Está en la página 1de 465

Implementador Líder

Certificado en la ISO 22301
Agenda de la Semana
Introducción a la norma ISO 22301 y el inicio
De un SGCN
Planificar la implementación del SGCN
Despliegue del SGCN

Monitoreo del SGCN, mejora continúa y
Preparación para la auditoría de certificación

Examen final
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 2
Estándar y marco normativo


a. ¿Qué es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión
d. Sistema de gestión integrado
e. Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301

¿Qué es ISO?
• ISO es una red de organismos nacionales de estandarización de más
de 160 países

• Los resultados finales de los trabajos realizados por ISO son
publicados como normas internacionales

• Se han publicado más de 19000 normas desde 1947




Principios Básicos – Normas ISO
1. 1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad
para forzar la adopción de sus normas
3. Orientación al negocio: ISO sólo desarrolla normas para
existe demanda del mercado
a 4. Enfoque de consenso: busca un amplio consenso entre las
distintas partes interesadas
5. Cooperación internacional: más de 160 países además de
organismos de enlace
PRINCIPIOS
Básicos de
las Normas
ISO

Los Ocho Principios de Gestión de la ISO

Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar
certificada
ISO 9001
Calidad
ISO 14001
Medioambiente
OHSAS 18001
Salud y
Seguridad en
el trabajo
ISO 20000
Servicios
de TI
ISO 22000
Sanidad
Alimentaria
ISO 22301
Continuidad
del Negocio
ISO 27001
Seguridad de la
Información
ISO 28000
Seguridad de
la Cadena de
Suministro
Sistema de Gestión Integrado
Estructura típica de las normas ISO




Requisitos

ISO
9001:2008
ISO
14001:2004

ISO
20000:2011
ISO
22301:2012
ISO
27001:2005
Objetivos del sistema de
gestión
5.4.1 4.3.3 4.5.2 6.2 4.2.1
Política del sistema
de gestión
5.3 4.2 4.1.2 5.3 4.2.1
Compromiso de la
Dirección
5.1 4.4.1 4.1 5.2 5
Requisitos de
Documentación
4.2 4.4 4.3 7.5 4.3
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisión por la
Dirección
5.6 4.6 4.5.4.3 9.3 7
ISO 22301

• Especifica los requisitos de gestión de un
SGCN
• Los requisitos (cláusulas) son escritos
utilizando el verbo “deberán” en imperativo
• Integrar el modelo PDCA (PLAN, DO,
CHECK Y Act)
• Auditable
• La organización puede ser certificada en
esta norma

INTERNATIONAL ISO
STANDARD 22301








_______________________________________________
Societal security-
Business continuity

Management Systems –Requirements








_________________________________________________


ISO 22301

Contenido

Sección 1
Ámbito de aplicación
Sección 2
Referencias normativas
Sección 3
Términos y definiciones
Sección 4
Contexto de la organización
Sección 5
Liderazgo
Sección 6
Planificación
Sección 7
Apoyo
Sección 8
Funcionamiento
Sección 9
Evaluación del desempeño
Sección 10
Mejora

ISO 22313

• Guía para el código de buenas prácticas
para implementar, mejorar un Sistema de
Gestión de la Continuidad de los Negocios
(Documento de referencia).
• Cláusula escrita utilizando el verbo “debería”
a fin de proporcionar orientación en materia
de aplicación.
• La organización no puede ser certificada en
esta norma

INTERNATIONAL ISO
STANDARD 22313







_______________________________________________

Societal security-Business continuit

Management Systems –Gidance








_________________________________________________


Historia de la norma ISO 22301
1988 – 2013

2012
Creación del DRI
Internacional conocido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperación ante
Desastres)en los EEUU
1984
2002
2003
2006
2007
1988
2013
Creación del
Business
Continuity
Institute
(BCI) en el
Reino Unido
BCI publica
Guías de
Buenas
Prácticas de la
GCN
Publicación de
PAS 56
Publicación
de la
norma BS
25999-1
Publicac
ión de la
norma
BS
25999-2
ISO publicó
la primera
versión de
la norma
ISO 22301
ISO publica la
primera versión
de la norma ISO
22313
Otras Normas sobre Continuidad del Negocio
Ejemplos
El Contenido y la Relación entre ISO
22301 e ISO 27001
ISO 27001, A. 14: Gestión de Continuidad del Negocio
A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales
críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su
reanudación oportuna


A.14.1.1

Incluir seguridad de l
Información en el proceso de
Gestión de la continuidad
del negocio
Control

Se debe desarrollar y mantener un proceso gerencial para la continuidad del
negocio a través de toda la organización para tratar los requerimientos de
seguridad de la información necesarios para la continuidad comercial de la
organización.


A.14.1.2

Continuidad del negocio y
evaluación del riesgo
Control

Se deben identificar los eventos que causan interrupciones en los procesos de
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la información.

A.14.1.3

Desarrollo e implementar
Planes de continuidad
Incluyendo seguridad de la
información
Control

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y
asegurar la disponibilidad de la información en el nivel requerido y en las escalas de
tiempo requeridas después de la interrupción o falta en los procesos de negocios
críticos.

A.14.1.4

Marco referencial para la
Planeación de la continuidad
Del negocio
Control

Se debe mantener un solo marco referencial del plan de continuidad de negocio para
asegurar que todos los planes sean consistentes y para tratar consistentemente los
requerimientos de la seguridad de la información e identificar las prioridades de
pruebas y mantenimiento.

A.14.4.5

Prueba mantenimiento y re-
Evaluación de planes de
continuidad
De negocio
Control

Los planes de continuidad de negocio se deben probar y actualizar regularmente para
asegurar que estén actualizados y sean efectivos.
ISO 22301
Requisitos
Continuidad del negocio
4.4 sistema de gestión
8.2 AIN y la Evaluación de
los riesgo
8.4 Procedimientos de la
continuidad del negocio
6 Planificación del SGCN
8.5 Ejercicio y pruebas
Ejercicio 1
Mitos y Realidades – Continuidad del Negocio
Continuidad del Negocio
Ventajas
Mejor
comprensión de
la organización
Mantenimiento de
las actividades
esenciales de la
organización
Protección de
las personas
Previsible y
eficaz respuesta
a las crisis
Reducción de
costos:
Protección dela
reputación y la
marca
Respeto de las
partes
interesadas
Cumplimiento
de normativas
El cumplimiento
de los requisitos
legales
Ventaja
competitiva
Confianza de
los clientes
Cumplimiento
de los
contratos
Capacitación del Implementador Líder
Certificado en la norma ISO 22301

a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
Sección 3
Sistema de Gestión de la Continuidad del Negocio (SGCN)
¿Qué es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratégico y táctico de ajuste a los objetivos que:
Mejora la organización pro activa de resistencia contra la interrupción de su
capacidad de lograr sus objetivos clave
1
Proporciona un método ensayado para restaurar la capacidad de una
organización para garantizar el suministro de sus productos y servicios clave
después de una interrupción
Proporciona una capacidad demostrada para gestionar una interrupción del
negocio y proteger la reputación de la organización y de la marca
2
3
Gestión de Continuidad del Negocio
ISO 22301, cláusula 3.4:
Proceso de gestión holístico que identifica amenazas potenciales para la
organización así como el impacto en las operaciones del negocio que
dichas amenazas, en caso de materializarse, puedan causar, y que
proporciona un marco para aumentar la capacidad de resistencia o
resilencia de la organización para dar respuesta eficaz que salvaguarde
los intereses de sus principales partes interesadas, la reputación, la
marca y las actividades de creación de valor

Nota: El sistema de gestión incluye la estructura, las políticas, las
actividades de planificación, las responsabilidades,
Las prácticas, los procedimientos,
Los procesos y los recursos de la organización


Los componentes claves de un SGCN
ISO 22301, Introducción
Un SGCN, a igual que cualquier otro sistema de gestión,
tiene los siguientes Componentes fundamentales :
1. Una política
2. Personas con responsabilidades definidas;
3. Procesos de gestión asociados con:
- Política
- Planificación
- Implementación y operación
- Evaluación del rendimiento
- Revisión por la Dirección
- Mejora
4. Documentación que provea pruebas
auditables
5. Cualquier proceso de gestión de la
continuidad del negocio pertinente a la
organización
El ciclo Planificar – Hacer – Verificar – Actuar (PHVA)
ISO 22301, Introducción
Partes
Interesadas





Requerimientos
expectativas
de la
Continuidad del
Negocio
Partes
Interesadas







Continuidad del
Negocio
Gestionada
Planificar
Actuar Hacer
Verificar
Establecer un
SGCN
Mantener y
Mejorar el SGCN
Implementar
El SGCN
Supervisar y
Revisar el SGCN
Requisitos generales
ISO 22301


En resumen
La organización deberá establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas

1.Conocimiento
de la
organización
y su entorno
2. Determinar
las
necesidades y
requisitos
3. Implementar y
Administrar un
SGCN
Contexto de la organización
ISO 22301, cláusula 4
Conocimiento de la
Organización y su
entorno
Comprensión de las
Necesidades y
Expectativas de las
Partes interesadas
Determinar el
Alcance del SGCN
•Las actividades de la organización, las funciones, los servicios, productos, asociaciones,
cadenas de suministro, las relaciones con las partes interesadas.
•Los vínculos entre la política de continuidad del negocio y los objetivos de la
organización y otras políticas
•El apetito de la organización por el riesgo



•Las necesidades de las partes interesadas que son pertinentes para el SGCN
•Los requisitos de estas partes interesadas
•Requisitos jurídicos y normativos




•La organización determinará los limites y la aplicabilidad del SGCN para establecer su
alcance

•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones
internas y externas y los requisitos
Liderazgo y Compromiso de la Dirección
ISO 22301, cláusula 5.1 y 5.2
Orientación estratégica
•Asegurarse de que el SGCN es compatible con la
orientación estratégica de la organización
•Integrar los requisitos del SGCN en los procesos de
negocio de una organización
Hacer que los recursos estén
disponibles

• La Dirección deberá determinar y proporcionar los
Recursos necesarios para el SGCN

• Dirección deberá comunicar la importancia de una
buena Gestión de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN


Comunicación
Política de Continuidad del Negocio
ISO 22301, cláusula 5.3:
• La alta dirección debe establecer una política de continuidad del
negocio que:

- Sea apropiada para los fines de la organización
- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN

• La política del SGCN deberá:

- Estar disponible como información documentada
- Ser comunicada dentro de todas las partes interesadas, según corresponda
- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
reduzcan cambios significativos


Funciones, Responsabilidades y Autoridades
ISO 22301, cláusula 5.4:

• La alta dirección deberá asegurarse de que las responsabilidades y
autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organización.

• La alta gerencia deberá asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestión
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.
-Informar sobre la eficacia de la
gestión a la alta dirección.
Los Objetivos y los Planes para Alcanzarlos
ISO 22301, cláusula 6.2:

• La alta dirección deberá asegurarse de que los objetivos de
continuidad del negocio son establecidos y comunicados para las
funciones y los niveles pertinentes dentro de la organización
• Los objetivos deberán:
a) Ser coherentes con la política de continuidad del negocio
b) Tomar cuenta del nivel mínimo de los productos y servicios que sea
aceptable para la organización para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados según proceda




Apoyo
ISO 22301, cláusula 7:

La organización
deberá determinar y
proporcionar los
recurso necesarios
para el SGCN
Las personas que realizan
Trabajo en el marco del
Control de a organización
Deberán ser conscientes
De la política de la CN,
Sus funciones en el SGCN
Y los requisitos para la
organización

El SGCN de la
Organización deberá
Incluir información
Documentada requerida
Por la ISO 22301 y
Registros para
demostrar
La eficacia del SGCN
Recursos Competencia Documentación Comunicación Sensibilización
La organización
Deberá asegurar
Tener personas
Competentes
para realizar las
tareas
relacionadas con
el SGCN
La organización deberá
Establecer, implementar
y mantener mecanismos
De comunicación con
las partes interesadas
internas y externas
Información documentada
• ISO 22301, cláusula 7.5:
1. Creación
2. Identificación
3. Clasificación
y seguridad
4. Modificación
5. Aprobación
6. Distribución
7. Uso adecuado
8. Archivado
9. Disposición
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Análisis del impacto en el Negocio y Evaluación de los Riesgos
ISO 22301, cláusula 3.50 y 8.2
Proceso de
análisis de las
funciones del
negocio y del
efecto que una
interrupción del
negocio podría
tener sobre
dichas funciones
Análisis de
Impacto en el
Negocio
Evaluación
de riesgo
Proceso general
de identificación,
Análisis y
Evaluación de
riesgos

Estrategia de Continuidad del Negocio
ISO 22301, cláusula 8.3

La organización deberá determinar las opciones apropiadas de continuidad
para:
A) Proteger las actividades
prioritarias
B) Estabilizar, continuar,
reanudar y recuperar
actividades prioritarias
C) Mitigar, responder a los
impactos y gestionarlos
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, CLÁUSULA 8.4.1

La organiza deberá documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestión d de
un incidente perjudicial
Generalidades

•La organización deberá
establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperación
identificados en el análisis
del impacto en el negocio


Ejercicios y Pruebas
ISO 22301, cláusula 8.5
La organización
deberá ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
Evaluación del desempeño
ISO 22301, cláusula 9
6. Revisión de la gestión
y actualización de los
planes de continuidad del
Negocio y de los
Procedimientos.
3. Medición de la eficacia
de los procedimientos
5. Realización de las auditorias
internas.
2. Revisión periódica de la eficacia
del SGCN teniendo en cuenta las
proposiciones y sugerencias de los
interesados.
1. Revisión del ejercicio y la
prueba de los procedimientos
de continuidad, después de los
informes sobre incidentes.
4. Revisión de las evaluaciones
De riesgo y del AIN.
Monitoreo
y revisión
del SGCN
Nota: Cada una de estas acciones debe ser documentada y registrada.
Mejora
ISO 22301, cláusula 10

• La organización deberá mejorar continuamente la conveniencia, adecuada
y eficacia del SGCN.

• La organización puede utilizar los procesos de SGCN como el liderazgo, la
planificación y la evaluación del desempeño, para lograr la mejora.
Capacitación Implementador Líder Certificado en la norma ISO 22 301
Sección 4
Principios fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperación de desastres

b. Evento: de un incidente a una emergencia

c. Organización y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Continuidad del Negocio
Recuperación ante
desastres
Asegurar que el negocio
Pueda continuar durante
Una emergencia

Los Objetivos son:

•En primer lugar, el capital
Humano de la empresa

•Entrega de productos o
prestación de servicios a los
clientes de la empresa

•Funciones críticas dl negocio
en la empresa


Recuperar la “tecnología”
Lo más rápidamente
posible.

Se incluyen:
• Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Críticas de la empresa

•Un plan de recuperación
ante desastres (DRP) también
incluye la elaboración de
planes para
hacer frente a la inesperada
o repentina pérdida de personal
clave

•En u PCN, es uno de los
aspectos del plan

Participación de todos los elementos de la organización

La Gestión de Continuidad del Negocio
Está en relación con:
G
E
S
T
I
Ó
N

D
E

R
I
E
S
G
O

S
E
G
U
R
I
D
A
D

G
E
S
T
I
Ó
N

D
E

C
A
L
I
D
A
D

G
E
S
T
I
Ó
N

D
E
L

M
E
D
I
O

A
M
B
I
E
N
T
E

A
D
M
I
N
I
S
T
R
A
C
I
Ó
N

D
E


L
A
S

I
N
S
T
A
L
A
C
I
O
N
E
S

G
E
S
T
I
Ó
N

A
N
T
E

U
N
A

E
M
E
R
G
E
N
C
I
A

R
E
C
U
P
E
R
A
C
I
Ó
N

D
E

T
I

A
N
T
E

D
E
S
A
S
T
R
E

G
E
S
T
I
Ó
N

D
E

L
A

C
A
D
E
N
A

D
E


S
U
M
I
N
I
S
T
R
O

C
O
M
U
N
I
C
A
C
I
O
N
E
S

&

R
R
P
P

S
A
L
U
D

Y

S
E
G
U
R
I
D
A
D

G
E
S
T
I
Ó
N

D
E

C
R
I
S
I
S

R
E
C
U
R
S
O
S

H
U
M
A
N
O
S

Evento: de incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento
(ISO 22301, 3.17)
Incidente
(ISO 22301, 3.19)
Interrupción
(ISO 22399. 3.4
Crisis
(USO 22399, 3.3)
Desastre
(ISO 22300, 2.
Emergencia (ISO
22399, 3.6)
• Ocurrencia de un conjunto particular de circunstancias.
• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales,
que requieren de atención urgente y de medidas para proteger la vida,
los bienes o el medio ambiente.
•Situación en la que se han producido amplias pérdidas humanas,
materiales, económicas o ambientales que superaron la capacidad de la
organización, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.
• Cualquier incidente(s), causado por los humanos o causas naturales,
que requieren de atención urgente y de medidas para proteger la vida,
los bienes o el medio ambiente.
• Suceso o evento repentino, urgente, generalmente inesperado que
requiere acción inmediata.
• Evento que pudiera constituir o pudiera redundar en una interrupción
del negocio, en una pérdida, emergencia o crisis.
Organización y Actividades
ISO 22301, CLÁUSULA 3.1,3.33 y 3.42
Organización (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organización (o en su nombre) que producen o
dan apoyo a uno o más productos y servicios.
Las actividades a las que deben darse prioridad
tras un incidente con el fin de mitigar los impactos.
Actividades Prioritarias (3.42)
Proceso
ISO 22301, cláusula 3.40

Conjunto de actividades mutuamente relacionadas o que interactúan, que
transforman elementos de entrada en resultados.
Entrada Actividades Salida
Recurso
ISO 22301, CLÁUSULA 3.47
Recursos
•Todos los archivos, personal,
habilidades, información,
tecnología (incluyendo maqui-
naria y equipos), locales, y
suministros e información (ya
sea electrónica o no) que una
organización debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos.


Las Personas
Locales Tecnologías Suministros
Activos Información
Riesgo
ISO 22301
Riesgo (3.48)
Efecto de incertidumbre sobre los objetivos
Apetito por el riesgo (3,49)
Evaluación de Riesgo (3.50)
Gestión del riesgo (3.51)
Cantidad de riesgo que una organización está
Dispuesta a conseguir o conservar
Proceso general de identificación, análisis y
Evaluación de riesgos.
Actividades coordinadas para dirigir y controlar
Una organización con respecto al riesgo
K
S
I
R
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad (3.28)
Grado al que es probable que se produzca
un evento
Impacto (3.10)
Consecuencia (3.2)
Consecuencia evaluada de un resultado en
particular
Resultado de un evento
Parte interesada (interesados)
ISO 22301, CLÁUSULA 3.21:

Persona u organización que puede afectar, pueden verse afectados por,
o se consideran afectados por una decisión o actividad


Proveedores



Instituciones
financieras















Regulador




Público
Grupos
Interesados






Clientes







Medios









Accionistas
Consejo de
Administración
Equipo de
Gestión
Empleados
Sindicatos
Organización
Resilencia
ISO 22300, cláusula 2.1.17
Resilencia
Capacidad de adaptación
de una organización en un
ambiente complejo y
cambiante
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 5
Iniciando la implementación del SGCN
a. Enfoque para la implementación del SGCN

b. Metodología de implementación del SGCN

c. Alimentación con las mejores prácticas
Requisitos
ISO 22301, cláusula 5.4:

5.4 Funciones organizativas, responsabilidades y autoridades

La alta gerencia deberá asigna la responsabilidad y autoridad para :

Garantizar que el sistema de gestión se establece y ejecuta en
conformidad con los requisitos de esta Norma Internacional



1.1. Iniciando la Implementación del SGCN
Lista de actividades
Intención de
Implementar
un SGCN
1.1.1 Definición
del enfoque para
la implementación
1.1.2. Selección de
un marco
metodológico
1.1.3. Alineación
Con las mejores
Prácticas
1.2. Comprensión
De la organización
1.1.1. Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
1. Velocidad de
implementación
3. Expectativas
y alcance
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a través de la organización
2. Enfoque de sistemas
La aplicación general del
proceso de SGCN, no
mediante al aislamiento de
los procesos
3. Enfoque Sistemático
Aplicar las mejores
prácticas en gestión de
proyectos
4. Enfoque Integrado
Integración del SGCN o armonizarlo
con los demás requisitos de la
organización
5. Método iterativo
La rápida
Implementación del
SGCN respetando lo
Requisitos mínimos y
Cambiar a mejora
Continua a partir de
entonces
Directrices
Las Directrices de Aplicación
Recomendaciones

1. Evitar la integración de nuevas tecnologías
2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organización
5. Obtener el apoyo de la Dirección
6. Identificar y formalmente nombrar a un Director del proyecto del
SGCN




1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de
Implementación del SGCN
1. Planificar














2. Hacer













3. Verificar













4. Actuar













1.1. Inicio del
SGCN
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluación
del negocio
2.1 Análisis del
Impacto al Negocio
(AIN)
3.3 Revisión
por la Dirección
3.2 Auditoría interna
3.1 Seguimiento,
medición, análisis y
evaluación
4.1 No conformidades
y acción correctiva
4.2 Mejora continua
1.8 Información
documentada
1.9 Competencia &
sensibilización
2.7 Ejercicio y
pruebas
2.6 Comunicación
2.5 plan y
procedimientos de la
continuidad del negocio
2.4 Medidas de
Presentación &
Mitigación
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
de la organización
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
Metodología de Implementación Integrada para los Sistemas de
Gestión y las Normas (IMS)
Metodología de PECB para la aplicación del SGCN
Proyecto
Del
SGCN
Hacer
Planificar
Verificar
Actuar
4 FASES 21 Pasos 101 actividades Tareas sin definir
Enfoque y Metodología
Basado en las mejores prácticas
ISO 10006
Directrices para la gestión de
calidad en proyectos
PMBOK
Conjunto de Conocimientos
de la gestión de Proyectos
(PMBOK en idioma inglés
22313
Orientación para la
Implementación del sistema
de gestión de
Continuidad del Negocio
1.1.3. Alineación con las Mejores Prácticas
Uso de las normas ISO
ISO 27031
ISO 22301
ISO 22313
ISO 24762
ISO 27001
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de
SGCN
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 6
Comprensión de la organización


a. Comprensión de la organización
b. Identificación y análisis de las partes interesadas
c. Identificación y análisis de los requisitos y expectativas
d. Definición preliminar del alcance
1.2. Comprensión de la organización
1. Planificar





















































1.1. Inicio del
SGCN
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluación
del negocio
2.1 Análisis del
Impacto al Negocio
(AIN)
3.3 Revisión
por la Dirección
3.2 Auditoría
interna
3.1 Seguimiento,
medición, análisis y
evaluación
4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
1.8 Información
documentada
1.9 Competencia &
sensibilización
2.7 Ejercicio y
pruebas
2.6 Comunicación
2.5 plan y
procedimientos de la
continuidad del negocio
2.4 Medidas de
Presentación &
Mitigación
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
de la organización
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
2. Hacer 3. Verificar 4. Actuar
Requisitos
ISO 22301, cláusula 4.1:

Comprensión de la organización y su entorno
La organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que
afectan su capacidad de alcanzar los resultados esperados de su SGCN.

Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN.

La organización deberá identificar y documentar lo siguiente:

a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas
incluyendo su estrategia global de gestión de riesgos.
c) El apetito por el riesgo de la organización.

Para establecer el contexto, la organización deberá:
1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.

1.2. Comprensión de la organización
Lista de actividades
1.1 Iniciar el
SGCN
1.2.1 Misión
objetivos, valores
estrategias
1.2.2 Entorno
externo
1.2.3 Entorno
interno
1.2.5 Infraestructura
1.2.6 Partes
interesadas
1.2.7 Requisitos
del negocio
1.2.9 Alcance
Preliminar
1.2.8 Apetito por
el riesgo y
criterios de riesgo
1.2.4 proceso y
actividades
1.4 Alcance
1.3 Análisis
de brechas
1.2 Comprensión de la
organización
1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias
Misión


Valores
Los
objetivos
De
Continuidad
del Negocio
Estratégico

Alineamiento
Estrategias
Objetivos
Políticas Corporativas
Políticas de Continuidad
del Negocio
1.2.2. Análisis del Ambiente Externo


Consejos Prácticos
•La ISO 22301 no ofrece
enfoques prácticos para
analizar el contexto de una
organización

•Existen varias metodologías
para entender cómo
funciona una organización

•Lo importante es identificar
las características de los
factores ambientales internos
y externos que influyen en la
gestión de la continuidad del
negocio: misión, actividades
principales, organización
interna, partes interesadas, ttc.

Fortalezas Debilidades
Oportunidades
Amenazas
1.2.3. Análisis del Entorno Interno
Estructura organizativa y actores claves
Comprender la estructura y los
principales actores de la
organización relacionados con
el ámbito de aplicación en los
planos:

 Estratégico (¿Quién
establece las orientaciones
estratégicas?)
 Gobierno (¿Quién
coordina y gestiona las
operaciones?)

 Operacional (¿Quién
participa en las actividades de
producción y apoyo?)

1.2.4. identificación de los Principales Procesos y Actividades
3. Activos de
Información Claves
¿Cuáles son los
Activos de información
Claves de la
Organización?
1. Oferta de Productos
y servicios

¿Cuáles son los bienes y
Servicios producidos por
la organización?
2. Procesos de
Negocios
¿Cuáles so los
Procesos claves que
Permiten a la
Organización cumplir
Con su misión?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni
un inventario detallado de activos, sino sólo establecer una lista general
1.2.5. Identificación de la Infraestructura
ISO 22301, cláusula 3.20
Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organización

Categoría
(Ejemplo)

Ejemplos
Sitios
Oficinas, centro de datos, residenciad e los empleados, áreas seguras,
Sitio de fabricación, etc.
Utilidades
Electricidad, gas, aire acondicionado, control de humedad, etc.
Equipo industrial
Almacenamiento y manejo de equipos, cintas transportadoras, robots
industriales,
Servicio
Contabilidad, recursos humanos, compras, logística, etc.
Transporte
Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.
telecomunicaciones
Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnología de la
información
Servidor, ordenador portátil, red, sistema operativo, software de
contabilidad, etc.
1.2.6. Identificación y Análisis de las Partes Interesadas
Análisis de sus necesidades y expectativas
1. Identificar las
Necesidades y
expectativas
• Identificar las necesidades
y expectativas de todas las
partes interesadas
• Las necesidades y
expectativas puedes ser
implícitas o explícitas
• Ejemplo: la tasa de
disponibilidad del servicio
del 99,5%


3. Identificar roles y
responsabilidades
2. Validar las
necesidades y
expectativa
•Analizar las necesidades de
seguridad y confirmar si
responde a las
preocupaciones de la
organización en este momento

• Se puede hacer mediante el
envío de un cuestionario,
realizando entrevistas o facilitar
grupos de enfoque

• Definir lo que se espera de las
diferentes partes interesadas
en el proyecto: las f unciones,
las responsabilidades y los
niveles de participación que se
necesita

• Establecer un consenso con
ellos durante la etapa de
planificación de su
participación

Partes Interesadas
Influencia positiva y negativa
Partes interesadas negativas
•Por estas, el SGCN podría tener un impacto
• negativo

•Ejemplo: un departamento de recursos humanos
involucrado en la implementación del SGCN
sufrirá una pesada carga con la documentación
de los expedientes de los empleados
Partes interesadas negativas
• Los que se beneficiarían del SGCN

• Ejemplo: los clientes de una empresa de
servicios de TI



Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN
1.2.7. Identificación y Análisis de los Requisitos del Negocio
Legal y
Regulatorio

Todas las leyes y
reglamentos con los
debe cumplir la
organización

Estándares
Las normas internacionales
Y códigos de prácticas
relacionados con el sector,
que son voluntariamente
Implementados por la
organización
Mercado

Todas las obligaciones
contractuales que la
organización ha firmado
con sus partes
interesadas
Políticas Internas

Todos los requisitos
dentro de la organización:
las políticas internas, el
código de ética, normas de
trabajo, etc.
E
x
t
e
r
n
o
s

Obligatorios Voluntarios
I
n
t
e
r
n
o
s

Cumplimiento de los Requisitos Legales

• La organización debe cumplir con
las leyes y reglamentos aplicables

• En la mayoría de los países, la
aplicación de una norma ISO es una
decisión voluntaria de la organización,
no una condición jurídica

• Las organizaciones que operan en
varios lugares a menudo tienen que
satisfacer las necesidades de las
diferentes jurisdicciones

• En todos los casos, las leyes tienen
precedencia sobre las normas
Leyes y Reglamentos
Los cuatro sectores de la industria más afectados
 Requiere plan de copia de
seguridad de datos, plan de
recuperación ante desastres y un
plan de operación en el modo de
emergencia

 Requisitos para los registros
electrónicos
A
s
i
s
t
e
n
c
i
a

s
a
n
i
t
a
r
i
a

 Requiere plan de copia de
seguridad de datos, plan de
recuperación ante desastres y un
plan de operación en el modo de
emergencia

 Requisitos para los registros
electrónicos
G
o
b
i
e
r
n
o

 Requiere que los bancos tengan
planes de CN y RD para garantizar
el funcionamiento continuo y con el
fin de limitar las pérdidas

 Requiere que los planes de
Continuidad del Negocio (PCN) se
actualicen y prueben para
incorporar los riesgos detectados
 Requiere un PCN para garantizar
que la continúa misión de la
agencia durante una crisis

 Se requieren planes de restauración
de emergencia como condición
para servicios continuados


F
i
n
a
n
z
a
s

U
t
i
l
i
d
a
d
e
s

1.2.8. Determinación del Apetito por el Riesgo y los Criterios
de Riesgo
ISO 22301, cláusula 3.49 y 4.1
Apetito por el Riesgo
 Definición: Cantidad y tipo de
de que una organización está
dispuesta a conseguir o conservar

 Es el nivel de riesgo que una
organización está dispuesta a
aceptar, antes de que la acción es
considerada necesaria para
reducirlo

 Representa un equilibrio entre los
beneficios potenciales de la
innovación y las amenazas que el
cambio inevitablemente trae consigo
0
20
10
1. Aversión
2. Mínimo
3. Prudente
4. Abierto
5. Hambriento
30
40
50
60
70
80
Ejemplo de escala de apetito
por el riesgo
Criterios de Riesgo
ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5
1 Evaluación de riesgo
2 Impactos
3 Aceptación del riesgo
Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados
se definirán durante la evaluación del riesgo.
1.2.9. Definición Preliminar del Alcance





El alcance preliminar del SGCN debería incluir:

 Las principales características dela organización

 Procesos de negocio que podrían estar dentro del ámbito

 Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito
del aplicación propuesto

 Lista de ubicaciones geográficas en las que se aplicaría el SGCN

 Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros
sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)







Ejercicio 3
Comprensión de la organización
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 7
Análisis del sistema de gestión existente

a. Recopilación de la Información
b. Realización de una Entrevista
c. Análisis de Brechas
1.3. Análisis del Sistema de Gestión Existente












Hacer













3. Verificar













4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
4. Actuar
3.1 Seguimiento,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
2.1 Análisis del
Impacto al Negocio
(AIN)
2.2 Evaluación
del negocio
2.3 Estrategia de
Continuidad del
Negocio
2.4 Medidas de
Presentación &
Mitigación
2.5 plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y
pruebas
1.1. Inicio del
SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.8 Información
documentada
1.7 Estructura
de la organización
1.9 Competencia &
sensibilización
1. Planificar

2. Hacer
Lista de las actividades
Análisis del sistema de gestión existente
1.2 Comprensión
de la organización
1.4 Liderazgo y
planificación
1.3.1 Recolección
de información
1.3.2 Análisis
de brechas
1.3.3. Objetivos e
informe del análisis
de brechas
1.3.1. Recopilación de la Información
Técnicas
Cuestionarios
Encuestas
El envío de cuestionarios a una muestra de personas que representan
a las partes interesadas
Entrevistas
Revisión de la
documentación
Las entrevistas con personas la claves en diferentes niveles jerárquicos
dentro de la organización

Lectura y análisis de la documentación pertinente, las políticas internas,
procedimientos, informes de auditorías previas, dictámenes jurídicos,
contratos, etc.
Entrevista Individual y Grupal
Las entrevistas individuales sueles
Proporcionar información más
precisa y detallada y permiten tener
una evaluación del riesgo más
correcta
Individual Grupal
Entrevista
Las entrevistas grupales son efectivas
para comprender rápidamente las
operaciones de un proceso desde
perspectiva global
Realización de una Entrevista
Utilice preguntas abiertas y evite las preguntas cerradas o guiadas
Asegúrese de cubrir todos los temas, mientras controla el tiempo
Tome notas durante la entrevista
Realice preguntas para clarificar una respuesta o situación
1.3.2. Análisis de Brechas
Análisis de Brechas
Técnica para determinar los pasos para
pasar de la situación actual a un estado
futuro deseado.

1. Comparación del rendimiento actual
del sistema de continuidad del
negocio con los requisitos de la ISO
22301
2. Identificación de las necesidades de
mejora
3. Bases para la elaboración del plan
del proyecto del SGCN
Determinar el Estado Actual
El análisis de brechas y el nivel de madurez

Las preguntas típicas:

1. ¿El proceso está presente en la organización? ¿Está estandarizado?
2. ¿Es el proceso seguido por los usuarios relevantes?
3. ¿Está el proceso documentado? ¿Cómo?
4. ¿hay un responsable designado para la eficacia del proceso? ¿Están
determinadas las funciones y responsabilidades?
5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay
capacitación disponible?
6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido?
7. ¿El proceso está automatizado? ¿Se utilizan herramientas?
8. ¿Existe un proceso para actualizar el proceso?
9. ¿El rendimiento del proceso se compara con las prácticas de la industria?



1.3.3. Establecimiento de Objetivos y la Publicación de un Informe de
Análisis de Brechas
1
Inicial












4
Gestionado
cuantitativamente









0
No existe
2
Gestionado
3
Definido
Situación actual
Objetivo
5
Optimizado
Establecimiento de Objetivos
El análisis de brechas y el nivel de madurez

Usted puede fijar las metas para los procesos
según el nivel de madurez
No hay procesos
estándar
vigentes
Los procesos están
documentados
y comunicados
Procesos
monitoreados y
medidos
Procesos
optimizados
Hay implementación
de proceso caso
por caso sin ningún
método
0.
Inexistentes
1.
Iníciales

2.
Gestionadas
3.
Definidos
4.
Cuantitativa
Mente
gestionados
5.
Optimizados

Ausencia total de
Procesos
identificables
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 8
Alcance del SGCN


a. Límites de la organización

b. Los límites de las líneas de negocio

c. Límites Físicos

d. Ámbito de aplicación


1.4. Alcance del SGCN
n
1. Planificar

1.1. Inicio del
SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.8 Información
documentada
1.9 Competencia &
sensibilización
1.7 Estructura
de la organización
2.7 Ejercicio y
pruebas
2.6 Comunicación
2.5 plan y
procedimientos de la
continuidad del negocio
2.4 Medidas de
Presentación &
Mitigación
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluación
del negocio
2.1 Análisis del Impacto
en el Negocio (AIN) 3.1 Seguimiento,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
2. Hacer 3. Verificar 4. Actuar
Requisitos
ISO 22301, cláusula 4.3.2
Alcance del SGCN
La organización deberá:

a) Establecer las partes de la organización que se incluirán en el SGCN
b) Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las
obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las
responsabilidades legales y reglamentarias.
c) Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de
aplicación del SGCN.
d) Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con
clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus
necesidades, expectativas e intereses (según corresponda), y
e) Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado
de complejidad de la organización.



En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales exclusiones
no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la
empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de
impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos
aplicables.
Ámbito de la aplicación
Importancia

Una clara definición del alcance, centrándose en actividades clave de la
organización, es un factor de éxito importante para la implementación del SGCN.

Esto hará que sea más fácil:

1. Conseguir el apoyo de la dirección
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas



Nota importante: la extensión del ámbito de aplicación
es el primer factor que determina la cantidad
de esfuerzo requerido por el proyecto.
1.4. Ámbito de Aplicación del SGCN
Lista de actividades
1.2 Comprensión
de la organización
1.3 Analiza el
Sistema existente
1.5 Liderazgo &
planificación
1.6 Política
de CN
1.4.1 Límites
Organizacionales
1.4.2 Límites de las
Líneas de negocio
1.4.3 Los límites
físicos
1.4.4 Ámbito
de aplicación
Límites del SGCN
Las 3 dimensiones a considerar
del negocio
1.4.1 Definiendo los Límites Organizacionales del Alcance
Un proceso clave
Un departamento
La organización
como un todo
La organización y sus
partes interesadas
Nota: Donde una parte de una
organización, queda excluida del ámbito
de aplicación de su SGCN, la
organización debería documentar y
explicar la exclusión
1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de
Aplicación

• La organización debe identificar los productos y servicios en el ámbito

• Ejemplo:
 Un hospital podría incluir sólo los servicios de emergencia en el
ámbito de aplicación
 La oficina de correos podría incluir todos los servicios en el
ámbito de aplicación con la exclusión de la entrega de paquetes/
encomiendas
 Una fábrica podría mantener sólo la producción de un producto.
 Etc.


1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación
• Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como
externos incluidos en el SGCN

• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen

• En el caso de los sitios físicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el Ámbito de Aplicación del SGCN

El documento de definición del ámbito de aplicación debería incluir:

1. Las principales características de la organización

2. Los procesos de negocios cubiertos por el SGCN

3. La lista de productos y servicios y todas las actividades relacionadas en el
ámbito de aplicación del SGCN

4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.)

5. La lista de ubicaciones geográficas

6. Los detalles y motivos para las exclusiones
Declaración del Ámbito de Aplicación
Ejemplo

• La declaración del alcance es pública y, en general, está disponible en el
sitio web del organismo de certificación que haya expedido el certificado

• Esta declaración resumida estará escrita en el certificado. Deberá ser:
1. Tan simple como sea posible
2. Comprensible para alguien externo a la organización
3. Lo suficientemente precisa para expresar lo que está cubierto por
la certificación
Ejemplo: Este sistema de gestión de la continuidad del negocio
Se aplica al centro de distribución global proveyendo
Servicios de tercerización y contacto con el cliente
Y externalización de ABC S.A.
Cambios en el Ámbito de Aplicación
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Extensión del Ámbito de Aplicación
ISO 17021, cláusula 9.5.1

• Varias empresas auditadas prefieren definir un alcance reducido para una
certificación inicial y complementar una solicitud de extensión en los años
siguientes

• La auditoría de extensión se puede realizar durante una auditoría de control

• Si no se concede la certificación de extensión, la organización no pierde su
certificado actual
Ejercicio 4
Definición del ámbito de aplicación
Día 2
Implementador Líder

Certificado en la ISO 22031
Capacitación Implementador Líder ISO 22301
Sección 9
Liderazgo y planificación

a. Caso de negocios del SGCN
b. Equipo del proyecto
c. Objetivos del SGCN
d. Plan del proyecto
e. Plan de comunicación para el proyecto SGCN
f. Aprobación de la Dirección
1.5. Liderazgo y Planificación
1. Planificar














Negocio
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
2. Hacer
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y
pruebas
3. Verificar 4. Actuar
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
Requisitos
Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2

5.1 Liderazgo y compromiso
Las personas en los niveles superiores de la administración y otras en funciones de gestión en toda la
organización beberán demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la Dirección
La alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de :
- Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la
- continuidad del negocio y que sean compatibles con la dirección estratégica de la organización.
- Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio
- Comunicar la importancia de una buena gestión de la continuidad del negocio y de
conformidad con los requisitos del SGCN
- Asegurar que el SGCN logre el resultado (s) esperados(s)
- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN
- Promover la mejora continua: y
- Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus áreas de responsabilidad
7.1 Recursos
La organización deberá determinar y proporcionar los recursos necesarios para el SGCN


1.5. Liderazgo y Planificación
Lista de actividades

1.4 Alcance
(ámbito de aplicación)
del SGCN
1.6 Política de CN
1.5.1 Caso de
negocio
1.5.2 equipo de
proyecto del SGCN
1.5.3
Determinación
de los objetivos
1.5.4 Requisitos
de los recursos
1.5.5 Plan del
proyecto del SGCN
1.5.6 Plan de
comunicación
1.5.7 Aprobación
Por la Dirección
1.5.1. Crear y Presentar un Caso de Negocio
Un caso de negocio es:
1. Una herramienta de apoyo de
apoyo de la Dirección para la
toma de decisiones
2. Un documento que se utiliza
para promover el proyecto
del SGCN
3. Una primera estructuración
del proyecto

Contenido del Caso de Negocios
PMBOK
1.
Medioambiente
2. Finalidad y
objetivos
3. Resumen
Del proyecto
4. Beneficios
esperados
5. Alcance
preliminar
9. Funciones y
Responsabili-
dades
6. Factores
Críticos de éxito
7. Anteproyecto
10. Recursos
necesarios
8. Plazos e
hitos
11. Presupuesto 12. Restricciones
Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK
pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Equipo del Proyecto
Partes Interesadas
Gerente
del SGCN
Director
del proyecto
Equipo de Gestión del
Proyecto
Defensor
Del
Proyecto
Del SGCN
Director del Proyecto SGCN
Competencias requeridas

El director del proyecto SGCN debe tener los conocimientos y habilidades en las
siguientes áreas:

1. Conocimiento y habilidades en Gestión de Proyectos
2. Conocimiento de la organización y su entorno
3. Conocimiento de gestión de la continuidad del negocio
4. Habilidades interpersonales (comunicación efectiva,
negación, resolución de problemas,
habilidades de liderazgo, etc..)
Comité Directivo
Durante el proyecto SGCN
Objetivo Asegurar la planificación y el seguimiento del SGCN
Misiones
Miembros
Frecuencia de las
reuniones
1. Planificar la implementación del SGCN
2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Dirección
3. Definir las funciones y responsabilidades para el proyecto SGCN
4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (después de la aplicación)
5. Seleccionar el método de análisis de riesgo y el AIN
6. Gestionar los recursos
7. Realizar revisiones de los proyectos de la aplicación del SGCN
Director del Proyecto SGCN, responsables de los servicios claves que
participan en los siguientes dominios de aplicación (TI, auditoría, legales,
finanzas, recursos humanos, seguridad física etc.)
Mensuales
1.5.3. Determinación de los objetivos del SGCN
ISO 22301, cláusula 3.32 y 6.2
Determinar los objetivos
2
3 1
Una mayor flexibilidad
(resilencia) de la
Empresa
• ¿Puede el SGCN mejorar
la resilencia de la
organización en caso de
un incidente perjudicial?
Gestión de continuidad
del negocio eficiente
• ¿Puede el SGCN
mejorar la eficacia de la
gestión de continuidad
del negocio?

Ventaja del negocio
• ¿L a implementación de
un SGCN puede
proporcionar ventajas
competitivas
Determinar los Objetivos
Ejemplos

Los objetivos relacionados con la aplicación del SGCN pueden ser:

 Velar por el cumplimiento de las obligaciones legales, reglamentarias y
contractuales de la organización
 Demostrar la debida diligencia y el cuidado debido de la gestión
 Inspirar confianza de las partes interesadas de la organización
 Proteger la disponibilidad de las actividades fundamentales de la organización
 Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores
prácticas
 Mejorar el tiempo de respuesta a incidentes y desastres
 Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.


1.5.4. Determinación de los Requisitos de Recursos para el
Proyecto SGCN
ISO 22301, cláusula 8.3.2

• Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto
• El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
• El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
información
• Generalmente hay un desfase entre el tope de la inversión de un proyecto
y las demandas del proyecto…




1.5.5. Elaboración del Plan del Proyecto SGCN
PMBOK
Un método iterativo
Contenido
Del
Proyecto
Recursos Costos
Retrasos Riesgos
Plan del
proyecto
Contenido del plan del proyecto SGCN
PMBOK

Un plan de proyecto incluye lo siguiente:
1. Carta del Proyecto
2. Descripción del enfoque o estrategia de gestión de proyectos
3. Formulación del contenido del proyecto, con resultados y objetivos del
proyecto
4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”)
5. Costos estimados, fecha de inicio prevista, y la asignación de
responsabilidad
6. Referencias; medición de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
Revisión y Presentación del Plan del Proyecto SGCN
PMBOK

Revisión de los objetivos del proyecto y los factores de éxito
Revisión de las funciones
Definición de la frecuencia y el contenido de las reuniones de progreso
Revisión de los documentos del proyecto
Estimación de los recursos internos necesarios
Definición de la planificación y sucesivas fases de ejecución
Revisión de las presentaciones que deben proveerse
Revisar el método propuesto
Destacar los riesgos e incertidumbres inherentes en el proyecto
1.5.6. Plan de Comunicación para el Proyecto SGCN
Norma ISO 22301, cláusula 7.4

• Cuando se establece el SGCN, la organización necesita tener comunicación
efectiva y procedimientos de consulta para el intercambio de información con
las partes interesadas

• La organización debería disponer de una comunicación eficaz como parte de
su programa de sensibilización

• El plan de comunicación será detallado en el Día 3








1.5.7. Aprobación por la Dirección del Proyecto SGCN
Norma ISO 22301, cláusula 5.2
Beneficios Claves del
Compromiso de la Dirección


•Mayor conocimiento de las leyes
• óptima asignación de recursos
• Identificación de los activos críticos
• Procesos y plan de la continuidad
del negocio controlados y medidos



Funciones de la Dirección
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia de
las reuniones
Alinear el SGCN con los objetivos y estrategia de negocio
1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la
organización
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales
3. Validar las funciones y responsabilidades de las principales partes interesadas en el
proyecto
4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del
riesgo
5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en
conformidad con los requisitos SGCN
6. Proveer de recursos suficientes para la implementación del SGCN
7. Asegurar que se llevan a cabo auditorias internas
8. Hacer revisión del SGCN por la dirección
9. Prestar apoyo al mejoramiento del SGCN
Alta Dirección (CEO, CIO, CFO…)
Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis
de riesgo e informe del AIN, revisión por la dirección, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas
Capacitación Implementador Líder ISO 22301
Sección 10
Política de la continuidad del negocio

a. Crear modelos de política

b. Proceso de redacción de política

c. Aprobación por la Dirección

d. Publicación

e. Capacitación, comunicación y sensibilización

f. Control, evaluación y revisión
1.6. Política de la Continuidad del Negocio

1. Planificar




























3. Verificar















4. Actuar














2. Hacer
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
Requisitos

Norma ISO 22301, cláusula 5.3

Política
La alta dirección deberá establecer una política de continuidad del negocio que:
a) Sea apropiada para los fines de la organización
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN

La política del SGCN deberá:
- Estar disponible como información documentada
- Ser comunicada dentro de la organización
- Estar a disposición de todas las partes interesadas, según corresponda
- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
produzcan cambios significativos

La organización deberá retener información documentada sobre la política
De continuidad del negocio.
Definición de Política de la Continuidad del Negocio
Norma ISO 22399, cláusula 3.19

Las intenciones generales y la dirección de la organización, relacionadas con su
preparación ante incidencias y continuidad operacional, tal y como ha sido
expresado por la alta dirección


1.6. Política de la Continuidad del Negocio
Lista de actividades
1.5 Liderazgo &
planificación
1.6.4 Publicación
1.6.3 Aprobación
por la Dirección
1.6.2 Redacción de
la Política
1.6.1 Proceso de
redacción de la
Política
1.6.5 Capacitación,
comunicación y
sensibilización
1.6.6 Control,
evaluación y
revisión
1.7 Estructura
organizativa
1.6 Política de C. N.
1.6.1. Definición del Proceso de Redacción de la Política
Proceso General
2.
Definir los
componentes
de la política



3.
Redactar
las
Secciones



4.
Validación
de los
contenidos y
el formato


5.
Aprobación
por las
Partes
Interesadas


1.
Designar una
Persona
Responsable



Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación
1.6.2. Redacción de la Política de Continuidad del Negocio
Temas que suelen incluirse en la política

1. Un marco que permite definir objetivos y establecer una dirección y directrices
de política para la gestión de Continuidad del Negocio

2. Una consideración de las obligaciones legales y reglamentarias impuestas a la
organización, así como otros compromisos

3. La alineación de la gestión de continuidad del negocio con los objetivos
estratégicos de la organización

4. Atribución de las funciones y responsabilidades

5. Aprobación oficial de los anteriores por la Dirección
1.6.3. Aprobación por la Dirección



La política del SGCN debe:

Demostrar el compromiso de la dirección

Ser aprobada por la Dirección

La política debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobación puede pertenecer a un comité:

Junto de Directores
Consejo de Administración








1.6.4. Publicación de la Política de Continuidad del Negocio
Principales modos de comunicación
Intranet
Distribución de
Copias en papel
Reunión
Sesión de orientación
de nuevos empleados
1.6.5. Capacitación, Comunicación y Sensibilización
Plan de comunicación
Público de destino
Difusión (reuniones, intranet,
extranet, documentos…)
Comunicación
Sensibilización Capacitación
¿Objetivo
alcanzado?
Control, evaluación y revisión
Proceso
recurrente
No
Si Nota: Esta temática se
discutirá durante el
Día 3
1.6.6. Control, Evaluación y Revisión
Control

Evaluación

Revisión

• Mantener
• Asegurar
conformidad
• Medir el grado de
conformidad
Capacitación Implementador Líder en la ISO 22301
Sección 11
Estructura Organizativa

a. Estructura de gestión

b. Estructura Orgánica para la gestión de la continuidad del
negocio

c. Designación de un coordinación de la continuidad del negocio

d. Roles y responsabilidades de las partes interesadas

e. Roles y responsabilidades de los comités clave

f. Equipos de la continuidad del negocio

g. Proceso de decisión y de control


1.7. Estructura Organizativa

1. Planificar















2. Hace















3. Verificar















4. Actuar














4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y
pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
Norma ISO 22301, cláusula 5.4

Funciones, responsabilidades y autoridades organizativas

La alta dirección deberá asegurarse de que las responsabilidades y autoridades
para funciones pertinentes sean asignadas y comunicadas dentro de la
organización.

La alta gerencia deberá asignar la responsabilidad y autoridad para :

a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad
con los requisitos de esta Norma Internacional; e


b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección




Estructura organizativa
Principios

• Para ser eficaz, un programa de continuidad empresarial debería ser un
proceso integrado de gestión impulsado desde las altas esferas de la
organización, apoyado y promovido por los principales directores y
ejecutivos

• Debería ser administrado en los niveles operativos y de la organización

• Puede requerirse una serie de profesionales y personal de otras disciplinas
relacionadas con la gestión y los servicios necesarios para apoyar y gestionar
el programa

• La continuidad de recursos necesarios, dependerá del tamaño y la diversidad
de la organización
1.7. Estructura Organizativa
Lista de actividades
1.6 Política de
continuidad
del negocio
1.7.1 Estructura
de gobierno y
organización
1.7.2 Coordinador
de la continuidad
del negocio
1.7.3 Roles y
Responsabilidades
de las partes
interesadas
1.7.6 Proceso de
decisión y control
1.7.5 Equipos de la
continuidad
del negocio
1.7.4 Roles y
Responsabilidades
de los comités
principales
1.8 Información
documentada
1.7 Estructura organizativa
1.7.1. Definición de la Gestión de Gobierno y de la Estructura
Orgánica para la Gestión de Continuidad del Negocio
Estructura de gobierno
Junta de
Directores
CEO
Comité de Crisis
Comité de
Continuidad del
negocio
Operaciones
Recursos
humanos
Auditoría
Interna
Servicios
Administrativos
Tecnología de
la información
(TI)
Ventas &
Marketing
Continuidad
del Negocio
Partes Involucradas
Actores Principales
Unidad de negocio 1













Unidad de negocio 2













Gestión de TI













Gestión de
Instalaciones












Organismos Externos





Comité de Crisis Alta Dirección
Medios de comunicación
Medios de


Director de la Continuidad del
Negocio
Comité de Continuidad del
Negocio
Plan de
Continuidad
del Negocio
Seguridad pública
Autoridades del Gobierno
CERT
Director del Sitio
Coordinador de gestión
de CN del Sitio
Plan de
Continuidad del
Negocio adaptado
Para la unidad
Los
Procedimientos
locales
Director del Sitio
Coordinador de gestión
De CN del Sitio
Director del Sitio
Coordinador de
Recuperación de TI
Gerente de las
Instalaciones
Coordinador de la
Respuesta de
Emergencia
Plan de
Continuidad del
Negocio adaptado
para la unidad
Planes de
Recuperación y
Restauración de TI

Planes de
Recuperación y
Restauración de
TI
Los
Procedimientos
de TI
Planes de
Respuesta de
Emergencia
Procedimientos
De emergencia
Procesos de Negocios Procesos de Soporte
1.7.2. Designación de un Coordinador de la Continuidad del Negocio
Funciones y responsabilidades

• El Coordinador de la continuidad del negocio tiene la responsabilidad general de
la concepción, el desarrollo, la coordinación, ejecución, administración,
capacitación, programas de sensibilización, y el mantenimiento del Plan de
continuidad de Negocios y el SGCN

• El CCN debería estar en una función de nivel de dirección

• Es responsable de la cooperación y colaboración en la Continuidad del Negocio
de los gerentes, usuarios, administradores de sistemas, auditores, personal de
seguridad, y habilidades de especialistas en áreas como los seguros, las
cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos


1.7.3. Definir las Funciones y Responsabilidades de las Partes
Interesadas
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI
Encargado de
Seguridad de la
Información
Encargado de RRHH
Encargado de
Patrimonio
Oficial de RRPP
Encargado del centro
De servicios / ”Help
Desk”
Responsable de la
Gestión de documentos
Auditor interno
Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación
Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección
contra incendios, mantenimiento eléctrico, etc.)
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
gestión de incidencias, etc.)
Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes
interesadas externas
Validación del Cumplimiento del SGCN
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación
de las pruebas
Coordinar las actividades relativas a la gestión de seguridad de la información
Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones
1.7.4. Definición de la Funciones y Responsabilidades de los
Comités Claves
1. Comité Ejecutivo y Comité de Crisis
2. Comité de Continuidad del Negocio
3. Comités Operativos y
Comité Local de CN
1.7.5. Creación de los Equipos Necesarios de Continuidad del
Negocio
Ejemplo
Líder del Equipo de
Gestión de Crisis
(Director Ejecutivo)
Gerente de
Evaluación de
Riesgo
Coordinar de
la Continuidad
del Negocio
TI/RR.HH./
Legales/
Finanzas
Representantes de
La unidad de
Negocio
Equipo de
Respuesta de
Emergencia
Equipo de
Evaluación de
Daños
Equipo de
Relaciones
Públicas
Equipo de
Recuperación
Equipo de
Restauración
Equipo de
Telecomuni-
caciones
Equipo de
Obtención de
Recursos y
Logística
Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisión y Control
Modelo de la estructura de comando y control
Nivel 2
Táctico
Nivel 3
Operativo
Nivel 1
Estratégico
Capacitación Implementador Líder ISO 22301
Sección 12
Información documentada

a. Requisitos de la información documentada
b. Valor de la documentación
c. Creación de plantillas
d. Gestión de la documentación
e. Implementación de un sistema de gestión de
documentos
f. Redacción de la información documentada de
l SGCN
g. Control de los registros


1.8. Información documentada

1. Planificar

















2. Hacer

















3. Verificar















4. Actuar














1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.6 Política de CN
1.5 Liderazgo y
planificación
1.8 Información
documentada
1.7 Estructura
organizativa
1.9 Competencia y
sensibilización
2.1 Análisis del
Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y
pruebas
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
Requisitos
Norma ISO 22301, cláusula 7.5

7.5 Información documentada
7.5.1 Generalidades

El SGCN de la organización incluirá:
- La información documentada requerida por esta norma internacional
- Información documentada determinada por la organización como necesaria para la
eficacia del SGCN

7.5.2 Creación y actualización

Al crear y actualizar la información documentada, la organización deberá garantizar la
adecuada:
a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia),
b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por ejemplo,
papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.

Requisitos
Norma ISO 22301, cláusula 7.5
7.5.3 Control de la información documentada
La información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para
asegurar que:
a) Está disponible y apta para su uso, cuándo y dónde sea necesario,
b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida de
integridad).
Para el control de la información documentada, la organización deberá abordar las siguientes
actividades, según corresponda:
- Distribución, acceso, recuperación y uso,
- Almacenamiento y conservación, incluida la conservación de la legibilidad,
- Control de los cambios (p. ej., control de versiones).
- Retención y disposición
- Recuperación y uso,
- Preservación de la legibilidad (es decir lo suficientemente claro para leer), y
- Prevención del uso no intencionado de información obsoleta.
La información documentada de origen externo determinada por la organización como necesaria
para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y
controlada.
Cuando se establece el control de la información documentada, la organización deberá asegurarse de que exista
una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la
modificación no autorizada o la eliminación).
Requisitos de Información Documentada
Resumen
Contenido



Formato
Ciclo de Vida
del Documento
Documentación del Sistema de Gestión
Tipos de información documentada
Descripciones
Del
Marco de Gestión
Describe los procesos,
Procedimientos y controles
(quién, qué, cuándo, cómo,
Dónde y por qué)
Describe en detalle cómo se llevan a
Cabo las tareas y actividades
Proporciona la evidencia objetiva del
Cumplimiento de los requisitos de la norma
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Políticas, el alcance, revisión por la dirección,
y otros documentos estratégicos
Descripción del proceso, actividades,
controles y procedimientos
Hojas de cálculo, formularios
listas de control, etc.
Registros
Valor de la Documentación
Notas importantes

• En muchas organizaciones, la creación de la
documentación está desproporcionada

• La preparación de los documentos no debería
ser un objetivo en sí mismo. Esta debe ser
actividad de valor añadido, soporte del SGCN

• La documentación que es demasiado es difícil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza…

• Cada organización determina la extensión de
la documentación necesaria y los medios de
comunicación a utilizar
1.8 Información documentada
Lista de actividades
1.7 Estructura
organizativa
1.9 Competencia y
sensibilización
1.8.1 Creación de
plantillas
1.8.2 Control de
los documentos
1.8.3
Sistema de gestión
de documentos
1.8.4 Establecer la
Documentación
del SGCN
1.8.5 Control de
los registros
1.8 Información documentada
1.8.1. Creación de Plantillas
Tipo de documentos
Tipo Objetivos
Política Intenciones y directrices generales de una organización formalmente expresadas por la Dirección
Procedimiento
Directrices
Plan de
Continuidad del Negocio
Carta
Esquema de proceso
Normativa de proceso
Formulario
Guía
Hoja de datos
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las
directrices y las normas de apoyo se aplicarán realmente en un entorno operativo
Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas
prácticas a seguir
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar
la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en
el caso de una crisis
Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios
empleados, proveedores o prestadores de servicios
Esquema que ilustra el trabajo de un proceso
Explicación detallada de funcionamiento de un proceso como una descripción
Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre una
operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)
Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación
Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestión de la documentación
El desarrollo de un proceso de gestión de la documentación y
redacción de un procedimiento
c) Clasificación, indexado y
seguridad
b) Identificación
a) Creación
d) Modificación
e) Aprobación
f) Distribución
g) Uso adecuado
h) Conservación y
archivado
i) Eliminación
1.8.3. Implementación de un Sistema de Gestión de Documentos
• Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su
información
• Custodiar el ciclo de visa complement0 de los documentos

• Garantizar la trazabilidad

• Garantizar el acceso a los documentos




Optimizar búsqueda
y actualización
1.8.4. Redacción de la Información Documentada Requerida del
SGCN
Como mínimo, el SGCN debería contener la siguiente documentación:

1. El contexto de la organización
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2)
4. Política de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)
7. Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
9. Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditorías Internas (9.2)
13. Revisión por la dirección (9.3)
14. No Conformidades y acciones correctivas (10.1)
Información Documentada que puede ser Requerida
Además puede ser requerida la información documentada que abarca la siguiente
información necesaria para asegurar la eficacia del SGCN:

1. Los contratos con clientes y los niveles de servicio
2. Resultados de los análisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinación y selección de las estrategias de continuidad del negocio
5. Resumen de respuesta ante incidentes
6. Programa de sensibilización
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitación para la organización y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores
11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspección, mantenimiento y calibración
13. Después de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunión de la revisión del SGCN

Crear una Lista Maestra de Documentos
Buenas prácticas

Es una buena práctica crear una lista única de todos los documentos relacionados
con el SGCN con información básica tal como:

 El identificador único
 Título
 El tipo de documento
 Los nombres, funciones y servicios de los autores (y / o los propietarios)
 El nombre del responsable y la fecha de la aprobación
 Fecha de emisión
 Fecha de la versión y de la revisión
 Numeración de páginas
 Nivel de clasificación


1.8.5. Control de los Registros
o Los controles para garantizar la identificación, almacenamiento, protección,
disponibilidad, tiempo de conservación y eliminación de registros deben estar
documentados e implementados

o Los registros deben ser protegidos, permanecen legibles, fácilmente
identificables y accesibles
o Ejemplos de registros:

 Las actas de reunión
 Certificados de capacitación
 Enviar cartas a las partes interesadas
 Los informes de auditoría
 Informe de resultados de pruebas






Lista Maestra de Documentos
Ejemplo
Identificación Almacenamiento Responsabilidad
Duración de la
conservación
Clasificación
Registro de
capacitación
Departamento de
Recursos Humanos
Director de
Recursos Humanos
3 años Uso interno
Hoja de informe
De incidentes
Centro de Servicios
Director
Centro de Servicios 2 años Confidencial
Ejercicios y
Registros de las
Pruebas del
SGCN
Departamento de
Gestión de Riesgos
Director de CN

5 años Muy confidencial
7 años
Secretario del
Comité Ejecutivo
Comité Ejecutivo
Revisión por la
Dirección
Muy confidencial
Gestión de la documentación
Problemas más comunes
Problema Causa potencial
Dificultad para encontrar o gestionar un
documento
Cantidad demasiado grande de documentos mal
clasificados y no catalogados
Incapacidad para extraer rápidamente
información útil de un documento
Documento voluminoso, demasiado literario, a
menudo con varios anexos
Actualizaciones de carácter tedioso
Los procesos de gestión de documentos no están
establecidos o poco explotados
Los empleados relacionados con las operaciones
no han participado en la redacción de
documentos
Diferencia entre los registros y procesos de
negocio reales
Textos o gráficos ambiguos / incomprensibles
No hay validación con los usuarios, la falta de
formación y sensibilización, editor incompetente
Proliferación de versiones de los documentos Ningún sistema de gestión de documentos en uso
Ejercicio 6
Lista maestra de documentos
Capacitación Implementador Líder en la ISO 22301
Sección 13
Competencia y sensibilización

a. Diferencia entre capacitación, sensibilización y comunicación
b. Definición de un programa de desarrollo de competencias
c. Evaluación de las competencias requeridas
d. Definición de un programa de capacitación
e. Definición de un programa de sensibilización
f. Evaluación y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilización

1. Planificar

















2. Hacer

















3. Verificar















4. Actuar














4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión
por la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.7 Estructura
organizativa
1.6 Política de CN
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 7.2 y 7.3

7.2 Competencia
La organización deberá:
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada información documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la re-
asignación de los empleados; o la contratación o subcontratación de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organización deberán tener en cuenta:
a) La política de continuidad del negocio,
b) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad del
negocio,
c) Las consecuencias de no conformidad con los requisitos del SGCN
d) Su papel durante los incidentes disruptivos.


Competencia y Capacitación
Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2

 Capacidad demostrada
para aplicar
conocimientos y
habilidades

Competencia
Capacitación
 Proceso para
proporcionar y desarrollar los
conocimientos, las habilidades
y las conducta para cumplir
con los requisitos

Competente
Habilidades
Habilidades
de
conducta
Conocimiento
C
o
n
o
c
i
m
i
e
n
t
o
s

d
e

Contexto



Capacitación, Sensibilización y Comunicación



Diferencias
Sensibilización Comunicación Capacitación
Adquisición de
habilidades
Cambio de hábitos Estar informado
Dirigida al intelecto
Dirigida principalmente a
las emociones y el
comportamiento
Dirigida al intelecto
¿Qué habilidades
Tienen que adquirir?
¿Qué comportamiento
queremos reforzar o
cambiar?
¿Qué mensajes
enviamos?
1.9. Competencia y Sensibilización
Lista de actividades
1.7 Estructura
organizativa
1.8.2 Evaluación
de las
competencias
necesarias
1.9.1 Definir un
programa de
desarrollo de
competencias
1.9.3 Definir un
programa de
capacitación
1.9.4 Definir un
programa de
sensibilización
1.9.5 Evaluación
y mejora continua
1.8 Información
documentada
2.1 AIN
1.9.1. Definición de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 cláusula 7.2

La organización debería desarrollar un programa de desarrollo de competencias
que incluya:
 La evaluación de competencias para las función (es) que se llevarán a
cabo
 Creación de un programa de desarrollo personal que identifica
capacitación, supervisión, etc.
 Servicios de capacitación y tutoría incluyendo la selección de métodos
y materiales adecuados
 Intercambio de Conocimientos
 Trabajo compartido
 Contratación de una persona o personas competentes
 Evaluación y mejora continua del programa
1.9.2. Evaluación de las Competencias Requeridas
Ejemplo
Funciones
Función A
Función B
Función C
Función D
Función E
Políticas Crisis AIN Legales Auditorias
A
B B R
C
B C
B
C
B A C
A A
A
A
Experiencia Conocimiento Nivel de Sensibilización
1.9.3. Definición de un Programa de Capacitación
Tipos de programa y sus objetivos
Sesión de Iniciación
Educación continua
Educación Básica (Universidad)
Obtener información sobre temas
específicos
Mantenimiento de las habilidades y
adquisición de habilidades especificas
Adquisición de habilidades generales
Principales Métodos de Capacitación
Norma ISO 10015, cláusula 4.3
Taller
 Cuando se selecciona una
solución de capacitación para
cerrar las brechas de
competencia, deberían ser
especificadas y documentadas
las necesidades de
capacitación

 Deberían enumerarse los
posibles métodos de
capacitación a fin de satisfacer
las necesidades de formación.
La forma adecuada de
capacitación dependerá de los
recursos enumerados, las
limitaciones y objetivos


Aprendizaje
a distancia
Auto
capacitación
Aprendizaje
Métodos de
capacitación
Curso
en el sitio o
fuera del
sitio
Instrucción
en el puesto
de trabajo
1.9.4. Definición de un Programa de Sensibilización
Temas principales
Las personas que realizan trabajos en el control de la organización deberán tener
en cuenta:

La política de continuidad del negocio,
Su contribución al SGCN prevista
Los beneficios de la continuidad del negocio
Su papel durante los incidentes
Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio
de la organización es un Proceso en curso
1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de
Competencias
El objetivo de la evaluación es confirmar que se han cumplido
los objetivos de ambas competencias de la organización y las
individuales, es decir, el programa de desarrollo ha sido
efectivo
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 14
Análisis de Impacto en el Negocio (AIN)

a. Propósito de un AIN

b. Planificación de un AIN

c. La recopilación de datos

d. Análisis de los datos

e. Validación de los datos

f. Presentación del informe del AIN
2.1. Análisis del Impacto en el Negocio (AIN)

1. Planificar















2. Hacer














3. Verificar














4. Actuar














4.1 No
conformidades
y acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 8.2.2
Análisis del impacto en el negocio

La organización deberá establecer, implementar y mantener un proceso de evaluación formal y
documentado para determinar las prioridades, objetivos y metas de continuidad y recuperación.
Este proceso deberá incluir la evaluación del impacto de interrumpir las actividades que
apoyan las actividades de productos y servicios de la organización.

El análisis del impacto en el negocio deberá incluir lo siguiente:
a) Identificación de las actividades que favorezcan la presentación de los productos y
servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo
aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas
serían inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios
Propósito de un AIN
Obtener una comprensión de los productos y servicios clave de la
organización y la actividades que los ofrecen

Determinar las prioridades y los plazos para reanudar actividades

Identificar los principales recursos que puedan ser necesarios para la
continuidad y recuperación

Identificar las dependencias (tanto internas como externas)
2.1. Análisis del Impacto en el Negocio (AIN)
Lista de actividades
1.9 Competencia y
capacitación
2.2 Evaluación del
Riesgo
2.1.1 Planificación
del AIN
2.1.2 Recolección
de los datos
2.1.3 Análisis de
los datos
2.1.4 Validación
de los datos
2.1.5 Presentación
del Informe del AIN
2.1.1. Planificación de un AIN
Actividades
1
Determinación del enfoque y el método de recolección de datos
2
3
4
Identificación de las actividades que soportan los productos y servicios
clave
Selección de los impactos que se van a analizar
Preparación de las herramientas del AIN
1. Determinación del Enfoque y el Método de Recolección de
Datos




Determinación del enfoque
El enfoque puede ser cuantitativo (con cálculo de consecuencias financieras) y/o
cualitativo (evaluación de impactos no financieros como la reputación, el servicio
de atención al cliente, etc.)
Determinación del método
La recopilación de datos del AIN puede hacerse con una combinación de métodos
como taller, entrevistas y cuestionario
Crear un equipo de AIN e identificar a quienes van a responder las entrevistas (de
las funciones de negocio y las funciones de apoyo)
Identificación de los participantes
II. Identificar la Actividades que dan Apoyo a sus Productos y
Servicios Principales
NADA
Las actividades a considerar
• Las que apoyan la misión de la
organización y que son vitales para
sus logros

• Relacionadas con obligaciones
legales y/o contractuales
Principales Actividades de Negocio
Ejemplo basado en la cadena de valor de Porter
Gestión de Infraestructuras
Gestión de Recursos Humanos
Finanzas y contabilidad
I+D Marketing Diseño Producción Distribución Atención al
cliente
Investigación
Y Desarrollo
Ventas
Marketing Diseño
Suministros
Transformación
Control de
calidad
Fabricación
Exportación
Embalaje
Servicios
Pos venta
III. Selección de los Impactos a Analizar
L
a
s

i
n
t
e
r
r
u
p
c
i
o
n
e
s


IMPACTOS
SANCIONES
• Contractuales
• Regulatorias
• Legales

PÉRDIDA DE INGRESOS
• Pérdida Directa
• Pagos Compensatorios
• Ingresos Futuros Perdidos
• Pérdida de Inversión
DAÑOS A LA
REPUTACIÓN
• Clientes, Proveedores,
Socios, Bancos
Mercados Financieros
• Calificaciones de
Crédito

GASTOS ADICIONALES
• Costo de la Recuperación
• Gastos Extras
• Mayor Riesgo de Fraude
• Una Mayor Tasa de Error
• Los Gastos de Viaje
• Los Empleados Temporales
RECAUDACIONES
RETRASADAS
• Las Pérdidas de
Facturación
• Descuentos Perdidos

PÉRDIDA DE PRODUCTIVEDAD
• Número de Empleados afectados
• Número de horas perdidas
• % de Capacidad perdida
IMPACTOS EN
SEGURIDAD
• La pérdida de vida o
lesiones
• Irritación de las vías
respiratorias
• Enfermedad


IMPACTO AMBIENTALES
• Contaminación del suelo
• Contaminación del aire
• Contaminación del agua
• Devastación de la flora y la
fauna
IV. Preparación de las Herramientas del AIN
Principales herramientas

o “Peor de los casos”

o Cuestionario

o Guía para al responder a los cuestionarios

o Guía para facilitadores y entrevistadores de talleres

o El Programa y la presentación de un taller

o Presentación de lanzamiento

o El software del AIN
2.1.2. La Recopilación de Datos
Durante el análisis del impacto en el negocio, es recomendable recoger datos
a través de cuestionarios, entrevistas, o talleres

o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero
estos datos se deberían recopilar sólo para respaldar o complementar los datos a
través del contacto directo con expertos en la materia

o Durante la fase de recolección de datos, la siguiente información debería ser
recopilada:

 Evaluación de los impactos
 Identificación de los objetivos de continuidad del negocio, como RTO, RTP y
MBCO
 Documentación de actividades prioritarias
I. Evaluación de los Impactos
Ejemplo
Umbrales de Impacto
4
Critico
1
Limitado
3
Grave
2
Importante
Riesgo
Financiero
Impacto a la
Funcionalidad


Impacto en la
Imagen Pública


Compromiso de
Responsabilidad


Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Sin más retraso
después de 3
meses
Sin más retraso
después de 1
mes
Sin más retraso
después de 2
semanas
Sin más retraso
después de 1
semana
Limitada
Divulgación de
Incidentes
Significativo
Cambio de
Imagen Pública
Importante
Cambio de
Imagen Pública
Cambio
Permanente de la
Imagen Pública
Quejas de los
Clientes

Cuestionamiento
de los Contratos
Actuales
Cancelación de
los Contratos
Actuales
Destitución del
Director General
/o miembros de la
Dirección
Impacto
Económico,
Humano y Social
Riesgo Financiero
Quiebra


Pérdida
Financiera
Limitada
Pérdidas
Financieras
Importantes
Deudas
Financieras

II. Identificación de los Principales Recursos y Dependencias
Vinculados a los Procesos Críticos
Ejemplo con un proceso de producción
III. Identificación de los Objetivos de Continuidad del Negocio
RPO y RTO
Objetivo de punto de recuperación
(RPO, por sus siglas en inglés)
Objetivo de tiempo de
Recuperación (RTO)
• Punto en que la información
utilizada por una de las actividades
debe ser restaurada para que la
actividad pueda funcionar tras la
reanudación.
• Periodo de tiempo después de un
incidente en el que: el producto o
servicio deben reanudarse; o la
actividad debe reanudarse; o los
recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de punto de
Recuperación (RPO)
(Máxima pérdida de datos aceptable
Objetivo de Tiempo de
Recuperación (TTO)
El tiempo máximo aceptable

Desastre
Desastre
Tiempo
0:00
Copia de
seguridad
en cintas
(7 Días)

Copia de
seguridad
de la red
(24 H)
Sistema
de espejos
(1 Minuto)
Crítico
(1 H)
Muy
Importante
(12 h)
Importante
(72 H)
Identificación de los Objetivos de Continuidad del Negocio
OMCN (MBCO)
Objetivo Mínimo de Continuidad
del Negocio OMCN (MBCO)
• Nivel mínimo de los servicios y/o
productos que es aceptable para
la organización para alcanzar sus
objetivos de negocio durante una
interrupción
100 % Nivel de servicio normal
40 %
Objetivo Mínimo de Continuidad del Negocio (MBCO)
0 %
IV. Documentación de las Actividades Prioritarias
Resumen basado en las mejores prácticas
1
2
3
4
5
Descripción de la Función Empresarial
Impacto del Flujo de Trabajo
Consecuencias de No Procesar
Las Dependencias
Las Actividades críticas
2.1.3. Análisis de los Datos
Transcribir en minutas de entrevistas o síntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado
Comprobar que los objetivos de continuidad de la empresa se justifican
por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar
Identificar incoherencias
?
?
?
? ?
?
?
?
2.1.4. Validación de Datos
 Validar con:
o Gerente de la función de negocio
o Director del Departamento

 Cualquier cambio en los datos recopilados
debe estar documentado y aprobado

 En la parte final de esta fase, asegúrese
de que toda la información recopilada
está completada, es precisa y está
acordada por las personas implicadas

Validación de datos

2.1.5. Presentación del Informe del AIN
El informe del AIN
 No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estándar de la
organización


 Como mínimo, el informe del
AIN debe incluir:
La lista de actividades que
Apoyan a los principales
productos y servicios.
Las evaluaciones de impacto
El RTO y las prioridades de la
empresa para la recuperación
Importantes dependencias y
recursos de soporte
Resumen de Objetivos de Recuperación


Objetivo de Punto de
Recuperación (RPO, por
sus siglas en inglés
Objetivo de
Tiempo de
Recuperación
(RTO)
Corte máximo aceptable
(MAO)
Plan de protección y de
Medidas de mitigación
Plan de capacitación y
sensibilización
Desastre
Nivel de
servicio
normal
100%
40%
0%
Última copia de seguridad
Objetivo Mínimo de Continuidad
del Negocio (MBCO)
Horas Día
Llegar al punto de los
Servicios mínimos a
recuperar
Volver a
Normal
Semana Mes Tiempo
Análisis de Impacto en el Negocio (AIN)
Resumen con un ejemplo
APORTACIONES
DE LAS PARTES
INTERESADAS
Procesar
Factura
Elaborar
factura
Procesar
Factura
Procesar
Factura
Operaciones más de 1.000
Empleados afectados
Reputación –medios de
Comunicación anuncian
preocupaciones
Reputación –visión del
congreso
Servicio de atención al Cliente
-más de 500 quejas de los
clientes
72
Horas
30
Horas
36
Horas
36
Horas
Servidor de
Aplicaciones
Servidor Web
Servidor de Base de
datos
Los ordenadores de
escritorio
36
Horas
24
Horas
12
Horas
30
Horas
Proceso de
Negocio
Impactos
Potenciales
Máximo de
Inactividad Tolerable
Componentes del
Sistema
Objetivo de
Tiempo
de Recuperación

Interdependencias
Ejercicio 7
Análisis del Impacto en el Negocio (AIN)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 15
Evaluación de riesgos


a. Identificación de riesgos

b. Análisis de riesgos

c. Estimación de riesgos
2.2. Evaluación de Riesgos

1. Planificar















1. Planificar















1. Planificar















1. Planificar














4.2 Mejora
continua
4.1 No
conformidades y
acción correctiva
3.3 Revisión por
la Dirección
3.2 Auditoría
interna
3.1 Supervisión,
medición, análisis y
evaluación
2.7 Ejercicio y pruebas
2.6 Comunicación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.4 Medidas de
Protección &
Mitigación
2.3 Estrategia de la
Continuidad del
Negocio
2.2 Evaluación del
Riesgo
2.1 Análisis del Impacto
en el Negocio (AIN)
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificación
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Proceso de Gestión de Riesgo (ISO 31000)
a. Crear valor
b. Parte integral de los
procesos de la
organización
c. Parte de la toma de
decisiones
d. Aborda explícitamente
la incertidumbre
e. Sistemática,
estructurada y
oportuna
f. Sobre la base de la
mejor información
disponible
g. Adaptada
h. Toma en cuenta los
factores humanos y
culturales
i. Transparente e
inclusiva
j. Dinámica, interactiva y
sensible a los cambios
k. Facilita la mejora
continua y la
optimización de la
organización de la
organización
Principios (cláusula 3)
Mandato y compromiso (4.2)
Diseño del marco
de trabajo de la
Gestión de riesgos (4.3)
Mejora continua
Del marco
De trabajo (4.6)
Implementación
De la gestión
De riesgos (4.4)
Seguimiento y
Revisión del marco
De trabajo (4.5)
Marco (cláusula 4)
Establecer el
contexto (5.3)
Evaluación de
riesgos
Identificación de
Riesgos (5.4.2)
Análisis de
Riesgos (5.4.3)
Evaluación
de Riesgos (5.4..4)
Tratamiento del
Riesgo (cláusula 5.5):
C
o
m
u
n
i
c
a
c
i
ó
n

y

c
o
n
s
u
l
t
a

(
5
.
2
)

S
e
g
u
i
m
i
e
n
t
o

y

r
e
v
i
s
i
ó
n

(
5
.
6
)

Proceso (cláusula 5)
Herramientas y Métodos para la Evaluación de Riesgos Presentados
en la Norma ISO 31010
Tormenta de ideas
Lista de verificación
Análisis de árbol de fallos
Entrevistas estructuradas o
semi-estructuradas
Análisis de riesgo primario
Estudios de peligros y
Operabilidad (HAZOP)
Análisis de Peligros y Puntos
de Control Críticos ((APPCC)
Evaluación de riesgos
medioambientales
Estructura “¿Y si?” >
(SWIFT)
Análisis de escenarios
Análisis del impacto en el
negocio
Análisis de la causa raíz
Análisis de protección de
la capa (LOPA)
Análisis de causa y efecto
Análisis de causas y
consecuencia
Análisis de árboles de
sucesos
Delphi
Modo de Falla
Análisis de los efectos
Mantenimiento centrado en
la fiabilidad
Análisis de lazo
Análisis de fiabilidad
humana
Árbol de decisión
Curvas FN
Estadísticas Bayesianas y
Bayes
Simulación de Monte Carlo
Análisis Markov
Análisis furtivo de circuitos
Análisis de la relación
coste/beneficio
Matrices de probabilidad /
consecuencia
Índices de Riesgo
Análisis de decisión por
multi-criterios (MCDA)
2.2. Evaluación de Riesgos
Lista de actividades
2.1 AIN
2.3 Política de CN
2.2.1 Identificación
del riesgo
2.2.2 Análisis del
riesgo
2.2.3 Evaluación
del riesgo
2.2 Evaluación de Riesgos
2.2.1. Identificación de Riesgos
ISO 31000, cláusula 5.4.2

Las organizaciones deberían:

 Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus
causas
 Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
 La organización debería aplicar herramientas y técnicas de identificación del riesgo
que se adapten a sus objetivos y aptitudes, así como a los que está expuesta


Enfoque y Métodos de Identificación de Riesgos
Norma ISO 31010, cláusula 5.2

o Los métodos de identificación de riesgo pueden incluir:
 Métodos basados en la evidencia, ejemplos de los cuales son las listas de verificación
y los comentarios de datos

 Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso
sistemático para identificar los riesgos por medio de un conjunto estructurado de
mensajes o preguntas

 Técnicas de razonamiento inductivo como HAZOP

o Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad
en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi



1 HAZOP = estudios de Peligros y Operabilidad
Identificación de Riesgos

Principales elementos incluidos en los Métodos de Evaluación de Riesgos


1. Determinación de los criterios de aceptación de riesgos y la determinación de los
niveles de riesgo aceptables
2. Identificación de los activos
3. Identificación de las amenazas a las que se enfrentan los activos
4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas
5. Identificación de los impactos
6. Análisis y evaluación del impacto
7. Análisis y evaluación de la probabilidad
8. Evaluación de los niveles de riesgo
9. Determinación de umbrales aceptables sobre la base de riesgos establecidos
10. Identificación y evaluación de opciones de tratamiento del riesgo
11. Selección de las medidas y controles para tratar los riesgos

2.2.2. Análisis de Riesgos
ISO 31000, cláusula 5.4.3
El Análisis de riesgos se define como el análisis de un entorno de riesgos

Cada riesgo se evalúa de acuerdo con:

 Las pérdidas que pueden ocasionar
 La probabilidad de ocurrencia
 El costo de las contra medidas para mitigar el riesgo y
 La pérdida probable si esas contra medidas fueron aplicadas






Enfoque y Métodos de Análisis del Riesgo
ISO 31010, cláusula 5.3.1
Análisis Cualitativo:
Define la consecuencia, la probabilidad y el niel de riesgo por niveles de
significación, como “alta”, “medio” y “bajo”, puede combinar la
consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante de
los criterios cualitativos
Análisis Cuantitativo:
Estima los valores estimados para las consecuencias prácticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo análisis
cuantitativo puede no ser siempre posible o deseable debido a
información insuficiente
Análisis de Escenarios de Riesgo
Las categorías habituales
1
2
3
5
4
7
6
Escenarios con edificios
Escenarios de utilidades
Escenarios en los sistemas de comunicación
Escenarios de sistemas informáticos
Escenarios de consumibles
Escenarios que involucran personas
Escenarios de información o datos
Análisis de Escenarios de Riesgo
Ejemplo
Escenario 1
No disponibilidad del edificio














Posibles Causas
/Amenazas
Consecuencias Impacto
 Fuego

 Inundación

 Amenaza de bomba

 Huelga

 Manifestación

 Fuga de gas

 Huracán

 Terremoto
 Se ha detenido la
producción

 Incapacidad para
garantizar la logística de
entrega

 Incapacidad de facturar
bienes entregados







3
Probabilidad
2
Nivel de
Riesgo
6
Comentarios: En los últimos 10 años, la organización ha perdido 9 días debido a la no disponibilidad del edificio
(una huelga de 7 días, 1 día por una alerta, 1 por un fuga de gas)
Cálculo de la Determinación de Riesgo
Ejemplo de un cálculo del riesgo
Valor de
los
activos
Posibilidad de ocurrencia - Amenaza
Baja
Nivel de Vulnerabilidad
Alta Mediana
B
0
3
2
1
M B A M A B M A
0
4
3
4
1
2
1
2
4
3
5
2
6
3
4
5
1
2
4
3
5
2
3
4
5
6
3
4
6
5
7
2
3
5
4
6
3
4
5
6
7 8
7
6
5
4
2.2.3. Evaluación de Riesgos
ISO 31000, cláusula 5.4.4

o La evaluación de los riesgos es la comparación de los niveles de riesgo
estimados con los criterios de evaluación y los criterios de aceptación de riesgos
y priorizarlos

o La estimación de riesgos es necesaria antes de tomar una decisión sobre las
posibles opciones para el tratamiento de riesgos incluyendo:

 Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado

 A cuáles riesgos se les dará prioridad


Decisión como resultado de la evaluación de Riesgos
Norma ISO 31010, cláusula 5.4

Las decisiones pueden incluir:

 Si un riesgo necesita tratamiento

 Prioridades de tratamiento

 Si una actividad debe llevarse a cabo

 Cuál, de una cantidad de caminos debería seguirse
Nota: La decisión sobre las medidas a tomar después
de la evaluación del riesgo se verá influida por el nivel
de apetito por el riesgo de la organización
Ejemplo de una Matriz de Evaluación de Riesgos
Amenaza
Valor de
consecuencia
(activo)
Probabilidad
de ocurrencia
de la amenaza
Nivel de
riesgo
Orden de
prioridad de
la amenaza
Escenario A
Escenario B
Escenario D
Escenario C
Escenario E
Escenario F
5 2 10 2
2
3
4 3 8
15 5 1
4
1 3
2
1
4
3
4
8
5
4
3 3
Evaluación de Riesgos
Selección de medidas de protección y mitigación

o Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las
medidas de gestión apropiadas y las prioridades de gestión de los riesgos y
para aplicar las medidas de protección y mitigación para proteger contra estos
riesgos

o Las medidas pueden ser seleccionadas a partir de varias normas o pueden
diseñarse nuevos controles para satisfacer las necesidades especificas de la
organización

o La selección de medidas de protección y mitigación se detallan en el Día 3

Día 3

Implementador Líder
Certificado en la ISO 22031
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 16
Estrategia de continuidad del negocio

a. Análisis de las opciones de la estrategia de CN

a. Selección de la estrategia de protección de actividades
prioritarias

c. Selección dela estrategia para estabilizar, continuar
reanudar y recuperar actividades prioritarias

d. Selección de la estrategia para la mitigación,
respuesta y manejo de los impactos

e. Evaluación de las capacidades de continuidad del
negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 8.3.1

8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección
La determinación y selección de la estrategia deberá basarse en los resultados de los análisis de
impacto en el negocio y la evaluación de los riesgos.

La organización deberá determinar una adecuada estrategia de continuidad del negocio para:

a) Proteger las actividades prioritarias,
b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus
dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.

La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la
Reanudación de las actividades.

La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del
Negocio de los proveedores
Estrategia de Continuidad del Negocio

o El objeto de la Selección de la Estrategia es colaborar en la definición de las
necesarias para proteger a la organización y para seleccionar las soluciones
para la recuperación más adecuada para las funciones críticas de la empresa
y los recursos de soporte

o La estrategia debe encarar los resultados del AIN y la evaluación del riesgo

o La estrategia de continuidad del negocio es la base
para los Planes de Continuidad del Negocio
2.3. Estrategia de Continuidad del Negocio
Lista de las actividades
2.1 AIN
2.2 Análisis
de riesgos
2.4 Medidas de
Protección &
mitigación
2.3.1 Análisis &
Selección de
Una estrategia
2.3.2 Estrategia
para proteger
las actividades
prioritaria
2.3.4 Estrategia
para mitigar,
responder a y
gestionar impactos
2.3.3 Estrategia para
Estabilizar, continuar,
Reanudar y recuperar
2.3.5 Evaluación de
las capacidades de
los proveedores
2.3 Estrategia de C.N.
2.3.1 Análisis de las Opciones de la Estrategia de CN

La organización debería determinar las opciones de estrategia para:

Proteger actividades prioritarias
Estabilizar, continuar, reanudar y recuperar actividades prioritarias
Mitigar, responder al impacto y gestionarlo
2.3.2 Selección de la Estrategia para la Protección de Actividades
Prioritarias
La protección de actividades
Prioritarias puede ser dirigida a:
2
3 1
• Reducir el riesgo de la
actividad

• transferir la actividad a un
tercero (aunque la
responsabilidad sigue
siendo de la organización


• Cesar o modifica la
actividad si existen
alternativas viables
2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar
y recuperar actividades prioritarias

La organización debería determinar las opciones apropiadas de
terminar las opciones apropiadas de estrategia para:


1
2
3
5
4
Traslado de la actividad
Re- ubicación o re- asignación de recursos
Procesos alternativos y capacidad de reserva
Sustitución de habilidades y recursos
Solución temporal
2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y
Manejo de los Impactos
La organización debería determinar las opciones apropiadas de
estrategia para:
C) Gestión de la reputación
La compra de seguros puede
Ofrecer cierta compensación
Financiera en caso de pérdidas,
Pero no cubrirá todos los costes
La contratación de los
servicios de las compañías
que se especializan en la
limpieza o reparación de
bienes después de los daños
Desarrollo de una efectiva capacidad de comunicación y de
Alerta y establecer procedimientos de comunicación eficaces
Ejemplo de Opciones de la Estrategia de CN
Las estrategias de CN disponibles y el RTO que cumplen
IX Sitio
cliente
VII,
Trabajo a
distancia
VI, Sitio
tibio
V, Acuerdo
reciproco
IV, Sitio
móvil
III, Sitio
frio
Ninguna
Estrategia

VIII,
Traslado a
otros centros
del grupo
II,
Reconstrucción
y restauración
C
O
S
T
O


D
E


L
A

E
S
T
R
A
T
E
G
I
A






TIEMPO DE RECUPERACIÓN
I. Ninguna Estrategia

 Ninguna estrategia definida
 No hay documentación de recuperación y continuidad del negocio
 No se envían datos fuera del sitio, y no hay ningún otro sitio identificado
 Estrategia utilizada por las organizaciones con un evaluado apetito por el
riesgo o de un sitio con baja criticidad; también puede ser cuando un
producto tiene una vida útil limitada

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 La estrategia menos costosa para
aplicar



 La estrategia más cara después de
un desastre…



II. Reconstrucción y Restauración

 La estrategia se enfoca principalmente en los seguros
 Documentación de los bienes materiales e instalaciones
 No se envían datos fuera del sitio, y no hay ningún otro sitio identificado
 Estrategia de las organizaciones con apetito por el riesgo moderado o de
un sitio con poca criticidad

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Estrategia de bajo costo y fácil de
implementar
 Protección contra las pérdidas
financieras de los activos físicos


 Estrategia que generalmente no
toma en cuenta los procesos de
negocio y los activos inmateriales
 Estrategia que no incluye un plan
para asegurar la continuidad de las
operaciones en caso de desastres
III. Sitio frío

 Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC
en inglés)
 Listo para recibir el equipo pero no hay hardware de computación en el sitio
 Los enlaces de comunicación pueden o no estar preparados
 Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca
criticidad

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Bajo coste
 Rápido de implementar
 Fácil de mantener



 Falsa sensación de seguridad
 El tiempo de recuperación puede ser
largo dependiendo de la complejidad de
la tecnología y el equipo utilizado por la
organización
 El proveedor d e servicios puede sobre
valorar las capacidades de procesamiento

IV. Sitio móvil

 Tráiler que puede transportarse rápidamente a un sitio alternativo

 Puede ser pre configurado con servidores, equipos de escritorio, equipos de
comunicaciones, microondas y enlaces para la transmisión de datos por satélite

Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Bajo coste
 Rápido de implementar
 Fácil de mantener
 Flexibilidad



 La capacidad de los equipos puede ser
insuficiente para la necesidad





V. Acuerdo Recíproco

 Acuerdo con otra empresa con hardware o configuraciones de software similares

 Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad
(Gran Suposición)

Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto
con un entorno de tecnología compatible

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Bajo o ningún costo

 Si los requisitos de procesamiento son
similares puede ser variable


 Muy poco probable la existencia de la
capacidad

 Limita severamente la capacidad de
respuesta y apoyo


VI. Sitio Tibio

 Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y
enlace de comunicación
 Las estaciones de trabajo y las impresoras están disponibles pero el software puede no
estar instalado
Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un
sitio con baja o media criticidad

C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Costo – mucho menos que el del sitio
Caliente

 Ubicación: Ya que se requiere menos
control, los sitios pueden ser más
flexibles

 El proveedor de servicios puede sobre
valorar capacidades de procesamiento





VII. Trabajo a Distancia

 Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la
empresa, por ejemplo hoteles

Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio




C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Bajo costo y fácil de implementar para
una organización pequeña

 Solución Flexible
flexibles

 Debido a cuestiones de seguridad y
confidencialidad esta opción no siempre
es adecuada
 Difícil de coordinar para grandes
organizaciones


VIII. Traslado a Otros Centros del Grupo

 En el caso de un incidente perjudicial de una división de la organización, el traslado se
hará a otro centro de la misma organización



Estrategia utilizada por grandes organizaciones con varias instalaciones


C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Costo puede ser bajo a medio
 Fácil de implementar
 En la mayoría de los casos,
compatibilidad de tecnología
 Respuesta rápida de activar


 No tiene una garantía de la existencia de
la capacidad cuando sea necesario

 Contención de recursos durante los
desastres


IX. Sitio Caliente

 Las aplicaciones se instalan en los servidores y las estaciones de trabajo

 Las estaciones de trabajo y servidores están actualizados


Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o
para un sitio con alta criticidad


C
a
r
a
c
t
e
r
í
s
t
i
c
a
s

Desventajas Ventajas
 Disponibilidad 24/7, exclusividad de uso

 Disponible de inmediato

 Admite interrupciones de corto y largo
plazo

 Costoso
 Requiere de un constante mantenimiento
de hardware, software, datos y
aplicaciones
 Seguridad del sitio caliente, la seguridad
del sitio primario se debe duplicar

2.3.5 Evaluación de las Capacidades de Continuidad del Negocio
de los Proveedores

o La organización debería evaluar los riesgos relevantes y, a continuación,
adoptar las medidas adecuadas para garantizar que equipos críticos y los
servicios de los proveedores pueden ser garantizados en caso de un incidente
de interrupción que los afecta
o Debería hacerse una evaluación periódica de la capacidad del CN para las
actividades críticas tercerizadas o que dependen de un proveedor, Que puede
ser por:
 Pedir que los proveedores estén certificados en la ISO 22301

 Auditoría de los proveedores

 La comprobación auditada de la viabilidad de los planes de continuidad
de los proveedores clave
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo

1. Durante del acuerdo o contrato
2. Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas
3. Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios
4. Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato
5. Necesidades en materia de sistemas de información (incluidos los datos y requisitos de
telecomunicaciones ) para el hardware, el software y las necesidades especiales del
sistema (hardware y software)
6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad
7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto
8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba
9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación
electrónicos e impresos
10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los
servicios del sistema de información prestados), el proceso de negociar la ampliación del
servicio
11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales)
12. Otras cuestiones contractuales, según corresponda

Ejercicio 8
Selección de una estrategia de continuidad del negocio
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 17
Las medidas de mitigación y protección

a. Medida de mitigación y protección

a. Medida preventiva

c. Medida de detección

d. Medida correctiva
2.4. Las Medidas de Mitigación y Protección

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 8.3.3

Protección y mitigación

Para identificar los riesgos que requieren tratamiento, la organización deberá
estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupción;
b) Acorde el periodo de interrupción; y
c) Limiten el impacto de una interrupción en la provisión de los productos y la
presentación de los servicios principales de la organización.

La organización deberá elegir e implementar un tratamiento de riesgo apropiado
según su nivel de aceptación del riesgo
2.4. Las Medidas de Mitigación y Protección
Lista de actividades
2.1 AIN
2.5 Plan de la
Continuidad
del Negocio
2.4.1 Medidas
preventivas
2.4.2 Medidas de
detección
2.4.3 Medidas
correctivas
2.2 Evaluación del
riesgo
2.3 Estrategia de la
Continuidad
del Negocio
2.6 Comunicación
Aplicación de las Medidas de Mitigación y Protección
Desastre
Medidas
Preventivas
Medidas de
Detección
Medidas
Correctivas
Escenarios de Riesgo y la Selección de las Medidas de Mitigación y
Protección
Ejemplo
Escenario Probabilidad Impacto Evaluación Medidas de Protección y Mitigación
Fracaso de
los
servicios
públicos
Alto Grave (3) Posible (3)
• Redundancia en la protección de equipos de aire
acondicionado
• de salas técnicas
• Contrato de Intervención Rápida
• Redundancia de las tareas de mantenimiento
• Documento de las tareas de mantenimiento
Acceso al
sitio no
autorizado
Regular (4)
Importante
(2)
Alto
• Hacer valer el respeto de la política de seguridad física
• Hacer valer el respeto de la política de acceso físico para
las dependencias y los recursos
Vandalismo
internacion
al externo
Posible(3) Grave (3) Alto
• Redundancia del sistema
• Las pruebas periódicas de los equipos de emergencia
Fallo
eléctrico
Raro (2)
Importante
(2)
Significativo
• Pruebas periódicas de generadores de electricidad
• Estar conectados a dos estaciones de
transformadores eléctricos
• UPS y parada segura de la maquinaria
• Utilización de equipos con doble fuente de
alimentación
• Contratos de Intervención Rápida
2.4.1. Aplicación de Medidas Preventivas
Gestión de
riesgos
Mantenimiento
del
equipamiento
Gestión del
Cambio y de la
configuración
Protección
física
y lógica
Reducir la probabilidad y el posible impacto
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparación es adecuada
- Desalentar o prevenir la aparición de problemas
- Debe estar basada sobre la mejora continua
2.4.2. Aplicación de Medidas de Detección
Seguimiento
Gestión de
incidentes
Alertas
Reducir el impacto
Medidas de detección:
- Detectar e identificar anomalías
- Dar indicaciones rápida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
2.4.3. Aplicación de Medidas Correctivas
Planes de CN y
RD (Recuperación
ante Desastres)
Seguimiento
de No-
conformidades
Copia de
seguridad
Comunicación
Mitigación de las consecuencias
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestión del cambio
- Muy probablemente necesitan la participación humana
- Debe incorporarse en la mejora continua
Ejercicio 9
Medidas de mitigación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 18
Planes y procedimientos de continuidad del negocio

a. Desarrollo del plan de continuidad del negocio

a. Estructura y formato del plan

c. Contenido del plan de continuidad del negocio

d. Tipos de planes de continuidad del negocio

e. Activación de los diferentes planes
2.5. Planes y Procedimientos de la Continuidad del Negocio

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 8.4.1

Establecer y aplicar procedimientos de continuidad del negocio
La organización deberá establecer, implementar y mantener procedimientos de
continuidad del negocio para gestionar un evento perturbador y continuar sus
actividades sobre la base de objetivos de recuperación identificados en el análisis
del impacto en el negocio .

La organización deberá documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestión de un
incidente perjudicial.

Requisitos
ISO 22301, cláusula 8.4.4

Planes de continuidad del negocio
La organización deberá establecer procedimientos documentados para responder a
un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un
tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades
de las personas que van a utilizarlos.

Cada plan deberá definir:
- Finalidad y alcance;
- objetivos;
- criterios y procedimientos de activación
- procedimientos de aplicación;
- funciones, responsabilidades y autoridades;
- requisitos y procedimientos de comunicación;
- Las interdependencias y las interacciones internas y externas.
- necesidades de recursos; y
- flujo de información y procesos de documentación
Plan de Continuidad del Negocio (PCN)
Objetivos

o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO

o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta
inicial al punto en el que se reanudan las operaciones comerciales normales

o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos
para la continuidad del negocio y los equipos de recuperación de recursos

En particular, el plan asigna roles y su rendición de cuentas, responsabilidad
y autoridad

El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios
2.5. Planes y Procedimientos de la Continuidad del Negocio
Lista de actividades
2.2 Análisis
de Riesgos
2.7 Ejercicio y
pruebas
2.5.1 Proceso del
desarrollo del
plan
2.5.2 Formato
Y estructura
Del Plan
2.5.3 Redactar
el/los plan (es)
de CN
2.3 Estrategia de la
Continuidad
del Negocio
2.4 Medidas de
Protección
y mitigación
2.6 Comunicación
2.5.4 Redactar
los procedimientos
de CN
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar
información
1. Nombrar
un
responsable
2. Enfoque y
estrategia
3. Estructura,
Formato,
componentes
6-9 Revisión
8. Uso
5.
Redacción
7. Publicar
2.5.2. Definir un Formato y Estructura del Plan
Recomendaciones

o La estructura del PCN debe ser personalizada para satisfacer las necesidades
específicas de la organización

o Aunque el seguimiento de una estructura de PCN no es obligatorio, se
recomienda un formato estándar de PCN que permita la aplicación coherente en
toda la organización

o La buena prácticas identifican que un PCN debería ser de diseño modular con
diferentes secciones numeradas / nombradas consecutivamente

Las distintas secciones del PCN proporcionan la oportunidad de formar
documentos separados (denominados: módulos, secciones o “sub planes”) que
pueden ser suministrados a las personas y/o equipos sobre la base de saber lo
necesario
Análisis de Escenarios de Riesgo
Contenido mínimo requerido por la ISO 22301
1 Finalidad y alcance
2
3
5
4
7
6
8
9
Requisitos y procedimientos de comunicación
Las interdependencias y las interacciones internas y externas
Recursos necesarios
Flujo de información y procesos de documentación
Las funciones, responsabilidades y autoridades
Procedimientos de aplicación
Criterios y procedimientos de activación
Objetivos
Contenido a excluir del Plan de CN


Los siguientes datos no son esenciales para la invocación y el funcionamiento del
plan de continuidad del negocio y deberían ser excluidos y mantenidos en
documentos separados:

X Evaluación de Riesgos

X Análisis del Impacto en el Negocio (AIN)

X Informes de Ejercicios, Ensayos o Pruebas

X Proceso de Mantenimiento

X Informe de Auditoría

X Otra información y registros no esenciales


Contenido del Plan de Continuidad del Negocio (parte 1)
Ejemplo
Descripción de la Sección
1. Descripción
general del Plan
Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan,
registro de evento o decisión
2. La rendición de
cuentas,
Responsabilidades y
autoridades
3. Notificación,
invocación y
escalada
4. Equipo de GCN
5. contactos
6. Lista de tareas y
ayuda memorias
7. Información de
soporte
Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Equipo de GCN de la Unidad de Negocio
Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesos
de escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una
cascada inversa) y/o diagrama de flujo
Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN,
Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando
Personal interno, contactos externos incluyendo expertos en la materia
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico,
proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios
especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)
Descripción de la Sección
8. Las Actividades Criticas de la
Empresa
Calendario de las Actividades Criticas de la Empresa o de actividades de apoyo,
recuperación de las Actividades Criticas de la Empresa o de actividades Criticas
de la Empresa o de actividades de apoyo (objetivos del RTO y RPO)
Plan de acción, perfil de recuperación de recursos de la GCN, perfil de
recuperación de la GCN
9. Ubicación del sitio de recuperación
(dentro de la organización o proveedor
externo)
Proceso de invocación y/o diagrama de flujo, diseñado del plan del piso
del sitio de recuperación (área de trabajo), mapa de ubicación del sitio
de recuperación, re ubicación de personal (incluido el transporte y
alojamiento), seguridad, correo.
10. Perfil de los recursos de
recuperación
Estaciones de trabajo estándares decir escritorio, silla, teléfono y
ordenador, el equipo de computación, las aplicaciones de software,
conectividad de las tecnologías, las telecomunicaciones, los datos copia
de seguridad, documentos/registros de vital importancia/únicos , equipos
de oficina, equipo de especialistas, suministros de oficina, por ejemplo
requisitos de acceso para personas discapacitadas al sitio de
recuperación
11. Las plantillas de formulario
Orden del Día de las reuniones, información interna, registro de
decisiones y acciones, informe de estado de la lista de tareas, mensajes
telefónicos, hoja de cálculo de acciones o tereas.
Apéndices Contratos y Acuerdos de Nivel de Servicio, volver a casa
Tipos de Planes
Descripción de la Sección
Plan de continuidad del negocio
Procedimientos documentados que orientan a las organizaciones a responder,
recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras
interrupciones
Plan de respuesta a incidentes
Plan de respuesta de emergencia
Plan de gestión de crisis
Plan de Recuperación
Plan de restauración
Plan de comunicación
Procedimientos documentados que orientan a las organizaciones para responder a un
incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y
recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia
Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a
la propiedad contra daños en respuesta a una amenaza física
Coordinación de los procedimientos para manejar situaciones complejas que representan una
amenaza a los objetivos estratégicos, la reputación o la existencia de una organización
Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la
empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del
sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa
después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o
reconstrucción de las instalaciones, redes o capacidad operativa
Proporciona procedimientos par a difundir informes de situación al personal y al público
Plan de capacitación y
sensibilización
Para garantizar procedimientos para difundir informes de situación al personal y al
público
Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activación de los Diferentes Planes
Cronología de la respuesta de incidentes
Desastre Tiempo
Protección y plan
de mitigación
Plan de respuesta a incidentes
Plan de respuesta
de emergencia
Plan de gestión de crisis
Plan de recuperación
Plan de restauración
Plan de comunicación
Plan de capacitación y
sensibilización
Plan de ejercicio y
pruebas
2.5.4. Redacción de los procedimientos Relacionados con la CN
ISO 22301, cláusula 3.39
Procedimiento

 Definición: Forma especificada para llevar a
cabo una actividad o un proceso

 La estructura y el formato de los procedimientos
documentados (copia impresa o por medios
eléctricos) deberían ser definidos por la
organización en las siguientes formas: texto,
gráficos, tablas, una combinación de los
anteriores, o cualquier otro método apropiado de
la organización



Descripción de las Actividades en el Marco de un Procedimiento
Las 6 palabras (W: W/H en inglés)

1. Quién
2. Qué
3. Cómo
4. Cuándo
5. Dónde
6. Por qué

Ejemplo:
El administrador de la red (quién) se asegura de que las copias de seguridad
(qué)se completan mediante la revisión de lo registros de copia de seguridad
(cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de
Verificaciones (dónde) que se mantiene para futuras consultas (por qué)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 19
Plan de respuesta a incidentes

a. Supervisión de eventos

a. Detección de incidentes

c. Valoración y evaluación de los incidentes

d. Activación de la respuesta a incidentes

e. Comunicación de respuesta a incidentes

estructurada

a. Escalada de los incidentes

b. Documentación acerca de un incidente
Requisitos
ISO 22301, cláusula 8.4.2

Estructura de respuesta a Incidentes
La organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un
incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para
administrar un incidente.

La estructura de respuesta deberá:
a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal,
b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c) poner en marcha una respuesta de continuidad del negocio apropiada;
d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación
de la respuesta;
e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un
incidente perjudicial para minimizar el impacto, y

La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y
deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá establecer
y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias, incluyendo los
medios de comunicación.


Requisitos
ISO 22301, cláusula 8.4.3

Alerta y comunicación

La organización deberá establecer, implementar y mantener procedimientos para:

a) la detección de un incidente,
b) el seguimiento regular de un incidente,
c) la comunicación interna en el seno de la organización y recibir, documentar y responder a la
comunicación de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
e) velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo,
f) Facilitar la comunicación estructurada con los equipos de emergencia,
g) Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:

- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.


Plan de Respuesta a Incidentes
Objetivos y contenido común

El plan de respuesta a incidentes debería integrar procesos y
procedimientos para:

I. El seguimiento de los eventos que pueden provocar incidentes
II. Detectar un incidente
III. Analizar y evaluar un incidente
IV. Declarar una respuesta a incidentes
V . Facilitar la comunicación estructurada
VI. Escalar un incidente
VII. Documentar y registrar información vital acerca de la
incidencia
VIII. Revisión de un incidente

¿ Qué es un Incidente?
ISO 22301, cláusula 3.19

o Definición: Situación que pudiera constituir o pudiera redundar en una
interrupción, una pérdida, emergencia o crisis

o Importante no confundir con el uso del término “incidente” en el campo
de la seguridad de la información y tecnologías de la información:

 Una interrupción no planificada de un servicio (ITIL en inglés)

 Un único o serie de eventos de seguridad de la información no deseados o
inesperados que tiene una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información
(ISO 27000)

I. Supervisión de eventos

o La organización debe hacer un seguimiento de los eventos que podrían dar
lugar a un incidente

o El seguimiento debería estar en consonancia con los escenario
documentados en la evaluación del riesgo y el AIN
 El uso de herramientas de detección y el análisis de tendencias
 Compartir e intercambiar con expertos
 Advertencias tempranas y los avisos recibidos de
las autoridades, los servicios de emergencia, los
clientes, los medios de comunicación, etc.

Informe de eventos


o Un corte o interrupción puede ocurrir con o sin previo aviso

o Los eventos pronosticados debería ser comunicados a las partes
interesadas pertinentes
o Ejemplos:

 Un aviso de antemano del Servicio Nacional de Meteorología de que está
previsto un huracán que afectará una determinada zona

 Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organización Mundial de la salud

 Una alerta del CERT (Computer Emergency Response Team) de que un
virus informático se espera en una fecha determinada
II. Detección de incidentes


o La organización necesita implementar las medidas para detectar
incidentes y recoger la información asociada a ellos

o Las medidas de detección deben estar en línea con hipótesis
documentadas en la evaluación del riesgo y el AIN
Alertas en el sistema de TI Sistema de Alarma Detector de
Bombas y metal
III. Evaluación y Valoración de la Incidencia
Ejemplo de un proceso
Notificación de
Detección
Notificación de
Recopilación de
Primera Evaluación
Falso Positivo
Relevante
Segunda evaluación ¿Relevante?
No Si
Usuario/Fuente
Grupo de Apoyo a
las Operaciones
Equipo de Respuesta
a incidentes
Equipo de
Gestión de Crisis
Respuest
a
inmediata
Revisión de la
Mejora continua
Respuesta
No
Evaluación de
Decisión
¿Incidente
bajo control?
¿Crisis?
A
n
á
l
i
s
i
s

f
o
r
e
n
s
e

Si
No
Actividades de
crisis
Respuesta
positiva
C
o
m
u
n
i
c
a
c
i
o
n
e
s

de un Evento
T
i
e
m
p
o

Si
No
Si
IV. Invocación de una Respuesta a incidentes
Criterios y procedimientos

o El plan de CN debería se activado si se cumplen uno o más de los criterios de
activación

o Si se cumple un criterio de activación, la autoridad designada debería activar
el plan

o Los criterios para la activación de interrupciones o las disrupciones en el
sistema son único para cada o organización u deberían definirse

o Los criterios pueden basarse en:

 Magnitud de los daños al sistema (por ejemplo, físicos, operativos o
costos)
 Criticidad del sistema ala misión de la organización (p. ej. Activo de
protección de infraestructuras críticas)
 Duración prevista de la interrupción más larga que el RTO
V. Comunicación de respuesta a Incidentes
Comunicación de respuesta a
incidentes
 Para ponerse en contacto con el
personal de emergencia

 Para alertar a todas las partes
interesadas potencialmente afectadas
por un real o inminente perjudicial

 Asegurar la inter operabilidad de
múltiples organizaciones y personal
de respuesta:
Métodos de notificación


o Las notificaciones se pueden realizar a través de una variedad de
métodos, ya sean automático o manual, entre los que se incluyen:
 Teléfono
 Correo electrónico:
 Teléfono móvil
 Visitar en persona el hogar, etc.

o Los sistemas de notificación automática siguen protocolos y criterios
establecidos y pueden incluir una rápida aceptación y autenticación
y mensajería segura

o Los sistemas de notificación automática requieren una inversión inicial y una
curva de aprendizaje, pero pueden ser una manera eficaz para algunas
organizaciones para garantizar la rapidez y precisión en la entrega


VI. Escalada de un Incidente
Ejemplo de una escalada de incidentes

Modo
Incidente
Modo
Crisis
Modo
Estándar
Modo de
desastres
VII. Documentación de un Incidente


Toda la información pertinente relacionada con el incidente debería ser registrada,
Incluyendo:

1. Descripción del evento
2. Categoría y prioridad
3. Fecha/hora del registro, escalada, decisión
4. Los activos y procesos afectados
5. Grupos o personas afectados por el incidente
6. Actividades realizadas para resolver el incidente y sus resultados
7. Las Decisiones tomadas



VIII. Revisión Pos-incidente


En el caso de un incidente que perturba las actividades prioritarias de la
organización o que requiere una respuesta a incidentes, debería llevarse a cabo
una revisión pos-incidente. Esto puede incluir:

1. Identificar la naturaleza y la causa del incidente
2. Evaluar la suficiencia de la respuesta de dirección
3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de
tiempo de recuperación
4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la
hora de preparar a los empleados en la previsión del incidente
5. Identificar las mejoras que se pueden introducir
6. Compara los impactos reales con los que se consideran en el análisis del
impacto en el negocio
7. Obtener retro alimentación de las partes interesadas y de los que han
participado en la respuesta




Capacitación Implementador Líder Certificado en la ISO 22301
Sección 20
Plan de respuesta de emergencia

a. ¿Qué es una emergencia?

b. Objetivos de un plan de respuesta de emergencia

c. Funciones y responsabilidades

d. Procedimiento de evacuación

e. Procedimiento de presentación de informes de
emergencia

f. Controles para limitar los impactos durante una emergencia

g. Controles de detección y prevención

h. Sensibilización, simulacro y capacitación
Requisitos
ISO 22301, cláusula 8.4.4

Planes de continuidad del negocio

Los procedimientos de respuesta deberán contener colectivamente:

c) Detalles para gestionar las consecuencias inmediatas de una interrupción
De una interrupción del negocio, teniendo en especial consideración:

1) el bienestar de las personas
2) las opciones estratégicas y operativas para responder a la interrupción; y
3) la prevención de pérdidas adicionales o indisponibilidad de las actividades
priorizadas



¿Qué es una Emergencia?
ISO 22399, cláusula 3.6

o Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere
acción inmediata

o Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:

 Fuego
 Incidente de materiales peligrosos
 Inundaciones o riadas
 Huracán
 Tornado
 Tormenta de invierno
 Terremoto
 Fallo de las comunicaciones
 Accidente radiológico
 Disturbios Civiles
 Pérdida de proveedores o clientes principales
 Explosión, etc.
Objetivos de un Plan de Respuesta de Emergencia
1ª PRIORIDAD: PROTEGER LA VIDA
o La protección de la salud y la seguridad de todos en las instalaciones es la
primera prioridad durante una emergencia

o Las otras prioridades pueden ser:

 Proteger el medio ambiente

 Limitar la pérdida financiera

 Proteger la salud y la seguridad de los animales

 Proteger registros,

 Restaurar las operaciones, etc.
Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse

I. Funciones y responsabilidades

II. Procedimiento de evacuación

III. Procedimiento de presentación de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de detección y prevención

VII. Sensibilización, simulacro y capacitación

I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia

o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones

o Él está al mando y en control de todos los aspectos de la situación de
emergencia

 Redacción de los procedimientos de respuesta de emergencia

 Aplicar controles preventivos físicos

 Ordenar la evacuación o el cierre de las instalaciones

 Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación
Mejores prácticas

1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación

1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas
claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:

 Lo suficientemente amplias como para que pueda evacuar el personal
 Libres y sin obstáculos en todo memento
 Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentación de Informes de Emergencia
Listas de Llamadas de Emergencia

o Las listas (del tamaño de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendrían para responder a una emergencia, sus
responsabilidades y sus números de teléfono disponibles las 24 horas

o Determinar requisitos locales y estatales para la presentación de informes
sobre las emergencias y a incorporarlos en sus procedimientos

 Policía

 Cuartel de Bomberos

 Compañía de Gas

 Los proveedores de telecomunicaciones, etc.


IV. Medidas Inmediatas para Limitar los Impactos
Elementos a tener en cuenta durante una emergencia

o En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el
control del acceso, pero nadie debería colocarse en peligro físico para realizar estas
funciones

o Las medidas de seguridad básicas incluyen:
 Cierre las puertas o las ventanas
 Establecer barreras provisorias con muebles después de que las personas han
evacuado de forma segura
 Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de
materiales con fugas
 Cerrar los armarios de archivo o los cajones de escritorios

o Sólo personal capacitado debería poder realizar medidas de seguridad avanzada

o El acceso a la planta debería estar limitado a las personas directamente implicadas en la
respuesta


V. Cierre de Instalaciones y Sistemas
Establecer los procedimientos de apagado/cierre

o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una
posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones
y daños a la propiedad

o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo de
puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre

o Trabajar con los jefes de departamento para establecer los procedimientos
apagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar:

 Las condiciones que podrían exigir el cierre/apagado?

 ¿Quién puede ordenar un cierre/apagado

 Quién va a llevar a cabo los procedimientos de cierre/apagado

 Cómo afectaría un cierre parcial a otras operaciones de las instalaciones

 El tiempo necesario para apagar y reiniciar

VI. Controles de Prevención y Detección
Algunos ejemplos de las medidas que se pueden aplicar ante una
emergencia

o Sistema de protección contra incendios

o Sistemas de protección contra rayos

o Sistemas de vigilancia del nivel de agua

o Dispositivos de detección de desbordamiento

o Desconexión Automática

o Sistemas de generación de energía
eléctrica de emergencia








VII. Sensibilización, Simulacro y Capacitación

1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para
proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones

2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una
sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de
emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y
confusión antes de llevar a cabo las actividades de capacitación más exigentes

3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta
realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo
general más gente y es más profunda que la de un ejercicio de mesa

4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica,
las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no
necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas
problemáticas

5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se
realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo
largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas
de escombros, humo en los pasillos. Los planes se modifican en consecuencia

6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más
estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la
dirección de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Preparación de las pruebas de auditoría para el plan de respuesta
ante emergencias
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 21
Plan de gestión de crisis

a. ¿Qué es una crisis?

b. Desarrollo del Plan Gestión de Crisis

c. Contenidos del Plan Gestión de Crisis
Requisitos


o Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)

o El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de
respuesta ante emergencias y el plan de comunicación en un único plan


Importante: El plan y los procedimientos desarrollados
deberían permitir responder al mismo tiempo de una
forma coherente, integrada y complementaria
¿Qué es una crisis?
ISO 22300, cláusula 2.1.12

Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la
credibilidad de la organización y requiere medidas urgentes
Características de una Crisis


o La crisis no siempre implican interrupciones de la actividad empresarial o
amenazas a la vida, a la propiedad, los activos

o Sin embargo, casi siempre son reto a la reputación de una organización y su
marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y
liderazgo efectivo

o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del público y de los medios


Plan de Gestión de Crisis
Objetivos y elementos comunes incluidos

El plan de gestión de crisis debería integrar procesos y procedimientos para:

I. Las funciones, la rendición de cuentas, la responsabilidad y la autoridad

II. Procedimiento de Emergencia

III. Notificación, invocación y escalada

IV. Comité de Crisis y equipos de gestión de crisis

V . Plan de comunicación de crisis



Gestión de Crisis
Una responsabilidad de la alta dirección

o Las funciones de la gestión estratégica se amplifican durante una crisis

o Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo
largo de líneas que no se pueden prever

o Incluso pueden incluir reposicionamiento estratégico de la organización en su
conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección

o Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a
aplicar, conducir y dirigir la gestión de crisis


La Gestión de Crisis lidia con la Complejidad
o Una gran cantidad de incidentes que pudieran causar trastornos (tornado,
terremoto, etc.) son predecibles y se pueden desarrollar respuestas pre-
preparadas

o Las crisis, por otra parte, se producen a menudo por riesgos que no
habían sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado

o Una crisis también puede ser producto de una combinación imprevista de
riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la
respuesta por lo general requiere soluciones realmente creativas, en
contraposición a las pre-preparadas,

o La gestión de crisis debe ser capaz de hacer frente a problemas que no se
pueden administrar por los procedimientos de GCN, sin importar qué tan bien
desarrollados pueden estar
La Gestión de Crisis lidia con Dilemas


o Las crisis están asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solución posible
puede tener graves consecuencias de una forma u otra

o Los administradores pueden tener para elegir la solución “menos mala” y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos
fundamentales. Estos pueden significar que cada elección viene con una pena
de algún tipo y que no existe una solución ideal


Comunicación
Un factor clave de éxito

o Aun cuando la organización se considera que está mal, o censurable, la
manifestación dela virtud, la integridad y la compasión pueden compensar, en
cierta medida, el daño a su reputación y prestigio

o La buena gestión de crisis puede demostrar las cualidades positivas de la
organización y mejorar su reputación general


Ejercicio 11
Plan de pandemia
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 22
Plan de recuperación de TI
a. Objetivos del plan de recuperación de TI

b. Activación del sitio de recuperación

c. Traslado al centro de recuperación y logística

d. Suministro de equipos

e. Procedimiento financieros y administrativos

f. Recuperación de telecomunicaciones

g. Recuperación de datos y procedimientos de backup

h. Recuperación de los servicios y sistemas por prioridad

i. Procedimiento de recuperación para cada sistema


Requisitos
ISO 22301, cláusula 8.4.4

Planes de continuidad del negocio


La organización deberá establecer procedimientos documentados para
responder a un incidente disruptivo y cómo continuará o reparará sus
actividades dentro de un tiempo predeterminado. Dichos
procedimientos deberán entender a las necesidades de las personas que
van a utilizarlos
El Plan de Respuesta de TI
Objetivos y elementos comunes incluidos

El plan de recuperación de TI debería integrar los procesos y
procedimientos para:

I. La activación del sitio de recuperación
II. El traslado al centro de recuperación y logística
III. El suministro de equipos
IV. Los procedimientos financieros y administrativos
V . Recuperación de telecomunicaciones
VI. Recuperación de datos y procedimientos de backup.
VII. Recuperación de los servicios y sistemas por prioridad
VIII. Procedimiento de recuperación para cada sistema

Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse

I. Funciones y responsabilidades

II. Procedimiento de evacuación

III. Procedimiento de presentación de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de detección y prevención

VII. Sensibilización, simulacro y capacitación

I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia

o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones

o Él está al mando y en control de todos los aspectos de la situación de
emergencia

 Redacción de los procedimientos de respuesta de emergencia

 Aplicar controles preventivos físicos

 Ordenar la evacuación o el cierre de las instalaciones

 Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación
Mejores prácticas

1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación

1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas
claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:

 Lo suficientemente amplias como para que pueda evacuar el personal
 Libres y sin obstáculos en todo memento
 Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activación del Sitio de Recuperación


o El equipo de recuperación debería llegar en primer lugar al sitio alternativo para
hacer una evaluación rápida con el fin de preparar el traslado de los empleados

o Con el uso de una lista de comprobación, se debería verificar y confirmar el
estado de los recursos en uso:

 HVAC

 Equipo y redes de TI

 Telecomunicaciones

 Copia de seguridad

 Espacio de oficina
II. Traslado al Centro de Recuperación y Logística
Logística

o Transporte de personal y materiales

o Apoyo y bienestar del personal

o Lista de los proveedores y contratos

o Entorno de los trabajadores remotos


III. Suministro de Equipos
Existen tres estrategias básicas para garantizar una rápida
situación de los equipos
Suministro de
Equipos
Acuerdos
con los
proveedores
Inventario
de Equipos
Equipos
Compatibles
Existentes
IV. Compatibilidad y Administración
o La organización debería desarrollar los procedimientos financieros y
administrativos para apoyar las necesidades de la empresa antes,
durante y después de un incidente

o Deberían establecerse procedimientos para garantizar que las decisiones
financieras se puedan acelerar y deberían estar en conformidad con os niveles
de autoridad y los principios de contabilidad

o Los procedimientos deberían incluir, pero no limitarse a, lo siguiente:

 Autoridad de finanzas, incluyendo sus relaciones de subordinación al
coordinador del programa(s)
 Acceso a fondos de emergencia
 Procedimientos de contratación de programas
 Nóminas
 Sistemas de contabilidad para llevar un seguimiento y documentar los
costos
V. Recuperación de Telecomunicaciones



Métodos Descripción
Redundancia
Consiste en proporcionar capacidad adicional con un plan para utilizar el
exceso de capacidad si no se encuentra disponible la capacidad de
transmisión principal normal
Ruta alternativa
Enrutamiento
diverso
Diversidad de
Red larga
distancia
Sistemas de
Comunicaciones
de Emergencia
Información de enrutamiento a través de un medio alternativo como cables
de cobre o fibra óptica
Enrutamiento del tráfico mediante instalaciones de cable partido o de cable
duplicado
Muchos proveedores de instalaciones de recuperación han proporcionado
diversas redes de larga distancia disponibles
Con el fin de comunicarse entre los miembros del equipo, debería elegirse un
sistema de comunicaciones de emergencia y otras alternativas
VI. Recuperación de Datos y Procedimientos de Backup
Los componentes clave para restaurar la disponibilidad de la
información

o Los procedimientos de copia de seguridad es el componente clave para restaurar la
disponibilidad de la información
o Una organización debería asegurarse de que la integridad y la confidencialidad de los
datos de la empresa se mantienen mientras se transfieren (ya se electrónica o físicamente)
a y desde los centros de recuperación, sujeto a las obligaciones contractuales con
organizaciones
o Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de
copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los
temas que una política y procedimientos de copias de seguridad deberían resolver están:
 A qué datos hay que hacerles copia de seguridad
 Cómo se caratula
 durante cuánto tiempo se mantiene
 Cómo se prueban las copias
 Con qué frecuencia se realizan backups
 Dónde se almacenan los medios
 Que tan rápidamente pueden ser recuperados los medios
 Quién está autorizado a recuperar los medios
 Cómo se restablecen


Copia de seguridad
Principales soluciones
1. Red de Área de Almacenamiento


•Gracias a la virtualización del almacenamiento,
se combinan varios dispositivos de
almacenamiento en un solo, lógico, sistema de
almacenamiento virtual



2. Duplicación

• Con la duplicación de los discos o las imágenes
de recuperación, se ha optimizado la
recuperación. Los datos se escriben en dos
discos y proporciona una alta disponibilidad


3. Procesamiento distribuido

•Los servicios, que se encuentra en la misma o
en múltiples ubicaciones, se configuran con
equilibrio de carga y agrupamiento para procesar
las solicitudes y los datos de intercambio





•Las publicaciones remotas, las transacciones o
archivos de diarios son transmitidos
periódicamente a las unidades remotas que se
encuentran fuera del sitio






•Con el almacenamiento electrónico, se realiza
una copia de seguridad de los datos a las
unidades remotas que se encuentran fuera de las
instalaciones mediante enlaces de comunicación
de alta calidad





•Otro es grabar archivos a medios de copia de
seguridad y transportarlos, a una ubicación fuera
del sitio



4. Almacenamiento electrónico
5. Diario Remoto 6. Archivos de medios
Alineación de la Estrategia de Copia de Seguridad
Con RPO y RTO
Propiedad Descripción
Propiedad baja – algún tipo de interrupción
con poco impacto, daño o perturbación de
la organización
• Copia de seguridad: Copia de seguridad en
cinta
• Estrategia: Reubicar o sitio frío
Propiedad importante o moderada –
cualquier sistema que, si perturbado, podría
causar un problema moderado a la
organización y posiblemente a otras redes
o sistemas
• Copia de seguridad: Duplicidad de
seguridad óptica de WAN/VLAN

• Estrategia. Sitio Frío o Tibio
De importancia fundamental o prioridad
alta- el daño o perturbación a estos
sistemas puede provocar el mayor impacto
sobre la organización, misión y otras redes
y sistemas
• Copia de seguridad: Sistemas reflejados y
duplicación de discos
• Estrategia: Sitio Caliente
Copia de seguridad
Ubicación y almacenamiento
Copia de seguridad
• Puede ser almacenada en
varios lugares, cada uno
cumpliendo un propósito
diferente

• Cuando son transportados,
los medios deberían ser
garantizados

VII. Recuperación de los Servicios y Sistemas por Prioridad



Sobre la base de las prioridades de las operaciones predeterminadas en el análisis
de impacto, una organización debería priorizar los servicios y los sistemas a
restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños
en el equipo, la disponibilidad real de personal y los posibles avances de la
recuperación
VIII. Procedimiento de recuperación para cada Sistema


o En el plan de recuperación, debería estar disponible un procedimiento de
recuperación para restaurar cada sistema en el ámbito del SGCN con:


 Una lista de la secuencia de operaciones a restaurar

 Requisitos del sistema para restaurar

 Tiempo estimado para cada operación

o Se describen los procedimientos de recuperación por equipo se deberían
realizar en la secuencia que se presenta para mantener un eficiente esfuerzo
de recuperación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 23
Plan de restauración
a. Los objetivos del plan de restauración

b. Asegurar los sitios

c. Evaluación de daños y seguros

d. Plan de restauración y asignación de recursos

e. Limpiar el sitio y restaurar la infraestructura

f. Sistemas y recuperación de datos TI

g. Pruebas y validación

h. Traslado al sitio principal

i. Recompensa y reconocimiento del personal


Requisitos
ISO 22301, cláusula 8.4.5


No hay ningún requisito formal de la norma ISO 22301
Para establecer un plan de restauración
Plan de Respuesta ante
Objetivos y elementos comunes incluidos
El Plan de restauración debería integrar los procesos y procedimientos para:

I. Asegurar los sitios

II. Evaluación de daños y de seguros

III. Plan de restauración y asignación de recursos

IV. Limpiar el sitio y restaurar la infraestructura

V . Sistema y recuperación de datos de TI

VI. Pruebas de validación

VII. Traslado al sitio principal

VIII. Recompensa y reconocimiento del personal


I. Asegurar los Sitios
Primer paso

o En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes,
saqueos, vandalismo, etc.

o Las obras de restauración deben ser protegidas para evitar acceso físico no
autorizado

o La planificación debería considerar cómo asignar o contratar guardias de
seguridad



II. Evaluación de Daños y de Seguros
Evaluación de daños Contacto con el seguro
III. Plan de Restauración y la Asignación de Recursos


Después de revisar la información sobre la magnitud de los daños y sus
repercusiones en el funcionamiento, recolectados por los equipos de respuesta de
emergencia y de continuidad, la alta dirección debería seleccionar las medidas que
han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de
recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura


Limpiar el sitio
Reconstruir la instalación y
Restaurar la infraestructura
V. Recuperación de los Sistemas de TI y de Datos


Restauración de la
Infraestructura de TI
Restauración de datos
VI. Pruebas y Validación








Prueba y validación de datos
Las pruebas y la validación de datos es el proceso de prueba y validación de
datos para asegurarse de que los archivos de datos o bases de datos se han
recuperado completamente en la ubicación permanente
Pruebas y validación de la funcionalidad
Pruebas de validación de la funcionalidad es el proceso de verificar que la
funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad
de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los
procedimientos de validación para asegurar que el sistema esté en
funcionamiento
VII. Traslado al Sitio Principal
Restaurar el funcionamiento normal
Declaración de fin del incidente o crisis
Cierre del sitio de recuperación
Informes de comentarios y de pos-recuperación
VIII. Recompensa y Reconocimiento del Personal


o Cuando termina un incidente, es importante que el personal que participó en la
respuesta a incidentes reciba cierto grado de recompensa o reconocimiento

o Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje para
asegurarse de que no se repita

o Las personas que han trabajado más allá de sus horas de trabajo y que han
tomado tareas adicionales deberían ver sus esfuerzos reconocidos de alguna
manera

o Esto puede hacerse de manera informal o formal. Por lo general es muy
positiva la participación de los gerentes y directores en un proceso formal de
reconocimiento
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 24
Plan de comunicación
a. Principios de una eficaz estrategia de comunicación

b. Proceso de Comunicación de CN

c. Establecer objetivos de comunicación

d. Identificar las partes interesadas

e. Planificar las actividades de comunicación

f. Planificar de la comunicación de una crisis

g. Realizar una actividad de comunicación

h. Evaluar la comunicación



2.6. Plan de Comunicación

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 7.4 y 8.4.3

7.4 Comunicación

La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicación.
b) Cuando comunicar, y
c) A quién se va a comunicar.

La organización deberá establecer, implementar y mantener procedimiento(s) para :
- Comunicación interna entre las partes, interesadas y empleados dentro del a organización,
- Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras partes
interesadas, incluidos los medios de comunicación,
- Recibir, documentar y responder a la comunicación de las partes interesadas.
- Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificación y el uso operacional, cuando corresponda.
- Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo.
- Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter
operabilidad de múltiples organizaciones y personal, cuando corresponda, y
- Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las
comunicaciones normales.



2.5. Planes y Procedimientos de la Continuidad del Negocio
Lista de actividades
5. Plan y procedimiento
de la Continuidad
del Negocio
2.6.1 Establecer
objetivos de
Comunicación
2.6.3 Planificar
las actividades de
comunicación
2.6.4 Realizar una
actividad de
comunicación
2.7 Capacitación y
sensibilización
2.6.5 Evaluar
la comunicación
2.6.2 Identifica
las Partes
Interesadas
Principios de una Eficaz Estrategia de Comunicación
1
Hacer que todos los procesos, procedimientos, métodos, fuentes de datos y supuestos utilizados en
la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la
confidencialidad de la información según se requiera
2
3
5
4
Transparencia
Idoneidad
Hacer que la información proporcionada en las partes interesadas sea pertinente, utilizando
formatos, el idioma y los medios que cumplan con sus intereses y necesidades, para que puedan
participar plenamente
Credibilidad
Respuesta
Claridad
Comunicar con una conducta honesta y justa, y proporcionar información que sea veraz, exacta y
sustantiva. Desarrollar la información y datos con métodos e indicadores reconocidos y
reproducibles
Responder a las preguntas y preocupaciones de las partes interesadas de forma plena y oportuna.
Hacer conscientes a las partes interesadas de cómo se han abordado sus preguntas e inquietudes
Asegurar que los métodos de comunicación y el lenguaje son comprensibles para las partes
interesadas para minimizar la ambigüedad
Proceso de Comunicación de la CN
ORGANIZACIÓN
Partes
Interesadas
Grupos
objetivo
P
r
i
n
c
i
p
i
o
s

d
e

l
a

c
o
m
u
n
i
c
a
c
i
ó
n

Establecer
objetivos
Identificar
las partes
interesadas
Estrategia de comunicación de la Continuidad del Negocio
Tener en cuenta las
Cuestiones relativas
a los recursos
Política de comunicación de la continuidad del negocio
Otros principios
Corporativos,
Políticas y estrategias
Política de continuidad
del negocio
Planificar

Realizar
Evaluar
Las actividades de comunicación de la continuidad del negocio
2.6.1. Establecer Objetivos de Comunicación

Ejemplos
o Mejorar la credibilidad y la reputación de la organización

o Establecer diálogo constante sobre cuestiones de la continuidad del negocio
con las partes interesadas

o Cumplir con los requisitos legales aplicables y otros requisitos que la
organización suscriba

o Influir en la política pública sobre problemas de continuidad del negocio

o Proporcionar información y fomentar la comprensión de las partes interesadas
acerca de las actividades de la continuidad del negocio

o Cumplir con las expectativas de las partes interesadas sobre información de la
continuidad del negocio
2.6.2. Identificar las Partes Interesadas
Para adaptar el plan de comunicación
Clientes
Inversores
Proveedores
Medios de
comunicación
Empleados
Comunidades
2.6.3. Planificar las Actividades de Comunicación


Claves para el éxito

o Una organización debería decidir qué es lo que pretende conseguir
con una actividad de comunicación de la continuidad del negocio

o Se deberían establecer objetivos compatibles con los objetivos de
comunicación de la continuidad del negocio y que sean
específicos, mensurables, alcanzables, realistas y con plazos

o Esto permitirá que la organización evalúe la actividad de
comunicación de la continuidad del negocio y determine si el
objetivo se ha cumplido, o no

o La organización debería prever problemas de continuidad de negocio
de interés para las partes interesadas


Planificar la Comunicación de una Crisis


o Aunque la comunicación de la continuidad del negocio es importante en todo
momento, es particularmente importante durante las crisis y las emergencias
de continuidad del negocio

o La organización debería identificar las posibles crisis y emergencias, y
planificar la adecuada comunicación de la continuidad del negocio

o La planificación debería abordar información

pertinentemente para dar respuesta a las situaciones
potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicación
Sitio Web
Informes
Folletos &
Boletines
Carteles
Métodos y herramientas de comunicación
Correos electrónicos
Artículos de prensa
Comunicados de
prensa
Anuncios
Reuniones Públicas
Grupos de enfoque
y encuestas
Visitas guiadas a la
organización
Talleres
Y Conferencias
Entrevistas con los
Medios
Presentación a los
grupos
Medios sociales
Ejemplo de Actividades de Comunicación


Invitación a visitas y medios de comunicación durante un ejercicio

o Los visitantes pueden tomar una función más o menos formal de “observador”

o Se invita ocasionalmente a los medios de comunicación a informar sobre
ejercicios (pero su presencia también puede ser peligrosa…)

2.6.5. Evaluar la comunicación






o Una organización debería permitir tiempo suficiente para que la comunicación de
la continuidad del negocio sea eficaz

o El tiempo necesario depende de la naturaleza de la comunicación, el número de
partes interesadas y sus preocupaciones, y el tipo de soporte utilizando

o La organización debería revisar y evaluar la eficacia de su comunicación de la
continuidad del negocio





Comunicación y Reportes
Ejemplo de un formulario


Nombre del
proyecto
Número de
proyecto
Responsable Nombre Fecha 01.02.2015
Comunicación Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3
Enfoque de la
comunicación
Interés y temas principales
Estado Actual (Partidario/
Natural/Oponente
Apoyo deseado
(Alto/Medio/Bajo)
Funciones prevista en el
Proyecto
(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales de
comunicación
Ejercicio 12
Comunicación de una crisis
Día 4
Implementador Líder

Certificado en la ISO 22031
Curso de Capacitación para Implementador Líder Certificado en la
ISO 22301
Sección 25
Pruebas y ejercicios


a. Definición

a. Definición de la estrategia de ejercicios y pruebas

c. Creación de un plan de ejercicios y pruebas

d. Creación de escenarios de ejercicios y pruebas

e. Programa de ejercicios y pruebas

f. Determinar los objetivos de los ejercicios/pruebas

g. Realizar una actividad de ejercicios y pruebas

h. Evaluación de una actividad de ejercicios y de pruebas

i. Informe de Ejercicios/Pruebas



2.7. Pruebas y ejercicios

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 8.5

Pruebas y ejercicios

La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organización deberá llevar a cabo ejercicios y pruebas que:
a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de
su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios
significativos dentro de la organización o para el medio ambiente en el que
opera.



Pruebas y ejercicios








Ejercicio
• Proceso para capacitar, evaluar,
practicar, y mejorar el
rendimiento de una organización




Prueba
• Único y particular tipo de ejercicio,
que incorpora un elemento de
expectativa de aprobar dentro del
objetivo o los objetivos del
ejercicio que está previsto


Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes,
procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinación inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeño individual; e identificar las oportunidades
de mejora
¿Por qué Evaluar Planes de Continuidad del Negocio?
Capacitación del personal en la utilización de planes de CN
Ganar adeptos en todas las áreas de negocio
Probar la adecuación, exactitud y veracidad de los actuales planes de
recuperación
Probar los componentes de elementos técnicos
Objetivos de los ejercicios y pruebas
Mejorar procedimientos de recuperación del negocio
Asegurar que todos los aspectos del negocio están cubiertod
Capacitación del personal en la utilización de planes de CN
2.7. Pruebas y ejercicios
Lista de actividades
2.6 Comunicación
3.1 Supervisión,
Medición, análisis y
evaluación
2.7.3. Creación de
escenarios
2.7.4 Programa de
ejercicios y
pruebas
2.7.5 Selección
De objetivos
De ejercicio/prueba
3.2 Auditoria
interna
3.3 Revisión
por la Dirección
27.6 Realizar una
actividad de
ejercicio/prueba
2.7.1 Definición
de la estrategia
2.7.2 Plan de
ejercicios &
pruebas
2.7.7 Evaluación
de una actividad de
ejercicio/prueba
2.7.8 Informe de
Ejercicio/Prueba
2.7.1. Definición de la Estrategia de Ejercicios y Pruebas





Proceso de
revisión
Familiarización
Comprobación y tutorial
del proceso
de invocación y
recuperación
Operacional
Servicio
En operaciones
Servicios integrales de
conmutación entre el
Sitio principal y el
secundario
Aumentar la confianza y la capacidad de
recuperación
Simulación de recuperación
Integrado
Componente
Pruebas / ejercicios
de cada proceso
O competen de la
infraestructura
Pruebas / ejercicios
de recuperación del
Servicio integral
2.7.2. Creación de un Plan de Ejercicios y Pruebas


El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la
base para una auditoría, incluyendo:

1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio,
etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta dirección
2.7.3. Creación de Escenarios de ejercicios y Pruebas
Tipo de ejercicio ¿Qué es? Beneficio Desventajas
Lista de control
Tutorial
estructurado
Paralelo
Simulación
Interrupción
total
Distribuye planes para su
revisión
Examina detenidamente
Cada paso del PCN
Prueba completa, pero las
Operaciones no se
detienen
Escenario para representar
Procedimientos de
recuperación
El desastre se replica al punto
de que cesen las
Operaciones normales
Asegura que el plan aborda
todas las actividades
Asegurar que las actividades
Previstas se describen con
exactitud en el PCN
Sesión de práctica
Garantizar un alto nivel de
Fiabilidad sin interrumpir las
Operaciones normales
Prueba más fiable del PCN
No aborda la
eficacia
Bajo valor para
demostrar capacidad
de respuesta
Cuando los
subconjuntos son
muy diferentes
Caro, ya que todo el
personal está
involucrado
Arriesgada
Tipo de Escenarios de Prueba para el Sistema de TI
Prueba
Prueba
Estática
Prueba
Dinámica
Prueba
Funcional
Objetivo
• Valida que los equipos y
sistemas se ajustan a las
especificaciones y que
operan en los entornos
requeridos, y que los
procedimientos y los
procesos son viables.
2.7.4. Programa de Ejercicios y Exámenes

Departamento/Proceso/Sistema

Prueba
Lista de
control

Tutorial

Recursos humanos

Estática

Finanzas

Adquisiciones

Ventas

CRM

Dinámica
Sistema de correo
electrónico
Funcional
Ejercicio
Paralelo Simulación
Interrupción
total
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas


Recomendaciones

o Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de
prestación de servicios, el ejercicio debería ser cuidadosamente planeado para
reducir al mínimo el riesgo de que ocurra un incidente como consecuencia
directo del ejercicio

o Los ejercicios deberían ser realistas y cuidadosamente planificados y
acordados con las partes interesadas, de modo de que exista un mínimo
riesgo de interrupción de los procesos empresariales

o La escala y la complejidad de los ejercicios deberían ser adecuadas a los
objetivos de recuperación de la organización
2.7.6. Realizar una Actividad de Ejercicio/Prueba


El ejercicio debería realizarse en el momento oportuno que mejor responde a los
objetivos del evento, y:

 Causa el nivel mínimo de perturbación a la organización y a las partes
interesadas

 Cuando el número apropiado de participantes requeridos para apoyar el
ejercicio está disponible

 Cuando los lugares físicos, activos, equipos o instalaciones están
disponibles para su uso en el ejercicio

Detener o Suspender el Ejercicio
Detener o Suspender

• Hay ejercicios que se pueden detener o
suspender, antes de la hora programada por
una serie de razones, incluso cuando se
plantea un incidente real

• Esta decisión de detener o suspender el
ejercicio debería ser adoptada por el
coordinador del ejercicio, que debería estar
en posesión del estado de las actividades
desarrolladas en el ejercicio y poder decidir
el momento más seguro para detener las
actividades

• Algunas organizaciones utilizan
palabras clave para lograr esto



Documentación de Ejercicios/Pruebas

Lista estándar

1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duración de la prueba
7. Pasos específicos de la prueba
8. Quiénes serán los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medición del éxito o el fracaso de las pruebas
2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba


Los informes pos ejercicios deberían cubrir:
Tiempo
Tiempo real de ejecución de las tareas previamente determinadas vs. El
tiempo planificado
Suma Suma del trabajo realizado vs. El trabajo planificado
Número
Precisión
Lecciones
aprendidas
Recomendaciones
Cantidad de transacciones y registros realizados con éxito vs. La cantidad
planificada
Precisión de la entrada de datos en la instalación de reserva comparada
con la precisión normal vs. La planificad
Identificación de errores y comisiones
Lo que hay que aplicar para mejorar el PCN
2.7.8. Informe de Ejercicios/ Pruebas
Ejemplo
Dificultades / Problemas
Durante el ejercicio/prueba
Razones/Causas Cogniciones (Lecciones
Aprendidas)
<Texto> … …
<Texto> … …
<Texto> … …
<Texto> … …


¿Qué ha funcionado
Durante la prueba?

¿Qué no funcionó
Durante la prueba?
Curso de Capacitación para Implementador Líder Certificado en la
ISO 22301
Sección 26
Supervisión, medición, análisis y evaluación

a. Proceso de supervisión, medición, análisis y evaluación

a. Determinar los objetivos de la medición

c. Objetivo de la supervisión y de la medición

d. Determinación de la frecuencia y del método

e. Presentación de los resultados

f. Tablero del SGCN




3.1. Supervisión, Medición, Análisis y Evaluación del SGCN

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 9.1

9.1 Supervisión, medición, análisis y evaluación
9.1.1 Generalidades

La organización deberá determinar:
a) Lo que debe ser medio controlado
b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para asegurar
resultados válidos;
c) Cuándo el seguimiento y la medición deberán ser llevados a cabo;
d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los
resultados de las mediciones.
La organización deberá conservar la información apropiada documentada como evidencia de los
resultados.
La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN.
Además la organización deberá:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados
antes de que se produzcan una no conformidad
- Conservar la información apropiada documentada como evidencia de los resultados
-
Definiciones
según la ISO 22301





Supervisión (3.29)
•Determinar el estado de un sistema,
un proceso o actividad
Medida (3.27)
Evaluación del Rendimiento (3.36)
•Proceso para determinar un valor
•Proceso de determinar resultados
mensurables
Proceso de Supervisión, Medición, Análisis y Evaluación


El objetivo principal es la mejora del SGCN


Objetivo A
Objetivo B
Objetivo C
Atributo A
Atributo B
Atributo C
Indicador de rendimiento A
Indicador de rendimiento B
Indicador de rendimiento C
TABLERO OBJETIVO DE MEDICIÓN
REVISIÓN Y
MEJORA
3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
Lista de Actividades
2. Implementación
del SGCN
(Hacer)
3.3 Revisión
por la Dirección
3.1.1 Objetivos
de medición
3.1.2 Objetivos de
Supervisión y
Medición
3.1.3 Creación
de indicadores
3.1.4 Creación de
paneles
3.2 Auditoria
Interna
3.1.1. Determinación de los Objetivos de medición
Objetivos de la Medición

 La norma no indica lo que debe ser objetivo de
supervisión o medición

 Corresponde a la empresa determinar qué es lo
que necesita ser controlado y medido

• Es una mejor práctica centrarse en la vigilancia
y medición de las actividades que están
vinculadas a los procesos críticos que permiten
a la organización alcanzar sus metas y objetivos
de continuidad

• Demasiadas medidas pueden distorsionar el
enfoque de una organización y desenfocar lo
que es verdaderamente importante



2. Función de Asesoramiento dentro de la
organización para la mejora continua
3.1.2. Objetivo de la Supervisión y Medición
¿Qué mínimamente necesita ser supervisado y medido?
1. La medida en que
se cumplen la continuidad
del negocio, política, objetivos
y metas de la organización

5. Los datos y los
resultados de la
supervisión y medición
suficientes para facilitar
el posterior análisis de
las acciones correctivas
y preventivas
2. Los procesos,
procedimientos y funciones
que protegen sus
actividades prioritarias
3. Evidencia histórica
de los resultados
deficientes del SGCN,
por ejemplo, no
conformidad, conatos,
falsas alarmas
4. El cumplimiento de las exigencias legales y
nominativas, las mejores prácticas del sector y de la
conformidad con su propia gestión de la política y
objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
• % de falsas alarmas
con detección de
eventos
• Costo promedio de
un incidente
• % del personal que
ha recibido
capacitación y
calificaciones de CN
• Número de horas de
capacitación de los
empleados

• % de planes
probados
• Número de ejercicios
realizados en el
último año

• % de no conformidades
no cerradas en la
demora fijada
• Número de días en
promedio para cerrar
una no conformidad
Incidentes Capacitación Ejercicios No conformidades
3.1.3. Determinación de la Frecuencia y el Método de Supervisión y
Medición
Objetivos de la Medición

 La norma no indica, ni cómo ni la frecuencia con
que debe realizarse o evaluarse la supervisión
o la medición

 Es ala organización quien determina cómo
controlar, medir y con qué frecuencia

• Es la mejor práctica utilizar tableros para
registrar y notificar las actividades de medición y
supervisión con indicadores de rendimiento

• Los tableros deberían indicar los resultados
obtenidos frente a los objetivos de rendimiento





¿Cómo y cuándo se debe controlar y medir?
COM
O
3.1.4. Presentación de los resultados
Ejemplo de Tablero
Ejecución – Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestión – Táctico
Mide el progreso hacia el logro delos objetivos tácticos
Alta Dirección – Estratégico
Hace posible el progreso de la estrategia de
continuidad
I. Tablero Operativo
Ejemplo
II. Tablero Táctico
Ejemplo
Evaluación de los procedimientos
Procedimiento evaluado
Notas a la debilidad
Y la fuerza
Nivel de cumplimiento
1 2 3 6 5 4 7 8
1
2
5
4
3
6
8
7
9
10
Evaluación global
Procedimiento de control de documentos
Procedimiento de control de registros
Procedimiento de competencia,
sensibilización y capacitación
Procedimiento de auditorias interna
Procedimiento de acciones correctivas
Procedimiento de acciones correctivas
Procedimiento de revisión por la
dirección
Procedimiento de supervisión y medición
Procedimiento de gestión de recursos
Procedimiento de compra
Nro.
III. Tablero Estratégico
Ejemplo
Indicador 1 Indicador 2 Indicador 3 Indicador 4
18
19
27
29
36
41
50
28
39
49
48
65
61
71
0
10
20
30
40
50
60
70
80
2004 2005 2006 2007 2008 2009 2010
Serie 1 Serie 2
25
20
27
60
20
Descripción A Descripción B
Descripción C Descripción D
Descripción E
Ejercicio 13
Supervisión, medición, análisis y evaluación
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 27
Auditoria Interna

a. Las diferencias entre las Auditorías Internas y Externas

a. Rol de la Función de la Auditoria Interna

c. Independencia, objetividad e imparcialidad

d. Planificación de las actividades de auditoria

e. La gestión y la asignación de recursos

f. Crear un procedimiento de auditoría

g. Actividades de seguimiento de no conformidades




3.2. Auditoría Interna

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 9.2

9.2 Auditoría interna
9.1.1 Generalidades

La organización deberá llevar a cabo auditorías internas a intervalos planificados para
proporcionar información a fin de prestar asistencia en la determinación de si el SGCN:
a) cumple:
1) Las necesidades propias de la organización para su SGCN,
2) Los requisitos de esta norma Internacional.
b) se aplica y es manteniendo de forma afectiva.

La organización deberá:
-Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
métodos,
- responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías
(s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria,
- La selección de los auditores y la realización de las auditorias para asegurar la objetividad e
imparcialidad del proceso de auditoría.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la
auditoría.


¿Qué es una Auditoría?
ISO 19011, cláusula 3.1
Proceso sistemático, independiente y
documentado para obtener evidencia de auditoría
y evaluarla para determinar en qué medida cumple
los criterios de auditoría
En resumen:
Auditoría significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditorías
Interna
Auditoría de primera
Parte
Nuestra organización audita sus
propios sistemas
Organización
Auditoría de Segunda
Parte
Nuestro cliente audita
nuestra organización
Auditoria de Segunda
Parte
Nuestra organización
audita a nuestro
proveedor
Auditoría de
Tercera parte
La organización es
auditada por una
organización
independiente
Cliente Proveedor
Externa
Las Diferencias entre las Auditorías Internas y Externas
Principales características
Auditoría Interna


1. Es independiente de las actividades auditadas
(no de la organización)

2. Considera la eficacia y la eficiencia del
sistema de gestión

3. Función de Asesoramiento dentro de la
organización para la mejora continua

4. Puede llevarse a cabo en el curso de las
operaciones

Auditoría Externa


1. Totalmente independiente de la organización
auditada y sus actividades

2. Sólo considera la eficacia del sistema de
gestión

3. No tiene función de asesoramiento a la
organización (sólo recomendaciones
generales)

4. La actividad de la auditoría siempre e
planifica de manera oportuna

Principales Servicios y Actividades de la Auditoría Interna
Objetivos
principal
es
1. Evaluación de los objetivos
del sistema de gestión
2. Evaluación general del
Funcionamiento del sistema
de gestión
3. Evaluación de la gestión
de riesgos en curso
4. Evaluación de la eficacia y
la eficiencia de los procesos y
medidas
8. Coordinación entre las
auditorias internas y
externas
7. Evaluación de la mejora
continua
6. Evaluación de la medición
y la revisión del sistema de
gestión
5. 4 Evaluación de la eficacia y la
eficiencia de la gestión del ciclo de
vida del mismo sistema de gestión
ISO 19011


INTERNATIONAL
ISO
STANDARD
19011








______________________________________
Societal security- Business continuity

Management Systems –Requirements








______________________________________


Guía de auditoría para los sistemas de gestión
o Las definiciones de los conceptos de
auditoría de sistemas de gestión

o Descripción de las características y
principios básicos de la auditoría y la
profesión de auditor

o Descripción de todos los elementos
clave del proceso de auditoría

o Descripción de los aspectos
fundamentales de un programa de
auditoría

o Directrices sobre las calificaciones de
los auditores

2.7. Pruebas y ejercicios
Lista de actividades
3.1 Supervisión,
medición,
análisis y evaluación
3.3 Revisión por la
Dirección
3.2.3 Establecer
Independencia,
objetividad e
Imparcialidad
3.2.4 Planificar
actividades de
auditoria
3.2.5 Asignar y
administrar los
recursos
3.2.6 Crear
procedimiento de
auditoría
3.2.1 Crear el
programa de
auditoría interna
3.2.2 Designar
una Persona
Responsable
3.2.7 Realizar
actividades de
auditoría
3.2.8 Seguimiento
de No
conformidades
3.2.1. Crear el Programa de Auditoria Interna
ISO 19011, cláusula 5
Establecer el programa de auditoría (5.2)

-Objetivos y alcance – Roles y responsabilidades
-Competencia - riesgo del programad e auditoría
- Procedimientos - Recursos
Aplicación del programa de auditoría (5.3)

-Definir cada objetivo, alcance y criterios de la
auditoría
-Determinar el método (s) de auditoría
-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa
de auditoria

Supervisión del programa de auditoria (5.4)

-Revisar y aprobar los informes de auditoría
-Determinar la necesidad de una auditoria de
seguimiento
-Evaluar el desempeño delos miembros del
equipo de auditoria y retro alimentación por
parte de todos los interesados
Actividades de
Auditoria
(cláusula 6)
Competencia y
evaluaciones
de los
auditores
(cláusula 7)
P
l
a
n
i
f
i
c
a
r

H
a
c
e
r

V
e
r
i
f
i
c
a
r

A
c
t
u
a
r

Revisar y mejorar
programa de
auditoría (5.5)
3.2.2. Designar una Persona Responsable


1. Desarrollar un programa de auditoría interna (funciones y
responsabilidades, procedimientos, documentos de trabajo, formación de
auditores, etc.)
2. Planificar las actividades de auditoría
3. Administrar los recursos
4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con
estos criterios
5. Escribir informes de auditoría
6. Asegurar que se siguen las mejores prácticas y que se aplican los
procedimientos de auditoría durante la realización de la auditoría.
7. Implementar un programa de evaluación continua de los auditores
8. Realizar el seguimiento de las no conformidades y las recomendaciones
de auditorías anteriores
Funciones y responsabilidades
Principales Servicios y Actividades de la Auditoría Interna
Preparar, conducir y cerrar una
auditoria, comunicación oral y
escrita de las conclusiones
Operación de un sistema de
gestión e interacción
entre sistemas
Principales leyes y
reglamentos, cláusulas
de contrato
Evaluación y gestión de los
riesgos de auditoría y aquellos
relacionados a la operación de
un sistema de gestión
Principales procesos presentes en
todas las organizaciones (RRHH,
Finanzas, Producción, etc.)
Principios
de auditoría
Sistema
de gestión
Aspectos
legales
Proceso
organizacional
Riesgos
de auditoría
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditoría
Definición normal del propósito y actividades de la auditoría interna
Definición formal de la autorización de acceso de Auditores internos
El establecimiento de la independencia de la auditoría interna
Definición de las responsabilidades y los servicios que serán
proporcionados por la auditoría interna
Definición formal del alcance y la extensión de la auditoría interna
Estructura del estatuto
(carta) de auditoría
El Acceso y la Independencia



El acceso a los recursos y la colaboración
• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados,
oficinas, información, explicaciones y la documentación necesaria para el buen
desarrollo de la auditoría para el buen desarrollo de la auditoría
• Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditoría
Independiente
• Los auditores internos deben ser independientes de los procesos auditados, y esto
generalmente se garantiza si el auditor informa a la Comisión de cuentas de la
organización en lugar de directamente a la alta dirección

• Esta necesidad de independencia debería reflejarse en el organigrama
1
2
3.2.4. Planificación de las Actividades
Planificación a corto y largo plazo
Una planificación de auditoría d
alto nivel para tres años
• Esta planificación debe tener en
cuenta que el sistema general de
gestión debería ser auditado cada
tres años
Una planificación anual más
detallada


• Esta planificación debe tener en
cuenta que no hay ningún requisito
para que el auditor audite todos los
procesos y controles del sistema de
gestión durante ese año
3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría


Recursos financieros
Recursos humanos
ISO 19011, cláusula 5.3.6
Herramientas
Políticas y procedimientos de auditoría Logística
3.2.6. Crear Procedimientos de Auditoría
1. Planificar y programar las
auditorias teniendo en
cuenta los riesgos de
auditoría
2. Administrar la seguridad de
la información y la
confidencialidad y gestionar
los riesgos de auditoría
3. Garantizar la competencia
de los auditores y los lideres
de los equipos
Los procedimientos de auditoría deberían incluir información sobre cómo:
4. Seleccionar equipos de
auditoria apropiados y
asignar sus roles y
responsabilidades
5. Realizar auditorias incluyendo
el uso de métodos de
muestreo apropiados
6. Realizar el seguimiento de la
auditoría, si procede
7. Informar de los resultados
del programa de auditoría
al cliente de auditoría
8. Mantener registros del
programa de auditoría
9. Monitorear la operación, los
riesgos y eficacia del
programa de auditoría
ISO 19011, cláusula 5.3.5
Para las organizaciones pequeñas, las actividades mencionadas arriba
pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditoría
Fuente de información
Uso de
Procedimientos de auditoría
Incluyendo el muestreo
Evidencia de la auditoría
Evaluación frente a los
Criterios de auditoria
Hallazgo de la auditoría
Revisión
Conclusiones de la
auditoría
No conformidad
Definición

o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad
es el “no cumplimiento de un requisito”

o Hay dos tipos de no conformidades

 No conformidad menor

 No conformidad mayor



3.2.8. Seguimiento de no conformidades

Directrices
o El auditor interno debería seguir los planes de acción presentados en
respuesta a las no conformidades (como resultado de las autoridades internas
y externas)

o La persona a cargo del SGCN debe informar al auditor interno de la marcha de
las acciones correctivas

o El papel del auditor interno se limita a validar los planes de acción y las
acciones correctivas

o No todas las medidas correctivas tiene que ponerse en práctica
inmediatamente
Basado en su experiencia y conocimiento, el auditor interno debería
ejercer buen criterio y evaluar si los planes de acción
apropiados y pueden abordar las causas intrínsecas de las conformidades
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 29
Tratamiento de problemas y no conformidades

a. Proceso de análisis de la causa raíz

a. Herramienta de análisis de la causa raíz

c. Procedimiento de acciones correctivas

d. Procedimiento de acciones preventivas





3.3. Revisión por la Dirección

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 9.3

Revisión por la Dirección

La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para
asegurarse de su conveniencia, adecuación y eficacia

La revisión por la dirección deberá incluir la consideración de :
a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema
de gestión de la continuidad del negocio;
c) Información sobre el desempeño de la continuidad del negocio, incluyendo las
tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluación del seguimiento y la medición;
3) Resultados de la auditoría; y
d) Oportunidades para la mejora continua.
Revisión por la Dirección
Definición

Una revisión periódica de la eficacia del Sistema de Gestión realizada por
la alta dirección para analizar su conveniencia, adecuación y eficacia
continuas
Término Concepto
Idoneidad
Adecuación
Eficacia
Los resultados se logran de la mejor manera posible
Las salidas cumplen con los criterios establecidos
El sistema cumple con las necesidades de la organización
3.3. Revisión por la Dirección
Lista de actividades
1.2 Implementación
del SGCN
4. Mejora
Continua
3.3.1 Preparar
la Revisión
por la Dirección
3.3.2 Realizar
la Revisión
por la Dirección
3.3.3 Cierre de
la Revisión
por la Dirección
3.3.4 Seguimiento
de la Revisión
por la Dirección
3.1 Supervisión
Medición, análisis y
evaluación
3.2 Auditoría
Interna
3.3.1. Preparación de la Revisión por la Dirección


o La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados
(por lo menos una vez al año)

o La revisión por la Dirección se puede incluir en una reunión de Dirección y ser
uno de los temas del orden del día

o Es una buena práctica enviar al comité de gestión toda la documentación
relacionada (informe de auditoría, resultados de las revisiones, planes de
acción…) antes de la revisión
Requisitos
ISO 22301, cláusula 8.5

Pruebas y ejercicios

La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organización deberá llevar a cabo ejercicios y pruebas que:
a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de
su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y.
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios
significativos dentro de la organización o para el medio ambiente en el que
opera.



3.3.2. Realizar una Revisión por la Dirección


La entrada de una revisión por la Dirección debería incluir información sobre:

1. Los resultados de auditorías del SGCN y sus revisiones
2. Las técnicas, productos o procedimientos, que podrían utilizarse en la organización
para mejorar el rendimiento y la eficacia del SGCN
3. Estado de las acciones preventivas y correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo anterior
6. Los resultados de las mediciones de la eficiencia
7. Las acciones de seguimiento de revisiones por la Dirección anteriores
8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos
9. Adecuación de la política
10. Recomendaciones para la mejora
11. Las enseñanzas derivadas de incidentes
12. Buenas prácticas y guías emergentes
Temas que figuraran en el programa
3.3.3. Resultados de la Revisión


El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones
relacionadas con lo siguiente:
1. Variaciones al alcance del SGCN;
2. Mejora de la efectividad del SGCN;
3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante
incidentes y procedimientos de respuesta;
4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los
cambios en:
 Requisitos empresariales y de funcionamiento
 Reducción de riesgos y requisitos de seguridad
 Procesos de las conducciones de funcionamiento del negocio que inciden en
los requisitos operativos existentes;
 Los requisitos reglamentarios o legales
 Las obligaciones contractuales
 Los niveles de riesgo y/o criterios para la aceptación de riesgos;
 Necesidades de recursos
 Los requisitos económicos y presupuestarios
 Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles

Decisiones y resoluciones
3.3.4. Seguimiento de la revisión por la Dirección


o Las revisiones por la Dirección deben ser documentadas

o La organización debería presentar informes sobre la revisión por la Dirección a
todos los que forman parte de ella

o El coordinador del SGCN y el quipo de auditoría interna tiene la
responsabilidad de garantizar que los planes de acción de seguimiento sean
aprobados
Dirección
4.1. Tratamiento de Problemas y No Conformidades

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 10.1

10 Mejora
10.1 No conformidad y acción correctiva

La organización deberá:
a) Identificar no conformidad(es);
b) Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d) Implementar las medidas necesarias
e) Examen de la eficacia de las medidas correctivas adoptadas,
f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si es
necesario. Las acciones correctivas que se tomen deberán ser apropiadas a los
efectos de las no conformidades encontradas
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios
significativos dentro de la organización o para el medio ambiente en el que
opera.



Definiciones


ISO 9000
Mejora continua
Actividad recurrente para aumentar la capacidad de cumplir con los
requisitos (ISO 9000, 3.2.13)
Corrección Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Acción
Correctiva
Acción
Preventiva
Acción para eliminar la causa de una no conformidad detectada u otra
situación indeseada (ISO 9000,3.6.5)
Medidas para eliminar la causa de una no conformidad potencial u otra
situación potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades
Lista de actividades
2 Implementación
del SGCN
4.2. Mejora
Continua
4.1.1 Proceso
de resolver
problemas y no
conformidades
4.1.2.
Procedimiento d
acciones
correctivas
4.1.3.
Procedimiento de
acciones
correctivas
4.1.4. Planes
de acción
3.1 Medición del SGCN
3.2 Auditoría
Interna
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades




Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas
Inicio
3
Desarrollar
Plan Provisional de
Contención
Elegir/ Comprobar las
Acciones Correctivas
Permanentes (ACP)
5
Definir y Verificar
Causa(s)
4
Seleccionar las causas
Probables
¿Es la
Causa
Una
Causa
Raíz?
Desarrollar
Soluciones posibles(s)
Validar y Aplicar las ACP
Prevenir la recurrencia
Facilitar a su Equipo
6
7
8
Describir el Problema
Establecer el Equipo/
Utilizar un enfoque de
Equipo
Identificar el Problema
2
1
0
Finalizar
Si
No
Face de Planificación
Herramienta de Análisis de la Causa Raíz
Diagramas de causa y efecto
Gestión de
Procedimientos
El Sitio de
la Red no
funciona
con
frecuencia
No hay un procedimiento
Para gestionarlo

No hay formación en la sensibilización

Ningún proceso establecido
para tratar con sitio de la red
Cuando se descompone


El personal de TI no mide
el rendimiento del
prestador del servicio del
sitio de la red.
Proveedor externo inadecuado

Equipos Obsoleto
No se siguen adecuadamente los
procedimientos de actualización de la
página web

El personal de TI no está
apropiadamente capacitado
para gestionar el sitio de la red.
No hay capacitación de gestión
del sitio de red para sus
empleados

Insuficiencia de recursos
para gestionar el sitio de
la Red
Causas Prioritarias
Evaluaciones Recursos Recursos
Haciendo las preguntas correctas
Situación actual Interrogatorio Seguimiento de la solución Opción (es)
¿Qué se ha hecho?
¿Cómo se hace?
¿Dónde se hace?
¿Quién lo hizo?
¿Cuándo se hace?
¿Por qué es necesario?
¿Por qué se hace de esta
manera?
¿Por qué se hace en este
lugar?
¿Por qué esta persona?
¿Por qué se hace en este
momento?
¿Qué otra cosa podríamos
hacer?
¿Cómo hacerlo de manera
diferente?
¿Quién más podría hacerlo?
¿Dónde más podríamos
hacerlo?
¿Podríamos hacerlo en otro
momento?
¿Qué se hará?
¿Cómo se hará
esto?
¿ Quién lo hará?
¿Cómo se hará
esto?
¿Cuándo se va a
hacer?
Necesarias para el análisis de cualquier problema
4.1.2. Procedimiento de Acciones Correctivas
Acción correctiva
Mejora Continua
Análisis situacional
Identificación de la no
conformidad
Revisión y seguimiento de acciones
tomadas
Implementación de soluciones y registros
de las medidas tomadas
Análisis de las
causas raíz
Evaluación de las
opciones
Selección de
soluciones
Identificación y documentación de la no conformidad
4.1.3. Procedimiento de Acciones Preventivas



La organización deberá determinar las acciones para eliminar las
causas potenciales de no conformidad, de conformidad con los
requisito del SGCN
Eficacia
Acciones preventivas
Acciones
correctiva
Costos
4.1.1. Elaboración de Planes de Acción
Se puede escribir en forma resumida
Deben permitir que sea corregida la no conformidad
Deberían basarse en un enfoque preventivo y correctivo
Deben incluir un plazo de ejecución
Deben permitir la obtención de resultados verificados
Presentación de los Planes de Acción tras una Auditoría


o Se deberá presentar un plan de acción global por cada no conformidad, no un
plan de acción para todas las no conformidades

o Los planes de acción deben ser aprobados por la dirección

o El auditor analizará las causas y evaluará si la corrección especifica y las
medidas correctivas adoptadas o previstas, permitirán eliminar no
conformidades detectadas, dentro de un tiempo definido
Planes de Acción


Ejemplo
1
Almacenar datos archivados y correos electrónicos en un servidor de
archivos más fiable (2º trimestre 2008)
2
Una nueva versión de la política de CN debe ser publicada para incluir un
marco para establecer objetivos (en el plazo de 2 meses)
3
Los nombres de las personas de contacto en caso de desastre deben ser
explícitamente mencionados en el plan de continuidad del negocio
(inmediatamente) y los procedimientos para contactar a estas personas
deben ser documentados y comunicados (Tema incluido en el plan de
concientización del 2009)
Ejercicio 14
Planes de acciones correctivas
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 30
Mejora continua

a. Proceso de seguimiento continuo de factores de cambio

b. Mantenimiento y mejora del SGCN

c. Actualización continua de la documentación y registros

d. Documentar las mejoras





4.2. Mejora Continua

1. Planificar

















2. Hacer

















3. Verificar

















4. Actuar
















4.1 No
conformidades y
acción correctiva
4.2 Mejora
continua
3.1 Supervisión,
medición, análisis y
evaluación
3.2 Auditoría
interna
3.3 Revisión por
la Dirección
2.1 Análisis del Impacto
en el Negocio (AIN)
2.2 Evaluación del
Riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Protección &
Mitigación
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
1.1. Planificar el
SGCN
1.2 Comprensión
de la organización
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificación
1.4 Alcance
1.6 Política de CN
1.7 Estructura
organizativa
1.8 Información
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 10

10 Mejora
10.2 Mejora Continua

La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del SGCN

NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación
y evaluación del desempeño, para lograr mejoras.


Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la
eficiencia de la organización para cumplir con sus políticas y objetivos.
En pequeños pero certeros
pasos
4.2. Mejora Continua
Lista de Actividades
2. Implementación
del SGCN (Hacer)
Auditoría de
Certificación
4.2.1. Supervisión
de factores de
cambio
4.2.2.
Mantenimiento y
mejoras
4.2.3. Actualización
de la
documentación
4.2.4. Documentar
las mejoras
3. Verificar
4.1. Tratamiento
De problemas y
no conformidades
4.2.1. Proceso de Seguimiento continuo de los Factores de
Cambio
Los cambios en la organización

• Misión
• Objetivos de la empresa
• Presupuesto y recursos
• Cambios en el personal


Cambios en
las tecnologías

• Hardware
• Software
• Los procedimientos de TI
• Los procesos de TI
Cambios por el SGNC

• Política de continuidad del
negocio
• Nuevos escenarios de
riesgo
• Los cambios de los
procedimientos
• Resultado de las pruebas
y ejercicios
• Resultado de la auditoría
Los Cambios externos

• Leyes y reglamentos:
• Necesidades y preocupaciones
de los clientes y proveedores
• Proveedores de SLA
• Los cambios en el entorno por
ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
• El SGNC debe ser mantenido
y actualizado periódicamente.
• Las mejoras acordadas en el
proceso y las acciones
necesarias para mejorar el
proceso deberían ser
notificadas a los directores
más apropiados para
asegurar que ningún riesgo es
pasado por alto ni
subestimado antes de la
aplicación de los cambios.
Mejora
Implementación
Mantenimiento
4.2.3. Actualización Continua de la Documentación y Registros

Cambio continuo
Documentación del SGCN


• Política del SGCN
• Análisis de riesgos
• Estrategia
• Continuidad del Negocio y planes de
reanudación
• Programa de sensibilización
• Programas de Educación
• Planificación de las actividades y los
resultados.
• Los niveles de servicio acordados




Ejercicio

• Evolución organizacional
• Nuevas reglas
• Cambios en el alcance del negocio
• Incidentes
• Funcionamiento defectuoso
• Fallos
• Informes de la Gestión de Riesgos
• Resultados de las pruebas
• Auditorías Internas
• Auditorías Externas




Revisar y adaptar
4.2.4. Documentar las Mejoras
Por lo general, mediante el procedimiento de gestión del cambio

Record of Changes
Page # Change Comment Date of
Change
Signature
Capacitación para Implementador Líder
Certificado en la ISO 22301
Sección 31
Preparación para la auditoría de certificación

a. Selección de la entidad de certificación

b. Preparación para la auditoría de certificación

c. Etapa 1 de la auditoría

d. Etapa 2 de la auditoría

e. Auditoría de seguimiento

f. Decisión sobre la certificación

g. Auditoría de vigilancia





Requisitos

ISO 22301, cláusula 4.4
Sistema de gestión de continuidad del negocio

La organización deberá establecer, implementar, mantener y mejorar continuamente un
SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con
los requisitos de esta Norma Internacional.




Organismo de Certificación
ISO 17021

Organismo de Certificación: Terceros que realizan la evaluación de la
conformidad de los sistemas de gestión.

Certificación: Procedimiento en el cual un tercero garantiza por escrito
que un producto, proceso o servicio es conforme a las condiciones
indicadas.


Lista de Actividades
Proceso de Certificación
1. Seleccionar un
Organismo de
Certificación:
2. Preparación de
la auditoría
Mejora Continua y
Auditoría de Vigilancia
3. Etapa 1 de la
auditoría
4. Etapa 2 de la
auditoría (auditoría
in situ)
Implementación del
SGCN
A
n
t
e
s

d
e

l
a

A
u
d
i
t
o
r
í
a

Informe de auditoría
interna Revisión por la
Dirección
A
u
d
i
t
o
r
í
a

I
n
i
c
i
a
l

S
e
g
u
i
m
i
e
n
t
o

d
e

l
a

A
u
d
i
t
o
r
í
a

5. Auditoría de
seguimiento (si es
necesario)
6. Decisión de
Certificación
Antes de la Auditoría






o Antes de ser auditado, un SGNC debe estar en funcionamiento durante un
tiempo determinado

o Por lo general, se requiere un plazo mínimo de tres meses.


o Como mínimo, se debe haber realizado por lo menos una auditoría interna, así
como una revisión por la dirección.





1. Selección de un Organismo de Certificación

Principales criterios

1 Notoriedad y credibilidad
2 Presencia geográfica
3 Las referencias en su sector
4 Posibilidad de una auditoría combinada
5 Habilidades y experiencia del equipo auditor
6 Precio
El Rechazo de un Auditor


o Es posible solicitar la
sustitución de los miembros
del equipo de auditoría por
razones válidas.

o El equipo de auditoría podría
retirarse si considera que las
razones mencionadas no son
válidas.


2. Preparándonos para la Auditoría de Certificación
2.Preparar
al personal
3. Auditoría de
práctica.
1. La Auto
evaluación
Recomendaciones




Preparación para la
auditoría
3. Etapa de la auditoría

1. Visita al sitio
• Evaluación de la ubicación del cliente y las condiciones
específicas del lugar.
• Reunión/contacto con el personal auditado.
• Observación general de las operaciones del SGCN
2.2. Entrevistas con
actores claves
• Validación del alcance, así de cómo las limitaciones legales,
reglamentarias y contractuales aplicables
• Validación de que se han realizado las auditorías internas y las
revisiones por la Dirección.
• Preparación de la etapa 2 de la auditoría.
3. Revisión de documentos
• Comprensión general del funcionamiento del sistema de
gestión.
• Evaluación del diseño del sistema de gestión, así como de los
procesos y controles relacionados.
Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.
4. Etapa 2 de la auditoría

Auditoría in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA


Asegurar que el SGCN:

- Cumple con todos los requisitos de la norma ISO 22301
- Está eficazmente aplicado
- Permite que la organización logre sus objetivos de continuidad del
negocio
Recomendación de Certificación





Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones
siguientes relativas a la certificación:


1. Recomendación para la certificación.

2. Recomendación para la certificación con la condición de la presentación de
planes de acciones correctivas sin visita previa.

3. Recomendación para la certificación con la condición de la presentación de
planes de acciones correctivas con visita previa.

4. Recomendación desfavorable.
5. Realización de una Auditoría de Seguimiento






• Basado en las conclusiones de la auditoría, el auditor puede tener que llevar
a cabo una auditoría de seguimiento antes de que la organización sea
recomendada para la certificación.

• La verificación de los planes de acción y las medidas correctivas relacionadas
con las no conformidades identificadas en el informe de auditoría.
ISO 17021, cláusula 9.1.12-13
Una no conformidad mayor debería generalmente implicar
una auditoría de seguimiento.
6. Decisión sobre la Certificación





El organismo de certificación debe tomar la decisión de certificación basado
en:

 Una evaluación de los resultados y conclusiones de la auditoría.

 Cualquier otra información pertinente (por ejemplo, la información
pública, los comentarios del cliente en el informe de auditoría)
ISO 17021, cláusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditoría nunca
toman parte en la decisión de certificación.
6. Decisión sobre la Certificación





El organismo de certificación debe tomar la decisión de certificación basado
en:

 Una evaluación de los resultados y conclusiones de la auditoría.

 Cualquier otra información pertinente (por ejemplo, la información
pública, los comentarios del cliente en el informe de auditoría)
ISO 17021, cláusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditoría nunca
toman parte en la decisión de certificación.
Elementos a Auditar durante una Auditoría de Vigilancia
ISO 17021, cláusula 9.3.2
Gestión del
Cambio
Auditoría
Interna
La auditoría de vigilancia tiene por
objeto garantizar que el SGCN sigue
siendo implementado y está
mejorando.
Planes de
Acción
Revisión
por la
Dirección
Mejora
Continua
Reclamos
Y
Sugerencias
Utilización
de marcas
registradas
La auditoría se centra principalmente
en la mejora continua, y en el
seguimiento de los planes de acción.
Control de las
Operaciones
Efectividad y
métricas
Auditoría de Re Certificación





• Una auditoría de re certificación deberá ser planificada y realizada
para evaluar el cumplimiento continuo de todos los requisitos cada tres
años.


• La auditoría de re certificación tendrá en cuenta el rendimiento del
sistema de gestión durante el periodo de certificación, y deberá incluir
la revisión de los anteriores informes de auditoría de vigilancia.


• La duración de una auditoría de re certificación debería ser de 2/3 del
tiempo dedicado a la auditoría inicial


ISO 17021, cláusula 9.4
Uso de los Órganos de Certificación y las Marcas Registradas ISO





• Una organización certificada está autorizada para exhibir públicamente
su certificación y para su uso con fines de comercialización


• La certificación no se puede mostrar directamente en un producto o de
una manera que conduzca a creer que el producto está certificado.


• El organismo de control proporcionará a la entidad auditada un logotipo
que se puede utilizar para la comercialización.


ISO 17021, cláusula 8.4.1.
Capacitación para Implementador Líder
Certificado en la ISO 22301

Sección 32
Competencia y evaluación de un Implementador Líder


a. Las competencias de un implantador

b. Esquema de certificación de PECB

c. Solicitud de auditoría

d. Mejora continua de las competencias


Definiciones de Competencia
ISO 9000, cláusula 3.1.6

 Capacidad demostrada
para aplicar
conocimientos y
habilidades

Competencia
Competente
Habilidades
Habilidades
de
conducta
Conocimiento
C
o
n
o
c
i
m
i
e
n
t
o
s

d
e

Contexto
Habilidades de Conducta
Habilidades de Conducta
Describe en detalle cómo se llevan a
Cabo las tarea y actividades
Proporciona la evidencia objetiva del
Cumplimiento de los requisitos de la norma
1. Integridad 5. Perceptivo 10. Responsable
2. Mente abierta 6. Versátil 11. Abierto a la mejora
3. Diplomático 7. Tenaz 12. Culturalmente sensible
4. Observador 8. Decisivo 13. Colaborador
9. Auto suficiente
Habilidades de Conducta
Esquema de Certificación de PECB para la ISO 22301





Resumen de requisitos
Examen Credencial Profesional
Experiencia
Profesional
Experiencia
auditoría de
SGCN
Experiencia
Proyecto de
SGCN
ISO 22301
Fundamentos
ISO 22301
Fundamentos
--------------- ------------- -------------
ISO 22301
Auditor Líder
ISO 22301
Auditor Provisional
-------------- ------------ -------------
ISO 22301
Auditor

2 Años (1 en
continuidad del negocio)
200 horas
------------

ISO 22301
Auditor Líder
5 Años (2 en
continuidad del negocio)
300 horas ------------
ISO 22301
Implementador
Líder
Implementador
Provisional ISO 22301
------------ ------------ ------------
ISO 22301
Implementador
2 Años (1 en
continuidad del negocio)
------------ 200 horas
ISO 22301
Implementador Líder
5 Años (2 en
continuidad del negocio)
------------
300 horas

AL ISO 22301 +
IL ISO 22301
ISO 22301 Master
10 años (6 en
continuidad del negocio)
500 horas 500 horas
Proceso de la Certificación de PCEB
4. Solicitud de
certificación
5. Evaluación de
su solicitud
6. Certificación
7. Mantenimiento
de la certificación
1. Examen PECB 2. Certificado CPD
3. Resultados del
examen
1. Presentarse al Examen de PECB
Preparación para el examen
• El Objetivo de este examen es garantizar que los candidatos conocen y
dominan:
1. Los principios fundamentales y los conceptos de continuidad del negocio.
2. Las Mejores prácticas de Control de la continuidad del negocio.
3. La planificación de un SGCN basado en la norma ISO 22301
4. La aplicación de un SGCN basado en la norma ISO 22301
5. La evaluación del desempeño, seguimiento y medición de un SGCN basado
en la norma ISO 22301
6. La mejora continua de un SGCN basada en la norma
ISO 22301
7. Prepararse para una auditoría de certificación del SGCN

• Los participantes tienen derecho a utilizar toda su
documentación
• El examen dura tres horas

2. Certificado de Terminación de Curso
Certificado de DPC (Desarrollo Profesional continuo)

3. Anuncio de los Resultados del Examen

Los posibles resultados son:
A
P
R
O
B
A
D
O

 Usted recibe un número de examen por correo
electrónico
 Este número de examen es importante cuando
solicite la certificación de PECB
D
E
S
A
P
R
O
B
A
D
O

 Puede intentar una re-examinación dentro de los
12 meses del examen inicial
 Contáctese, por favor, con el proveedor del
examen para determinar una fecha para la re-
examinación
Nota Importante: Al candidato no se le enviará una puntuación numérica
4. Solicitud de Certificación

Proceso general

• Una vez que ha aprobado el examen, usted puede solicitar en línea su
certificación de PECB en www.pecb.org

• Al hacer la solicitud, debe proporcionar la siguiente información:

1 Sus detalles de contacto
2 Su experiencia profesional y su experiencia de auditoría
3 Por lo menos tres referencias.
4. Solicitud de Certificación

Expediente de experiencia profesional

Experiencia válida de proyectos Las actividades de implementación
 Pre-evaluación
 Análisis de brechas
 Implementación interna
 Implementación externa / consultoría
 Implementación parcial
 Elaboración de la implementación de
un caso de negocio del SGCN
 Gestión de un proyecto de
implementación del SGCN
 Realizar una evaluación de riesgos y
un AIN
 Aplicar medidas de mitigación
 Elaborar un plan de continuidad del
negocio
 Participar en las pruebas y ejercicios
de los planes de CN
 Aplicar las métricas y tableros
 Aplicar medidas correctivas o
preventivas
 Realizar una revisión por la dirección
 Gestionar un equipo de continuidad
del negocio.
5. Evaluación de su Solicitud

Una vez que esté completada su solicitud, PECB hará la evaluación:

• Se contactará a sus referencias para validar:

 Su experiencia de trabajo y su experiencia de auditoría.
Su actitud personal.


• Su solicitud no será evaluada hasta que por lo menos dos de sus
referencias hayan contestado.


• Usted podrá verificar si sus referencias han contestado en su cuenta de
membresía de PECB

6. Certificación

• Si su solicitud es aprobada, PECB enviará el certificado por correo
electrónico en formato PDF.

• Este certificado contiene el número de certificación que puede validar en la
página web PECB www.pecb.org siguiendo la pestaña “Entregar un
certificado”

• Sólo las personas que estén debidamente certificadas pueden usar el título
de “Implementador Líder Certificado en la ISO 22301 (PECB)”

• También es posible utilizar los siguientes títulos:

 IL Certificado ISO 22301 (PECB)
 Implementador Líder ISO 22301 (PECB)
 IL ISO 22301 (PECB)

6. Mantenimiento de la Certificación
Mantenimiento y mejora continua de las competencias




Desarrollo profesional
continuo (mínimo de 45 horas de
capacitación continua para un periodo
de 3 años)
Mantenimiento de capacidades
de proyecto (mínimo de 45 horas de
actividades de proyecto para un periodo
de 3 años)
7. Mantenimiento de la Certificación
Mantenimiento y mejora continua de las competencias




CERTIFICACION:
Requisitos Anuales Total Tri - Anual
Experiencia Educación Experiencia Educación
Fundamentos,
implementador
Provisional y Auditor
provisional
0 Ninguna 0 Ninguna Ninguna Ninguna
Implementador 10
Horas de experiencia
laboral, implementación o
experiencia relacionada con
consultoría
10
Horas de capacitación, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
30 horas 30 horas
Auditor 10
Horas de experiencia
laboral, tareas relacionadas
con experiencia en
auditorías o evaluación
10
Horas de capacitación, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
30 horas 30 horas
Implementador Líder 15
Horas de experiencia
laboral, implementación o
experiencia relacionada con
consultoría
15
Horas de capacitación, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
45 horas 45 horas
Auditor Líder 15
Horas de auditoría o de
tareas relacionadas con
evaluación
15
Horas de capacitación, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
45 horas 45 horas
Máster 30
Horas de implementación,
gestión o tareas
relacionadas con auditoría.
30
Horas de capacitación, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
90 horas 90 horas
Capacitación para Auditor Líder Certificado
en la Norma ISO 22301

Sección 33
Cierre de la capacitación

a. Evaluación de la capacitación

b. Otras capacitaciones y certificaciones para la ISO 22301

c. Otras Capacitaciones y certificaciones para implementadores


Evaluación de la Capacitación
Formulario de evaluación del curso




Otras Capacitaciones y Certificaciones para ISO 22301

Auditor Líder
ISO 22301
(5 días)
 Principios fundamentales de la continuidad del negocio
 Conceptos fundamentales y principios de auditoría
 Pruebas y riesgo
 Procedimientos de auditoría
 Conclusiones de la auditoría
 Acciones Correctivas
Gestor de Riesgos
ISO 27005:31000
(3 días)
 Términos y definiciones relativos a la gestión de riesgos
 Las normas, marcos de referencia y metodologías de
gestión de riesgos.
 Establecer el contexto y definir criterios del riesgo.
 Identificación y análisis de riesgos.
 Evaluación y tratamiento de riesgos.
 Las opciones y planes de tratamiento de riesgo.
Desarrollo de la Carrera Profesional




Otras Capacitaciones y Certificaciones para Implementadores

ISO 9001
Gestión de Calidad
ISO 14001
Gestión Ambiental
OHSAS 18001
Gestión de salud y seguridad física
ISO 20000
Gestión de servicios TI
ISO 22000
Gestión de la seguridad alimentaria
ISO 22301
Gestión de Continuidad de Negocios
ISO 27001
Gestión de seguridad de la información
ISO 28000
Sistemas de gestión de seguridad para la cadena de suministro
Capacitación “Puente”