Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 22301
Iso 22301
Curso de Capacitación
Sección 1
Objetivos y estructura del curso
a. Información general
b. Objetivos del curso
Objetivos del Curso
Adquirir conocimientos
Relaciones
Enfoque basado en
Enfoque en el sistema mutuamente
Mejora continua hechos para la toma
para la gestión beneficiosas con el
de decisiones
proveedor
Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar certificada
_________________________________________________
ISO 22301
Contenido
Sección 5 Liderazgo
Sección 6 Planificación
Sección 7 Apoyo
Sección 8 Funcionamiento
Sección 10 Mejora
ISO 22313
• Guía para el código de buenas prácticas INTERNATIONAL
STANDARD
ISO
22313
para implementar, mejorar un Sistema de
Gestión de la Continuidad de los Negocios
(Documento de referencia).
• Cláusula escrita utilizando el verbo _______________________________________________
“debería” a fin de proporcionar orientación Societal security-Business continuit
en materia de aplicación. Management Systems –Gidance
_________________________________________________
Historia de la norma ISO 22301
1988-2013
2013
2012
Control
A.14.1.2 Continuidad del negocio y 8.2 AIN y la Evaluación de
evaluación del riesgo Se deben identificar los eventos que causan interrupciones en los procesos de los riesgo
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la información.
Control
A.14.1.3 Desarrollo e implementar 8.4 Procedimientos de la
Planes de continuidad Se deben desarrollar e implementar planes para mantener o restaurar las
continuidad del negocio
Incluyendo seguridad de la operaciones y asegurar la disponibilidad de la información en el nivel requerido
información y en las escalas de tiempo requeridas después de la interrupción o falta en los
procesos de negocios críticos.
Control
A.14.1.4 Marco referencial para la 6 Planificación del SGCN
Planeación de la continuidad Se debe mantener un solo marco referencial del plan de continuidad de negocio
Del negocio para asegurar que todos los planes sean consistentes y para tratar
consistentemente los requerimientos de la seguridad de la información e
identificar las prioridades de pruebas y mantenimiento.
Control 8.5 Ejercicio y pruebas
A.14.4.5 Prueba mantenimiento y re-
Evaluación de planes de Los planes de continuidad de negocio se deben probar y actualizar regularmente
continuidad para asegurar que estén actualizados y sean efectivos.
De negocio
Continuidad del Negocio
Ventajas
El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Caso de estudio – Taller ISO 22301 - 1
d. Procesos y recursos
g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Recuperación ante
Continuidad del Negocio desastres
GESTIÓN ANTE
UNA EMERGENCIA
RECUPERACIÓN DE TI
ANTE DESASTRE
ADMINISTRACIÓN DE
LAS INSTALACIONES
GESTIÓN DE LA CADENA DE
SUMINISTRO
GESTIÓN DE CALIDAD
SALUD Y SEGURIDAD
Está en relación con:
GESTIÓN DE CRISIS
RECURSOS HUMANOS
La Gestión de Continuidad del Negocio
SEGURIDAD
COMUNICACIONES &
Participación de todos los elementos de la organización
RRPP
Evento: de un Incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento
• Ocurrencia de un conjunto particular de circunstancias.
(ISO 22301, 3.17)
Organización (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organización (o en su nombre) que producen o
dan apoyo a uno o más productos y servicios.
Recursos
•Todos los archivos, personal, Las Personas
habilidades, información,
tecnología (incluyendo maqui-
naria y equipos), locales, y
suministros e información (ya
sea electrónica o no) que una Activos Información
organización debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos. Locales Tecnologías Suministros
Actividades Críticas y Recursos
BIA
Enfoque de un AIN
ISO 22301
Riesgo (3.48)
Probabilidad (3.28)
Consecuencia (3.2)
Resultado de un evento
Impacto (3.10)
Consecuencia evaluada de un resultado en
particular
Parte interesada (interesados)
ISO 22301, cláusula 3.21
Persona u organización que puede afectar, pueden verse afectados por, o se consideran afectados por una decisión o
actividad
Consejo de Equipo de
Administración Gestión
Organización
Empleados Sindicatos
Resilencia
Capacidad de adaptación
de una organización en un ambiente
complejo y cambiante
Objetivos de Recuperación
ISO 22301, clásula 3.25, 3.26, 3.28 , 3.44 , -45
Desastre
Desastre
Tiempo
0:00 Muy
Copia de Copia de Sistema Crítico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Días) (24 H)
Sistema de Alta Disponibilidad
“Cinco 9s” (99,999 por ciento) de disponibilidad
Desastre
Plan de capacitación y
Plan de recuperación
concienciación
Nivel de
servicio
100%
normal
40%
Objetivo Mínimo de Continuidad
del Negocio (MBCO) Horas Día Semana Mes Tiempo
0%
a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
¿Qué es la continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratégico y táctico de ajuste a los objetivos que:
• Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las
operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un
marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que
salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación
de valor
1. Una política
2. Personas con responsabilidades definidas;
3. Procesos de gestión asociados con:
- Política
- Planificación
- Implementación y operación
- Evaluación del rendimiento
- Revisión por la Dirección
- Mejora
4. Documentación que provea pruebas auditables
5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización
El ciclo Planificar- Hacer- Verificar- Actuar
ISO 22301, Introducción
Planificar Partes
Partes
Interesadas Interesadas
Establecer
un
SGCN
Actuar
Hacer
Mantener y
Mejorar el Implementar
Requerimientos
SGCN El SGCN
expectativas Supervisar y
de la Continuidad del
Revisar el Negocio
Continuidad del SGCN
Negocio Gestionada
Verificar
Metodología de Implementación Integrada para los Sistemas de Gestión
y las Normas (IMS2)
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.5 Ámbito de
2.5 plan de la continuidad del
aplicación
negocio & Procedimientos
4.2 Mejora continua
1.6 Política de CN 3.3 Revisión
2.6 Comunicación por la Dirección
1.7 Análisis del
impacto en el negocio 2.7 Capacitación,
Concienciación
1.8 Evaluación del
riesgo
2.8 Ejercicio y pruebas
Requisitos generales
ISO 22301
En resumen
La organización deberá establecer, implementar, mantener y mejorar un SGCN en conformidad con las necesidades y los
requisitos de las partes interesadas
1.Conocimiento 2. Determinar
3. Implementar y
de la las
organización Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organización
ISO 22301, Cláusula 4
Comprensión de las •Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y •Los requisitos de estas partes interesadas
Expectativas de las •Requisitos jurídicos y normativos
Partes interesadas
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance
Determinar el
Alcance del SGCN •A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y
externas y los requisitos
Leyes y Reglamentos
Los cuatro sectores de la industria mas afectados:
Gobierno
sanitaria
Utilidades
Finanzas
3.La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del
SGCN
Orientación estratégica
Comunicación
- Garantizar que el sistema de gestión se ejecuta en conformidad con los requisitos de la norma ISO 22301.
- Informar sobre la eficacia de la gestión a la alta dirección.
Los objetivos y los Planes para alcanzarlos
ISO 22301, Cláusula 6.2
• La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados
para las funciones y los niveles pertinentes dentro de la organización
• Los objetivos deberán:
a) Ser coherentes con la política de continuidad del negocio
b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar
sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados según proceda
Opciones de Estrategia de Continuidad del Negocio
Las estrategias de CN disponibles y el OTR que cumplen
X Sitio
espejo
C
O IX Sitio
S E caliente
T S
O T VIII
R Traslado a
A otros
T centros de
D
E grupo
E
G VII Trabajo
I a distancia
L A
A
VI Sitio
Tibio
V Acuerdo Ninguna
reciproco II Estrategia
IV Sitio
III Sitio frío Reconstrucción
móvil y restauración
TIEMPO DE RECUPERACIÓN
Apoyo
ISO 22301, cláusula 7:
La organización
Deberá asegurar
Tener personas La organización deberá
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicación con
relacionadas con las partes interesadas
el SGCN internas y externas
Información documentada
ISO 22301, Cláusula 7.5
3. Clasificación
2. Identificación y seguridad
1. Creación
4. Modificación
9. Disposición 5. Aprobación
6. Distribución
8. Archivado
7. Uso adecuado
Proceso de
análisis de las
funciones del
negocio y del Proceso general
efecto que una Análisis de
Evaluación de identificación,
interrupción del Impacto en el
de riesgo Análisis y
negocio podría Negocio
Evaluación de
tener sobre riesgos
dichas funciones
Caso de estudio – Taller ISO 22301 – 4
B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Aplicación de las Medidas de Mitigación y Protección
ISO 22301, Cláusula 8.3.3
Desastre
Caso de estudio – Taller ISO 22301 – 5
• Medidas de mitigación
• Para cada riesgo identificado en el ejercicio anterior donde existe un impacto en la disponibilidad, proporcione las
especificaciones apropiadas (dando el número de la cláusula de la especificación) que permite reducir, transferir o evitar
los riesgos. Complete la matriz y esté dispuesto a debatir las medidas de mitigación que ha seleccionado.
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, cláusula 8.4.1
• La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad
de las actividades y la gestión de un incidente perjudicial.
Generalidades
La organización
deberá ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
Negocio
Escenarios de pruebas y ensayos
Mejores prácticas
6. Revisión de la gestión
y actualización de los planes de
continuidad del Monitoreo
3. Medición de la eficacia de los
Negocio y de los y revisión
procedimientos
Procedimientos. del SGCN
• La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño,
para lograr la mejora.
No Conformidad y Acción Correctiva
ISO 22301, Cláusula 10.1
1.2. Comprensión
De la organización
Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
3. Expectativas
y alcance
1. Velocidad de
implementación
Enfoque Propuesto
Directrices
Se integra en el contexto de
las actividades comerciales
a través de la organización 2. Enfoque de sistemas
La rápida
Implementación del Directrices
SGCN respetando lo
Requisitos mínimos y
Cambiar a mejora
Continua a partir de
entonces
3. Enfoque Sistemático
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio
de la organización (AIN) 3.1 Seguimiento,
4.1 No conformidades
medición, análisis y
1.3 Analizar el 2.2 Evaluación y acción correctiva
evaluación
sistema existente del negocio
2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
3.3 Revisión
2.5 plan y 4.2 Mejora continua
por la Dirección
1.7 Estructura procedimientos de la
de la organización continuidad del negocio
1.8 Información
2.6 Comunicación
documentada
Planificar
Proyecto Hacer
Del
SGCN
Verificar
Actuar
Enfoque y Metodología
Basados en las mejores prácticas
ISO 22301
ISO 27001
ISO 24762
Enfoque de Auditoría basado en el Riesgo
Riesgos de Auditoría
7.
1.
Materialidad y del Sistema de Gestión
Planificación de la
auditoría in situ
Etapa 2 de la
Validación de la materialidad relativa a los
Auditoría
riesgos de detección
(Auditoría in situ)
Muestreo
Garantía Razonable
En una auditoría de la ISO 22301, buscamos obtener una garantía razonable de que el sistema
de gestión en su conjunto está conforme y no para asegurar que cada uno de los controles
específicos es eficaz y se ajusta
Requisitos de la Documentación
Definición del SGCN
• La ISO 22391 no establece una lista concreta de información documentada requerida
• Como mínimo, el SGCN debería contener la siguiente documentación:
1. Ámbito de aplicación y objetivos del SGCN
2. Política de Continuidad del Negocio
3. Descripción de los roles y responsabilidades
4. Evaluación de Riesgos e informes del AIN
5. Plan de Continuidad del Negocio
6. Plan de comunicación, concienciación y capacitación
7. Procedimientos de ejercicios y pruebas
8. Evaluación, el revisión por la dirección y procedimientos de auditoría
9. Acciones preventivas y correctivas
Verificación de Documentos Estratégicos
Ejemplo:
El administrador de la red (Quién) asegura que se han completado las copias de seguridad (
Qué) mediante la revisión de los registros de copias de seguridad (Cómo) todas las mañanas
(Cuándo) . Tras la revisión, él llena y firma una lista de controles ( Dónde) que se guardan
para futura referencia (Por qué)
Comunicación con la Dirección
Principales temas a ser tratados
1. Contexto de las actividades de negocio generales de la organización (4.1)
2. Comprensión de la necesidades y expectativas de las partes interesadas (4.2)
3. Ámbito de aplicación del SGCN (4.3.2)
4. Compromiso de la dirección (5.2)
5. Política de continuidad del negocio (5.3)
6. Funciones organizativas, responsabilidades y autoridades (5.4)
7. Objetivos de continuidad del negocio y planes para conseguirlos (6.2)
8. Provisión de recursos (7.1)
9. Papel de la dirección en la comunicación (7.4)
10. Aprobación de la estrategia de continuidad del negocio (8.3)
11. Supervisión, medición, análisis y evaluación (9.1)
12. Reportes de auditoría interna (9.2)
13. Revisión por la dirección (9.3)
Recolección de Evidencia y Procedimientos de Análisis
B. Revisión de
A. Observación C. Entrevistas
documentos
Procedimientos
de recolección de
evidencia
Procedimientos de
análisis de evidencia F. Corroboración G. Evaluación
Creación de planes de Auditoría
Recomendaciones generales
Lista de Verificación de la Auditoría
Ejemplos
• En esta sección, se presentan seis planes de auditoría
• Basándose en estos ejemplos, un auditor debería ser capaz de crear sus propios planes de
prueba de auditoría mediante la combinación de diferentes procedimientos de auditoría
para reunir evidencias:
- Observación
- Revisión documental
- Entrevista
- Verificación técnica
- Análisis
La organización debe mantener y proporcionar los recursos necesarios para el establecimiento , la implantación, el
mantenimiento y la mejora continua del SGCN
Observación N/A, excepto para el auditor interno. Como observador, el auditor interno podría asistir a
una reunión donde se tratan el presupuesto y la previsión de recursos
Documentar El auditor puede evaluar y validar los documentos siguientes: caso de negocio de SGCN ,
un plan de proyecto, presupuesto anual , acta de la reunión de prestación y la asignación
de recursos
Entrevistar El auditor puede entrevistar al coordinador del SGCN y a un miembro de la dirección para
validar el proceso de asignación de recursos al SGCN
Verificación técnica N/A
Análisis Muestra de las actividades críticas ( como las pruebas y ejercicios) del SGCN y validar si la
asignación de recursos es eficiente
Ejemplo 4: Competencia
ISO 22301, cláusula 7.2
La organización se encargará de: a) determinar la competencia necesaria de la persona(s) bajo su control que realizan
su trabajo , el cual afecta a su rendimiento, b) asegurarse de que estas personas son competentes sobre la base de una
educación apropiada , capacitación y experiencia , c) en su caso, tomar medidas para adquirir la competencia necesaria
, y evaluar la eficacia de las medidas adoptadas , y d) conservar la información documentada como evidencia de su
competencia.
Observación Observar a un miembro de la organización que lleva a cabo las actividades relacionadas
con el SGCN
Documentar El auditor puede evaluar y validar los siguiente documentos: políticas internas y
lineamientos ( sobre reclutamiento, capacitación, gestión de RRHH, procedimiento de
evaluación de empleados), registros ( hoja de vida de empleados, registro de capacitación
, evaluación anual, etc.)
Entrevistar El auditor puede entrevistar a un miembro del departamento de RRHH para comprender
y validar los procesos y procedimientos que garantizan que la organización tiene personal
competente: contratación
Verificación técnica N/A
Análisis Muestra de hoja de vida, registros de capacitación, evaluación anual, etc.
Ejemplo 5: Auditoría Interna
ISO 22301, cláusula 9.2 (extracto)
La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de
si el sistema de gestión de la continuidad del negocio a) se ajusta a 1) las necesidades propias de la organización para su
SGCN, 2) Los requisitos de esta norma internacional, y b) se aplica y es mantenido de forma efectiva
Observación N/A
Documentar Gráfico de auditoría u otros documentos en los que se especifican las funciones y
responsabilidades de la auditoría interna, archivos de empleado de los auditores internos,
la planificación de las actividades de auditoría interna, los procedimientos de auditoría
interna, los informes de auditoría interna, la documentación de seguimiento de las
auditorías
Entrevistar Al auditor interno para revisar el programa de auditoría interna y a un miembro de la
dirección para debatir el valor de la auditoría interna de la organización
Verificación técnica N/A
Análisis Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Ejemplo 6: Revisión por la Dirección
ISO 22301, cláusula 9.3
La alta dirección debe revisar el SGCN de la organización a intervalos de tiempo planificados, para asegurarse que
continua siendo idóneo , adecuado y eficaz
Observación N/A , excepto para el auditor interno. Como observador, el auditor interno podría asistir a
una reunión de la dirección
Documentar Agenda la revisión por la dirección, minutas, información documentada enviada
previamente a la realización de la reunión, informe presentado, comunicación de
seguimiento después de la reuniones
Entrevistar Los miembro s del comité de gestión y del coordinador del SGCN
Verificación técnica N/A
Análisis Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Hallazgos de Auditoría
Tipos de hallazgos de auditoría posibles
Observación No No
Conformidad Situación o Conformidad Conformidad
elemento Menor Mayor
Situación en la observado
que se cumple durante la Situación en la No
la conformidad auditoría que que no se conformidad
con todos los puede estar cumplió con un
aspectos de un sujeto a la conformidad requisito o falla
requisito mejora con un aspecto total de su
continua de un requisito eficacia
aunque no
fuera de una
no
conformidad
Recomendación de Certificación
Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes
relativas a la certificación:
1. Recomendación para la certificación
2. Recomendación para la certificación con la condición de la presentación de planes de
acciones correctivas sin visita previa
3. Recomendación para la certificación con la condición de la presentación de planes de
acciones correctivas con visita previa
4. Recomendación desfavorable
Discusión de las Conclusiones con la Dirección
Posibles reacciones
1. Aceptar las conclusiones 2. Hechos nuevos
2. Entregar hechos nuevos 3. Buscar soluciones
3. Buscar soluciones
4. Querer negociar las conclusiones
5. Negar los hechos y/o adoptar una actitud hostil
6. Buscar culpables ( para echar culpas)
Presentación de los Planes de Acción por el Auditado
ISO 17021, cláusula 9.1.11
La organización auditada debe describir:
1. Las no conformidades descubiertas y sus causas raíz
2. Las acciones correctivas y preventivas tomadas, o que se planean tomar, para
eliminar las no conformidades detectadas, en un plazo definido
Causa raíz: Falta de concienciación sobre este requisito y normalmente no se toman unos minutos
para ello durante las reuniones
Plan de acción : Nombrar un secretario para cada reunión de revisión por la dirección, enviar minutas
a los participante luego de cada revisión por la dirección y guardar minutas de cada reunión como
registro
Evaluación de los Planes de Acción por el Auditor
Directrices
• El auditado debe informar al auditor del estado de finalización de las acciones
correctivas
• El papel de auditor se limita a validar el análisis de las causas, los planes de
acción y las medidas correctivas
• No todas las medidas correctivas tienen que ponerse en práctica
inmediatamente