UNIVERSIDAD MAYOR DE SAN ANDRÉS

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA DE CONTADURÍA PÚBLICA
GABINETE DE AUDITORIA DE SISTEMAS

TRABAJO GRUPAL
Estándar ISO 22301:2019 para Continuidad del Negocio

Estudiantes: CUSICANQUI ALANOCA ALEXANDER JOSE

HUANCA BLANCO ALEJANDRO ABDIAS
SALAS CALLE WENDY ANAHI
VARGAS QUISBERT LUIS ROGELIO.
Docente: Lic. LEA PLAZA LÓPEZ JUAN CARLOS.

La Paz – Bolivia
2022
1.Estándar ISO 22301:2019 para Continuidad del Negocio

ISO 22301:2019 Security and resilience – Business continuity management systems –

Requirements es el estándar internacional certificable publicado por la Organización
Internacional de Normalización (ISO) que describe cómo gestionar la continuidad del
negocio. Con la certificación las empresas interesadas podrán demostrar su
cumplimiento a sus clientes, socios, entidades reguladoras, empleados, y otras partes
interesadas, pero lo mas importante es que incluso sin la certificación, las empresas
que se alinean con la norma ISO 22301 adquieren nuevas capacidades para la
recuperación oportuna ante desastres graves futuros, lo que agrega mayor valor para
sus clientes, en comparación con sus competidores que no han adoptado mejores
practicas.

La nueva versión no incluye cambios dramáticos, pero si una mejora relevante que
incluye más flexibilidad y menos prescripción. La guía ISO 22313:2020 incluye los
detalles que no se encuentran en el estándar ISO 22301.

La familia ISO 22300

El origen de la norma ISO 22301 se remonta al comité técnico ISO/TC 23, que se
centró en abordar las preocupaciones relacionadas con la seguridad social. Ahora la
norma es gestionada por ISO/TC 292 - Seguridad y resiliencia. La primera versión de la
norma ISO 22301 se publicó en 2012. La segunda edición se publicó en octubre de
2019 y es el tema central de esta guía de implantación. Actualmente existen 11 normas
en la serie ISO 22300. Dichas normas brindan orientación y requisitos más detallados
para cuestiones específicas relacionadas con la continuidad del negocio. Esto va desde
la gestión de respuesta a emergencias, hasta las evacuaciones masivas.

Dentro de la serie, las nomas más importantes para una organización que busque
implementar un SGCN efectivo son:

• ISO 22300:2018 - Seguridad y resiliencia – Vocabulario

• ISO 22313:2020 - Seguridad y resiliencia – Sistema de Gestión de Continuidad de
Negocio – Orientación: Proporciona orientación útil en apoyo de la implantación
práctica y el funcionamiento de un SGCN.

¿Cómo funciona ISO 22301:2019?

Ante la ocurrencia de eventos disruptivos (ataques, desastres naturales, conmoción

social, sabotaje, accidentes, etc.), se debe priorizar en base al calculo de las perdidas
esperadas (análisis de impacto en el negocio), qué escenarios disruptivos potenciales
pueden afectar las operaciones del negocio (evaluación de riesgos), definiendo lo que
se debe hacer para evitar que ocurran tales eventos y después cómo recuperar las
operaciones mínimas y normales en el menor tiempo posible (mitigación de riesgos o
tratamiento de riesgos).

ISO 22301:2019 exige la existencia de un Sistema de Gestión de la Continuidad del

Negocio (BCMS -Business Continuity Management System) que debe concentrarse en
analizar los impactos contra las líneas de negocio y gestionar los riesgos, descubrir qué
actividades del negocio y administrativas son más críticas y qué riesgos o amenazas
pueden afectarlas y luego tratar sistemáticamente esos riesgos.

Las estrategias y soluciones que se implementarán generalmente son políticas,

procedimientos, roles y responsabilidades, datos e información, componentes técnicos
y físicos (instalaciones, software, equipos, planes, recursos técnicos especialistas)
todas estas tareas se combinan inteligentemente en la elaboración de Planes de
Continuidad del Negocio, Planes de Contingencia departamentales (geográficos,
especializados como Epidemias), Planes de Recuperación de Desastres (DRPs), entre
otros.

En ISO 22301:2019 se plantea cómo combinar estructuradamente todos estos

elementos en el Sistema de Gestión de la Continuidad del Negocio (BCMS).

Contenido de ISO 22301:2019

Son 10 secciones.
1. Alcance: ISO 22301 está diseñado para ser aplicable a cualquier tipo de
organización, independientemente del tamaño, complejidad, sector, propósito o
madurez, cualquier organización puede implementar y mantener un SGCN que cumpla
con la ISO 22301.

2. Referencias normativas: En las normas ISO, la sección de referencias normativas

enumera cualquier otra norma que contengan información adicional relevante para
determinar si una organización cumple o no con la norma en cuestión. En la ISO 22301
solo se enumera un documento: ISO 22300, Seguridad y resiliencia - Vocabulario.

3. Términos y Definiciones: Hay 31 términos y definiciones en ISO 22301 y se hace

referencia a la versión más actual de LA ISO 22300: Seguridad y Resiliencia -
Vocabulario. La versión actual de este documento contiene 277 definiciones de
términos que se utilizan en ISO 22301.

Las secciones 4 a 10 son obligatorias y están alineadas al ciclo PDCA, todos sus
requisitos deben implementarse para cumplir con el estándar. El estándar incluye estas
secciones:

4. Contexto de la organización: define los requisitos para comprender los problemas

externos e internos, las partes interesadas y sus requisitos, y define el alcance del
BCMS.

 4.1 Comprensión de la organización y su contexto.

 4.2 Comprender las necesidades y expectativas de las partes interesadas.

 4.3 Determinar el alcance del sistema de gestión de continuidad del negocio.

 4.4 Sistema de gestión de la continuidad del negocio.

5. Liderazgo: define las responsabilidades de la alta dirección, estableciendo los roles,

responsabilidades, autoridades y los contenidos de la política de continuidad del
negocio de alto nivel.

 5.1 Liderazgo y compromiso.

 5.2 Política.
 5.3 Roles, responsabilidades y autoridades.

6. Planificación: define los requisitos para abordar riesgos y oportunidades, establecer

los objetivos de continuidad del negocio y planificar cambios en el BCMS.

 6.1 Acciones para abordar riesgos y oportunidades.

 6.2 Objetivos de continuidad del negocio y planes para alcanzarlos.

 6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio.

7. Soporte: define los requisitos de disponibilidad de recursos, competencias,

conocimiento, comunicación y control de documentos y registros.

 7.1 Recursos.

 7.2 Competencia.

 7.3 Conciencia.

 7.4 Comunicación.

 7.5 Información documentada.

8. Operación: define la implementación de análisis de impacto en el negocio,

evaluación y tratamiento de riesgos, estrategias de continuidad del negocio, soluciones,
planes y procedimientos, programa de ejercicios (pruebas) y evaluación de la
documentación, y capacidades de continuidad del negocio para lograr los objetivos de
continuidad del negocio.

 8.1 Planificación y control operacional.

8.2 Análisis de impacto en el negocio y evaluación de riesgos.

 8.3 Estrategias y soluciones de continuidad en el negocio.

 8.4 Planes y procedimientos de continuidad en el negocio.

 8.5 Programa de ejercicios.

 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.

9. Evaluación del desempeño: define los requisitos de monitoreo, medición, análisis,
evaluación, auditoría interna y revisión de la administración.

 9.1 Monitoreo, medición, análisis y evaluación.

 9.2 Auditoría interna.

 9.3 Revisión de la gerencia.

10. Mejora: define los requisitos para no conformidades, correcciones, acciones

correctivas y mejora continua.

 10.1 No conformidad y acción correctiva.

 10.2 Mejora continua.

Cambios Realizados

Nombre de la norma. Ha pasado de «Societal security Business continuity management

systems Requirements» a «Security and resilience Business continuity
management systems Requirements».

Entre los cambios a DEFINICIONES tenemos:

En la cláusula 3 "Términos y definiciones", se modificaron, redefinieron, eliminaron y

agregaron varios términos. Los principales cambios incluyen:

● ELIMINACION de los términos BCM, invocación, MAO.

● REDEFINICION del termino BCMS.

En la versión de 2012, “apetito por el riesgo” se definió como la “cantidad y tipo de

riesgo que una organización está dispuesta a perseguir o retener”. La versión 2019
elimina el término. El “apetito por el riesgo” no solo es un tema subjetivo, sino que, en
última instancia, también es irrelevante: lo que importa no es el riesgo que una
organización está dispuesta a asumir, sino el nivel en el que el impacto de no reanudar
las actividades sería inaceptable para una organización.

En cuanto a cambios en CONTEXTO DE LA ORGANIZACIÓN:

Se reducen requisitos a lo esencial para BCM. La nueva versión 2019 establece la
necesidad de definir y determinar simplemente problemas externos e internos de la
empresa y su contexto, pero sin especificar lo que esto conlleva. No dice que
elementos tener en cuenta, ni incluye requisitos a documentar para este proceso.

En cuanto a cambios en LIDERAZGO:

La cláusula 5 sobre Liderazgo fue recortada participación de la alta dirección (5.2). Alta
dirección concentrada en lo necesario.

Aunque en la versión anterior se requería una participación activa en el ejercicio y la

prueba y todas las etapas, la nueva versión es más pragmática y se enfoca en lo que
es realmente necesario para mantener el sistema de gestión. 

En cuanto a cambios en PLANIFICACION Y SOPORTE.

Se mejoró la cláusula 6 sobre Planificación, concentrándose en los objetivos de

continuidad del negocio y la planificación para lograrlos.

La cláusula 7 sobre Soporte fue simplificada.

En cuanto a cambios en OPERACION.

La Cláusula 8 (Operación) aborda el núcleo de la continuidad del negocio. La estructura

de las sub cláusulas no se modificó mucho, se mejoraron las nuevas adiciones al
contenido.

La Sección 8.2.2 sobre Análisis de impacto en el negocio (BIA) ahora estipula que el
BIA debe definir los tipos de impacto y los criterios relevantes como punto de partida. Si
bien muchas organizaciones ya definen tipos de impacto en su BIA, la versión 2019 lo
hace obligatorio.

En la Sección 8.3 se ha cambiado el nombre “Estrategia de Continuidad de Negocios” a

“Estrategias y Soluciones de Continuidad de Negocios”. Demuestra pragmatismo con el
interés en encontrar estrategias y soluciones para posibles impactos o riesgos
específicos (en 8.3.2) , en lugar de concentrarse en desarrollar una gran estrategia
para garantizar la continuidad.
La cláusula 8.4 (anteriormente denominada "Establecer e implementar procedimientos
de continuidad de negocios") ha sido renombrada a "Planes y procedimientos de
continuidad de negocios", concentrándose en la "Estructura de respuesta" (8.4.2),
"Advertencia y comunicación" (8.4.3), "Planes de continuidad de negocio” (8.4.4) y
“Recuperación” (8.4.5).

Una sub cláusula sobre "Programa de ejercicios" (8.5) reemplaza la sub cláusula
anteriormente llamada "Ejercicio y prueba".

En cuanto a cambios en MEJORAMIENTO.

La cláusula 9 sobre "Evaluación del desempeño y la cláusula 10 " Mejora " se

simplifico, considerando los nuevos requisitos para alinearse con todas las normas de
sistema de gestión de ISO.

Cronología y transición

● Más de 4600 empresas tienen un certificado ISO 22301 (hasta 2019).

● Habrá un período de transición de tres años. Todos los certificados en la versión

2012 perderían su validez en el 2022.

● No hay cambios estructurales importantes, lo que facilita la transición para las

empresas que ya dispongan de la certificación.

2.NORMA ISO 22301 - GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Como aplicar la ISO 22301 dentro de una empresa.-

La forma de implementar la norma ISO 22301 a través del cual las organizaciones
pueden asegurar la continuidad de su negocio.

Como bien conocemos, de cara a asegurar la continuidad de negocio en las

organizaciones y que éstas no se vean afectadas por interrupciones e imprevistos que
puedan alterar su normal funcionamiento, la norma ISO 22301 recoge una serie de
requisitos para que éstas cuenten con el oportuno sistema para gestionar la
continuidad de su negocio.
Cuando hablamos de imprevistos que pueden poner en tela de juicio la continuidad de
nuestro negocio, incluimos desastres naturales, ataques cibernéticos, fallos internos,
accidentes, problemas energéticos, etc.

Tales posibles amenazas a la organización deben ser consideradas como reales y ser
tenidas en cuenta, de tal modo, que en caso de que se materialicen, la organización no
deje de funcionar.

La organización tiene la obligación de asegurar que es fiable y es capaz de reanudar su

normal funcionamiento en un determinado tiempo, continuando ofreciendo con total
normalidad sus productos y servicios, aunque sucedan ciertos imprevistos.

Para poder asegurar esto a sus clientes y otras partes interesadas, debe desarrollar
ciertos planes y estrategias de prevención que les permita tener un control de tales
amenazas y sus efectos, para que, en caso de que éstas tengan lugar, no afecten a la
viabilidad del negocio.

ISO 22301 proporciona un marco de gestión a las organizaciones con las que poder
continuar desarrollando sus actividades ante circunstancias imprevistas.

Ejemplos de cómo implementar la ISO 22301.

A continuación, recogemos una recopilación de ejemplos prácticos de acciones a

implementar de acuerdo a la norma ISO 22301, que ayudan a las organizaciones
a evitar interrupciones en su negocio. Entre ellas destacamos las siguientes:

● Realizar los oportunos análisis de riesgos.

● Hacer un estudio pertinente de los diferentes procesos que integran la organización

y las actividades llevadas a cabo en cada uno de ellos.

● Determinar el impacto problable que puede causar interrupciones en el normal

funcionamientos del negocio y hacer una valoración de éste.
● Tener identificadas las actividades, los recursos y las prioridades a la hora de
recuperación tras el imprevisto concreto.

● Establecer los tiempos estimados de recuperación, así como el tiempo máximo

aceptable de interrupción en cada uno de los diferentes procesos.

● Diseñar los procedimientos a realizar para proceder a la recuperación tras los

impactos generados por el imprevisto en cuestión.

● Realizar simulacros de incendio.

● Contar con sistemas alternativos para la conexión a Internet y para el suministro

eléctrico.

● Tener el CPD de la organización en una sala que tenga control de temperatura o

control antisísmico.

● Mantener actualizados los dispositivos de seguridad de la información.

● Contratar seguros.

● Externalizar una parte de la infraestructura, como por ejemplo la parte que se

dedica a la venta online.

● Hacer copias de seguridad.

● Mantener al día las listas con los proveedores que son alternativos a los actuales.

● Disponer de diferentes opciones de ubicación para el almacenamiento de aquellos

productos considerados críticos.

● Ofrecer una oportuna formación sobre la opciones de evaluación así como puntos

de reunión.

Estos ejemplos prácticos de acciones a implementar para asegurar la continuidad de

negocio, permiten al mismo tiempo que la organización pueda tener:
● Una mayor comprensión de sus principales actividades y los recursos necesarios
para llevarlas a cabo.

● Marco para la eliminación de los riesgos.

● Identificación de las amenazas y gestión de éstas.

● Enfoque proactivo para minimizar el impacto de los posibles incidentes.

● Reducción del tiempo de interrupción de las actividades y optimiza el tiempo de

recuperación.

● Reduce costes de recuperación, logrando una mejora de la competitividad.

● Mejora su reputación ante clientes y partes interesadas al mostrar una mayor

capacidad de resistencia.

● Marco de trabajo con indicación de las acciones a realizar para la recuperación y

los tiempos mínimos para ejecutarlas.
3.PLAN DE RECUPERACION DE DESASTRES (DRP)

● Los desastres son contextos de los que ninguna compañía está exenta, hacen
referencia a cualquier situación que pone en riesgo la estabilidad de las
empresas.
● los cuales pueden ser humanos, técnicos o naturales. Por ejemplo, durante un
terremoto es normal que las áreas de TI sufran deterioros y las redes de
conectividad se dañen, esto puede provocar inestabilidad y riesgos en lugares
como bancos que, ante los daños la seguridad de sus datos se ve vulnerable.
Otras simplemente han reportado que los desastres han provocado la
interrupción de sus servicios por lo que es necesario que sepan cómo actuar
ante estas situaciones de riesgo.
● “Un plan de Recuperación de Desastres (DRP) se refiere a un procedimiento
estratégico muy específico del área de tecnologías de la información que se
pone en marcha cuando hay un daño en los sistemas de cómputo. Se trata de
un aspecto fundamental que funciona en convergencia con el Plan de
 Continuidad, esto se debe a que muchos de los procesos en las organizaciones
ya están automatizados y las compañías necesitan tener el control de sus
tecnologías”, comentó Erika Zenteno Savin, Consultor Senior de Continuidad y
Negocio en Pink Elephant.
● Es necesario que un Plan de Recuperación de Desastre se ajuste a las
necesidades de cada compañía, cada uno tiene que implementarse al tipo de
negocio o servicio que brindan, por lo que es importante que en cada empresa
se conozcan los procesos de TI, vulnerabilidades y el nivel de seguridad que
tienen para la protección de los datos, para ello es recomendable contar con el
apoyo de personal certificado en los marcos de referencia como los del DRII
(Disaster Recovery Institute International).
● Este Plan de Recuperación requiere realizar un análisis de los riesgos
emergentes y de impacto aplicativo, definir una estrategia que considere la
contratación o construcción de un centro de datos alterno, en el cual se pueda
dar continuidad a las aplicaciones que son más críticas para las organizaciones.
En este sentido es vital que se consideren los costos y los impactos, para
seleccionar la mejor estrategia de respaldo o alta disponibilidad que requiera la
compañía. El ideal es que, ante una contingencia, se pueda cambiar la
operación al centro alterno en cuestión de segundos.
● En el caso de las instituciones financieras, este requisito es fundamental, pues
tienen que cumplir con normas y leyes que los gobiernos exigen, en el caso de
México, la Comisión Nacional Bancaria y de Valores regula que se tenga una
alta disponibilidad en los sistemas de cómputo, además supervisar a las
entidades integrantes del sistema financiero mexicano, a fin de procurar su
estabilidad y correcto funcionamiento.
● Una empresa que no cuenta con un DRP no está preparada para afrontar los
daños que puede provocar una situación de riesgo por errores humanos o crisis
naturales, pues se tardarán más tiempo en darle continuidad a sus procesos
críticos, puede dañar la reputación ante los clientes, provocar pérdidas
económicas y generar el caos entre los miembros de trabajo. La carencia de un
 DRP es sin duda, el parteaguas para generar impactos negativos internos y
externos para la compañía.
● La implementación de un Plan de Recuperación de Desastres se acompaña no
sólo de una metodología, hace falta una transición de pensamiento y un cambio
cultural dentro de las organizaciones para que los protocolos de acción se
realicen de forma ordenada. En este sentido es fundamental desarrollar el
Gobierno de Continuidad, una estructura conformada por diversos grupos dentro
de la empresa que se encargarán de implementar los procesos para la
continuidad, así como de la toma de decisiones. Un DRP debe ir acompañado
de simulacros para que estos grupos se preparen para una situación de crisis,
de esta manera conocerán sus áreas de oportunidad para lograr una mejora en
la ejecución de sus actividades en una contingencia.
● “Contar con un Plan de Recuperación de Desastres asegura la continuidad de la
organización y minimiza las pérdidas financieras, evita multas por
incumplimiento de contratos y violaciones a la ley. Si una empresa desea
comenzar a implementar su DRP es necesario que conozca las diferentes
formas de certificación, que se acerque a los especialistas de empresas como
Pink Elephant que brindan a las compañías cursos y certificaciones para la
implementación de planes de recuperación y de continuidad, de tal forma que, si
una compañía pasa por alguna situación de desastre, estará preparada para
responder de forma ordenada y eficiente”, concluyó Erika Zenteno Sabin,
Consultor Senior de Continuidad y Negocio en Pink Elephant.

Introducción

El curso “Fundamentos de Continuidad de Negocios y Recuperación de Desastres”

permite obtener al participante los conocimientos fundamentales sobre la Continuidad
de Negocios y la Recuperación de Desastres y la relación con las Mejores Prácticas
mundiales en la aplicación de dicha disciplina, así como, la implementación de
procesos de Continuidad del Negocio y Recuperación de Desastres, basados en
estándares dictados por el DRII (Disaster Recovery Institute International) dictado por
Consultores Certificado CBCP del DRI en temas de Continuidad de Negocio y
Recuperación de Desastres.

Objetivo

Entendimiento sobre la planificación e implementación de Estrategias de Continuidad

de Negocio y Recuperación de Desastres y su relación a nivel de riesgos, cumplimiento
y regulaciones y el involucramiento de los interesados en la organización.

Conocer los diferentes estándares y normativas en materia de Continuidad de Negocio

y Recuperación de Desastres que existen actualmente en el mercado.

4.EL (BCP):

El plan de recuperación ante desastres DRP es una parte del plan de continuidad del
negocio BCP.

Al menos el 50% de las organizaciones que cuentan con un plan de continuidad de

negocio (BCP) tomaron como base el estándar ISO 22301 Como marco general, este
estándar es una buena guía y permite a las organizaciones demostrar que están
protegiendo efectivamente sus instalaciones, empleados, activos y partes interesadas.

¿QUE ES EL (BCP) BUSINESS CONTINUITY PLAN? - Es un plan de continuidad del

negocio para mantener la operación de la empresa durante cualquier suspensión que
no haya sido planeada en sus operaciones cotidianas, es un plan para seguir operando
protegiendo su información y en ocasiones puede llegar a abarcar estrategias que
reduzcan el costo a largo plazo.

EL BCP Y SUS BENEFICIOS. - podemos nombrar los siguientes beneficios:

● Apoyo en los objetivos estratégicos

● Reducción de la exposición legal y financiera
● Creación de una ventaja competitiva
● Protección y mejora de la reputación y credibilidad
● Un control proactivo de los riesgos efectivamente eficiente.
● Reduce algún tipo de vulnerabilidad cuando se encuentra operativa.
¿CUANDO ES NECESARIO REALIZAR UNA PRUEBA BCP? - La podemos realizar
mediante un mantenimiento regular a través de pruebas simples, de lo contrario puede
ocurrir interrupciones del negocio.

El BCP es desarrollado para evitar interrupción alguna en medio de eventos

catastróficos por medio de la naturaleza como ser terremotos, huracanes,
inundaciones, etc. O por el mismo ser humano como ser sabotajes o errores.