacia de los
Negocio y de los y revisión
procedimientos
Procedimientos. del SGCN

5. Realización de las auditorias

4. Revisión de las evaluaciones
internas.
De riesgo y del AIN.

Nota: Cada una de estas acciones debe ser documentada y registrada

Revisión por la Dirección de SGCN
ISO 22301, Cláusula 9.3
Elementos de Entrada de la revisión
por la dirección
1. Los resultados de auditorías del SGCN y sus
revisiones
2. Las técnicas productos o procedimientos que
podrían utilizarse en la organización para
mejorar el SGCN
3. Estado de las acciones preventivas y
correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas no
abordadas adecuadamente en la apreciación
del riesgo anterior
6. Los resultados de las mediciones de la
eficiencia
7. Las acciones de seguimiento de revisiones por
la Dirección anteriores
8. Los cambios que podrían afectar el SGCN
9. Adecuación de la política
10. Recomendaciones para la mejora
11. Las enseñanzas derivadas de incidentes
12. Buenas prácticas y guías emergentes
Elementos de salida de la revisión por la
dirección
1. Variaciones al ámbito de aplicación del SGCN
2. Mejora de la efectividad del SGCN
3. Actualización de la apreciación del riesgo, análisis de
impacto y preparación ante incidentes y
procedimientos de respuesta
4. Modificación de los procedimientos y controles que
afectan los riesgos, incluidos los cambios en:
• Requisitos empresariales y de funcionamiento
• Reducción de riesgos y requisitos de seguridad
• Procesos de las condiciones de
funcionamiento del negocio que inciden en los
requisitos operativos existentes
• Requisitos del marco normativo, jurídico y/o
contractuales
• Los niveles de riesgo y /o criterios para la
aceptación de riesgos
• Las necesidades de recursos y los requisitos
presupuestarios
• Mejoramiento a la forma de cómo se está
midiendo la eficacia de los controles
Mejora
ISO 22301, Cláusula 10

• La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.

• La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño,
para lograr la mejora.
No Conformidad y Acción Correctiva
ISO 22301, Cláusula 10.1

Mejora Continua Revisión y seguimiento de acciones

tomadas

Acción correctiva Implementación de soluciones y registros de las

medidas tomadas

Análisis situacional Análisis de las Evaluación de Selección de

causas raíz las opciones soluciones

Identificación de la Identificación y documentación de la no

no conformidad conformidad
Iniciando la Implementación del SGCN
Lista de actividades

Intención de 1.1.1 Definición 1.1.2. Selección de 1.1.3. Alineación

Implementar del enfoque para un marco Con las mejores
un SGCN la implementación metodológico Prácticas

1.2. Comprensión
De la organización
Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques

2. Nivel de madurez de
los Procesos en uso

3. Expectativas
y alcance

1. Velocidad de
implementación
Enfoque Propuesto
Directrices

1. Enfoque del negocio

Se integra en el contexto de
las actividades comerciales
a través de la organización 2. Enfoque de sistemas

La aplicación general del

proceso de SGCN, no
5. Método iterativo mediante al aislamiento de
los procesos

La rápida
Implementación del Directrices
SGCN respetando lo
Requisitos mínimos y
Cambiar a mejora
Continua a partir de
entonces

3. Enfoque Sistemático

Aplicar las mejores

4. Enfoque Integrado prácticas en gestión de
proyectos
Integración del SGCN o armonizarlo
con los demás requisitos de la
organización
Las Directrices de Aplicación
Recomendaciones
1. Evitar la integración de nuevas tecnologías
2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organización
5. Obtener el apoyo de la Dirección
6. Identificar y formalmente nombrar a un Director del proyecto del SGCN
Elegir un Marco Metodologico para Gestionar el Proyecto de
Implementación del SGCN

1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio
de la organización (AIN) 3.1 Seguimiento,
4.1 No conformidades
medición, análisis y
1.3 Analizar el 2.2 Evaluación y acción correctiva
evaluación
sistema existente del negocio

2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
3.3 Revisión
2.5 plan y 4.2 Mejora continua
por la Dirección
1.7 Estructura procedimientos de la
de la organización continuidad del negocio

1.8 Información
2.6 Comunicación
documentada

1.9 Competencia & 2.7 Ejercicio y

sensibilización pruebas
Metodología de Implementación Integrada para los sistemas de Gestión
y las Normas ( IMS2)
Metodología de PECB para la aplicación del SGCN
4 FASES 21 Pasos 101 actividades

Planificar

Proyecto Hacer
Del
SGCN

Verificar

Actuar
Enfoque y Metodología
Basados en las mejores prácticas
ISO 10006
Directrices para la gestión de
calidad en proyectos
PMBOK 22313
Conjunto de Conocimientos Orientación para la
de la gestión de Proyectos Implementación del
(PMBOK en idioma inglés sistema
de gestión de
Continuidad del Negocio
Alineación con las Mejores Prácticas
Uso de las normas ISO

ISO 22301

ISO 27031 ISO 22313

ISO 27001
ISO 24762
Enfoque de Auditoría basado en el Riesgo
Riesgos de Auditoría

Riesgo de que el auditor no sepa detectar un

3. Riesgo defecto importante durante una auditoria
de
Detección

2. Riesgo de Riesgo de que un defecto importante no

Control pueda ser prevenido ni detectado por un
control interno de la organización

Riesgo de que un defecto importante surja en el

1. Riesgo Inherente sistema de gestión sin tener en cuenta los
procesos y controles instalados ( riesgo
relacionado con el sector industrial)
Materialidad
Definición
• Para limitar los riesgos de una auditoría y obtener garantía razonable, el auditor debe
poner el énfasis en los procesos y de los sistemas considerados materiales (sinónimo:
critico)

Una información se considera material si su omisión o declaración falsa puede influir en

las decisiones de las partes interesadas sobre la base de las declaraciones de la
organización auditada
 Determinar la Materialidad de un Sistema o un Proceso
Factores a considerar

4. 1. Criticidad de los procesos

5. 3. 2. Coste del sistema

3. Coste de las operaciones

4. Costo potencial de los errores

6. 2.
Materialidad 5. Número de consultas o transacciones

6. Acuerdo del nivel de servicio

7. Sanciones por no conformidad

7.
1.
Materialidad y del Sistema de Gestión

Al evaluar la materialidad un auditor

debería considerar:
1. El nivel de error global aceptable • Evaluar que lo que es material es
para la dirección, para el auditor y una cuestión de juicio profesional
para el organismo de certificación
2. La posibilidad de que pequeños • El auditor debe considerar el efecto
errores o debilidades se tomen global en la organización
materiales por acumulación
Materialidad y Planificación de una Auditoría

Validación de la materialidad relativa a los

Reunión Inicial
riesgos inherentes
Duración de la
Auditoría

Etapa 1 de la Validación de la materialidad relativa a los

Auditoría riesgos de control

Planificación de la
auditoría in situ

Etapa 2 de la
Validación de la materialidad relativa a los
Auditoría
riesgos de detección
(Auditoría in situ)

Muestreo
Garantía Razonable

• El auditor busca obtener garantía razonable de que el sistema de gestión auditado

está exento de representación de material errónea y de no conformidades
• Un auditor no puede obtener garantía absoluta

En una auditoría de la ISO 22301, buscamos obtener una garantía razonable de que el sistema
de gestión en su conjunto está conforme y no para asegurar que cada uno de los controles
específicos es eficaz y se ajusta
Requisitos de la Documentación
Definición del SGCN
• La ISO 22391 no establece una lista concreta de información documentada requerida
• Como mínimo, el SGCN debería contener la siguiente documentación:
1. Ámbito de aplicación y objetivos del SGCN
2. Política de Continuidad del Negocio
3. Descripción de los roles y responsabilidades
4. Evaluación de Riesgos e informes del AIN
5. Plan de Continuidad del Negocio
6. Plan de comunicación, concienciación y capacitación
7. Procedimientos de ejercicios y pruebas
8. Evaluación, el revisión por la dirección y procedimientos de auditoría
9. Acciones preventivas y correctivas
Verificación de Documentos Estratégicos

La documentación debe incluir la información relacionada con las decisiones, aprobaciones

y acciones de la Dirección referidas a:

 Ámbito de aplicación y objetivos del SGCN

 Política de continuidad del negocio
 Recursos para la operación del SGCN
 Revisión de la dirección
 Acta Constitutiva de la Auditoria ( u otros documentos que describen las
responsabilidades de los auditores internos)
Verificación de Procesos y Procedimientos
Las 6 palabras (W:W/H en inglés)
- Quién
- Qué
- Cuándo
- Dónde
- Por qué
- Cómo

Ejemplo:
El administrador de la red (Quién) asegura que se han completado las copias de seguridad (
Qué) mediante la revisión de los registros de copias de seguridad (Cómo) todas las mañanas
(Cuándo) . Tras la revisión, él llena y firma una lista de controles ( Dónde) que se guardan
para futura referencia (Por qué)
Comunicación con la Dirección
Principales temas a ser tratados
1. Contexto de las actividades de negocio generales de la organización (4.1)
2. Comprensión de la necesidades y expectativas de las partes interesadas (4.2)
3. Ámbito de aplicación del SGCN (4.3.2)
4. Compromiso de la dirección (5.2)
5. Política de continuidad del negocio (5.3)
6. Funciones organizativas, responsabilidades y autoridades (5.4)
7. Objetivos de continuidad del negocio y planes para conseguirlos (6.2)
8. Provisión de recursos (7.1)
9. Papel de la dirección en la comunicación (7.4)
10. Aprobación de la estrategia de continuidad del negocio (8.3)
11. Supervisión, medición, análisis y evaluación (9.1)
12. Reportes de auditoría interna (9.2)
13. Revisión por la dirección (9.3)
 Recolección de Evidencia y Procedimientos de Análisis

B. Revisión de
A. Observación C. Entrevistas
documentos
Procedimientos
de recolección de
evidencia

D. Análisis E. Verificación técnica

Procedimientos de
análisis de evidencia F. Corroboración G. Evaluación
Creación de planes de Auditoría
Recomendaciones generales
Lista de Verificación de la Auditoría
Ejemplos
• En esta sección, se presentan seis planes de auditoría
• Basándose en estos ejemplos, un auditor debería ser capaz de crear sus propios planes de
prueba de auditoría mediante la combinación de diferentes procedimientos de auditoría
para reunir evidencias:
- Observación
- Revisión documental
- Entrevista
- Verificación técnica
- Análisis

• Importante: El auditor no necesita hacer todas las pruebas de auditoría posibles

Ejemplo 1: Control de la Información Documentada
ISO 22301, cláusula 7.5.3 (extracto)
Cuando se establece el control de la información documentada, la organización debe asegurarse de que existe una
protección adecuada de la información documentada ( por ejemplo, la protección ante cualquier peligro, la
modificación no autorizada o la eliminación)
Observación Observar como los empleados aseguran la protección de la información documentada y si
aquellas acciones son congruentes con las políticas y procedimientos de la organización
Documentar Política sobre la gestión de la información documentada y los procedimientos sobre la
gestión del ciclo de vida de la información : su identificación, almacenamiento, copias de
seguridad, protección , accesibilidad y conservación
Entrevistar A un miembro de la dirección ( para confirmar las políticas y las necesidades de la
organización relativos a la información documentada) y al personal responsable de la
gestión y de archivar la información ( para obtener los detalles de la gestión de la
información documentada)
Verificación técnica Validar la estructura electronica para la clasificación y almacenamiento de información
documentada, verificar los mecanismos de protección de la información documentada,
observar la complicación de los informes diarios.
Análisis Seleccionar muestras de información documentada y verificar si ellas respetan la
estructura de la información y los criterios de la política de la información documentada
Ejemplo 2: Funciones, Responsabilidades y Autoridades
ISO 22301, cláusula 5.4
La alta dirección debe asegurarse que las responsabilidades y la autoridad para las funciones importantes se asignan y
comunican dentro de la organización. Niveles superiores de la administración debe asignar la responsabilidad y la
autoridad para a) asegurar que el sistema de gestión se ajusta a los requisitos de esta norma internacional. Y b) la
presentación de informes sobre el rendimiento del BCMS a la alta gerencia
Observación Tener en cuenta que las personas que se enumeran en el organigrama están trabajando
eficazmente en la organización
Documentar Cuadro organizacional, definición of roles y responsabilidades en las descripciones de
trabajo, contratos de trabajo, etc.
Entrevistar A un miembro de la dirección para comprender cómo se asignan las responsabilidades y
las autoridades y el personal responsable de roles específicos para validar cómo utilizan
su autoridad
Verificación técnica N/A
Análisis Muestra e información documentada, como minutas de reunión para verificar la
evidencia de que tales responsabilidades y autoridades están efectivamente/
eficientemente asignadas
Ejemplo 3: Recursos
ISO 22301, cláusula 7.1

La organización debe mantener y proporcionar los recursos necesarios para el establecimiento , la implantación, el
mantenimiento y la mejora continua del SGCN
Observación N/A, excepto para el auditor interno. Como observador, el auditor interno podría asistir a
una reunión donde se tratan el presupuesto y la previsión de recursos
Documentar El auditor puede evaluar y validar los documentos siguientes: caso de negocio de SGCN ,
un plan de proyecto, presupuesto anual , acta de la reunión de prestación y la asignación
de recursos
Entrevistar El auditor puede entrevistar al coordinador del SGCN y a un miembro de la dirección para
validar el proceso de asignación de recursos al SGCN
Verificación técnica N/A
Análisis Muestra de las actividades críticas ( como las pruebas y ejercicios) del SGCN y validar si la
asignación de recursos es eficiente
Ejemplo 4: Competencia
ISO 22301, cláusula 7.2

La organización se encargará de: a) determinar la competencia necesaria de la persona(s) bajo su control que realizan
su trabajo , el cual afecta a su rendimiento, b) asegurarse de que estas personas son competentes sobre la base de una
educación apropiada , capacitación y experiencia , c) en su caso, tomar medidas para adquirir la competencia necesaria
, y evaluar la eficacia de las medidas adoptadas , y d) conservar la información documentada como evidencia de su
competencia.
Observación Observar a un miembro de la organización que lleva a cabo las actividades relacionadas
con el SGCN
Documentar El auditor puede evaluar y validar los siguiente documentos: políticas internas y
lineamientos ( sobre reclutamiento, capacitación, gestión de RRHH, procedimiento de
evaluación de empleados), registros ( hoja de vida de empleados, registro de capacitación
, evaluación anual, etc.)
Entrevistar El auditor puede entrevistar a un miembro del departamento de RRHH para comprender
y validar los procesos y procedimientos que garantizan que la organización tiene personal
competente: contratación
Verificación técnica N/A
Análisis Muestra de hoja de vida, registros de capacitación, evaluación anual, etc.
Ejemplo 5: Auditoría Interna
ISO 22301, cláusula 9.2 (extracto)
La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de
si el sistema de gestión de la continuidad del negocio a) se ajusta a 1) las necesidades propias de la organización para su
SGCN, 2) Los requisitos de esta norma internacional, y b) se aplica y es mantenido de forma efectiva
Observación N/A
Documentar Gráfico de auditoría u otros documentos en los que se especifican las funciones y
responsabilidades de la auditoría interna, archivos de empleado de los auditores internos,
la planificación de las actividades de auditoría interna, los procedimientos de auditoría
interna, los informes de auditoría interna, la documentación de seguimiento de las
auditorías
Entrevistar Al auditor interno para revisar el programa de auditoría interna y a un miembro de la
dirección para debatir el valor de la auditoría interna de la organización
Verificación técnica N/A
Análisis Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Ejemplo 6: Revisión por la Dirección
ISO 22301, cláusula 9.3
La alta dirección debe revisar el SGCN de la organización a intervalos de tiempo planificados, para asegurarse que
continua siendo idóneo , adecuado y eficaz
Observación N/A , excepto para el auditor interno. Como observador, el auditor interno podría asistir a
una reunión de la dirección
Documentar Agenda la revisión por la dirección, minutas, información documentada enviada
previamente a la realización de la reunión, informe presentado, comunicación de
seguimiento después de la reuniones
Entrevistar Los miembro s del comité de gestión y del coordinador del SGCN
Verificación técnica N/A
Análisis Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Hallazgos de Auditoría
Tipos de hallazgos de auditoría posibles

Observación No No
Conformidad Situación o Conformidad Conformidad
elemento Menor Mayor
Situación en la observado
que se cumple durante la Situación en la No
la conformidad auditoría que que no se conformidad
con todos los puede estar cumplió con un
aspectos de un sujeto a la conformidad requisito o falla
requisito mejora con un aspecto total de su
continua de un requisito eficacia
aunque no
fuera de una
no
conformidad
Recomendación de Certificación

Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes
relativas a la certificación:
1. Recomendación para la certificación
2. Recomendación para la certificación con la condición de la presentación de planes de
acciones correctivas sin visita previa
3. Recomendación para la certificación con la condición de la presentación de planes de
acciones correctivas con visita previa
4. Recomendación desfavorable
Discusión de las Conclusiones con la Dirección
Posibles reacciones
1. Aceptar las conclusiones 2. Hechos nuevos
2. Entregar hechos nuevos 3. Buscar soluciones
3. Buscar soluciones
4. Querer negociar las conclusiones
5. Negar los hechos y/o adoptar una actitud hostil
6. Buscar culpables ( para echar culpas)
Presentación de los Planes de Acción por el Auditado
ISO 17021, cláusula 9.1.11
La organización auditada debe describir:
1. Las no conformidades descubiertas y sus causas raíz
2. Las acciones correctivas y preventivas tomadas, o que se planean tomar, para
eliminar las no conformidades detectadas, en un plazo definido

Se debe presentar un plan de acción por cada no conformidad, no un plan de

acción global para todas las no conformidades
Planes de Acción
Ejemplo
Plan de Acción
N˚ de no Proceso: Revisión por la dirección Número de
conformidad: 3 cláusula: 9.3

Descripción de la no conformidad: La organización no conservó información documentada como

prueba de los resultados de las revisiones por la dirección

Causa raíz: Falta de concienciación sobre este requisito y normalmente no se toman unos minutos
para ello durante las reuniones

Plan de acción : Nombrar un secretario para cada reunión de revisión por la dirección, enviar minutas
a los participante luego de cada revisión por la dirección y guardar minutas de cada reunión como
registro
Evaluación de los Planes de Acción por el Auditor
Directrices
• El auditado debe informar al auditor del estado de finalización de las acciones
correctivas
• El papel de auditor se limita a validar el análisis de las causas, los planes de
acción y las medidas correctivas
• No todas las medidas correctivas tienen que ponerse en práctica
inmediatamente

Basado en sus experiencia y su conocimiento, el auditor debe evaluar si los

planes de acción son apropiados y abordan la causa raíz de la no conformidad