¡La universidad de todos!

Tema: ISO 22301 –CONTINUIDAD DEL NEGOCIO

Docente: ING. CARLOS MANUEL RODRIGUEZ PALOMINO

Periodo académico:
Escuela Profesional Semestre:
INGENIERÍA INDUSTRIAL Unidad:
ISO 22301 –CONTINUIDAD DEL NEGOCIO
¿En qué consiste un Sistema de Gestión la Continuidad del Negocio?

Permite revisar constantemente los riesgos de su negocio y el conocer el grado real de preparación para
responder ante situaciones imprevistas, ayudándole a minimizar el impacto en el negocio de las posibles
interrupciones.

Consiste en la preparación proactiva de la organización frente a contingencias de todo tipo que puedan
suponer una interrupción de la actividad de una empresa, suponiendo perjuicios de diferente gravedad
según la importancia del ámbito donde se ha producido el paro y el tiempo de inactividad.

puede considerarse, por lo tanto, como la capacidad estratégica y táctica de una organización para
planificar y responder ante incidentes o interrupciones de negocio

En los casos más graves, la interrupción de la continuidad del negocio puede suponer la propia
desaparición de la empresa, al producirse daños irreparables
Beneficios de un Sistema de Gestión la Continuidad del Negocio

Beneficios de un Sistema de Gestión la Continuidad del Negocio

Garantizar el cumplimiento de los objetivos prioritarios del negocio en caso de contingencia.

Brindar seguridad y confianza a las partes interesadas

Reducir los efectos adversos en los servicios de la organización por una interrupción inesperada.

Identificar amenazas y vulnerabilidades sobre las operaciones críticas de la compañía, para su tratamiento
y control de manera proactiva.

Integrar la estandarización, innovación y el liderazgo en la gestión del riesgo operativo.

Reducir al mínimo las posibilidades de que una contingencia llegue a provocar

Beneficios de un Sistema de Gestión la Continuidad del Negocio

Sistema de Gestión de la Continuidad del Negocio

Sistema de Gestión de la Continuidad del Negocio

EL ESTADAR ISO 22301:2012

se basa en la norma ISO 22301, la cual enfatiza ciertos aspectos de la organización y de la
sustentabilidad del negocio como: la información, las aplicaciones informáticas, las cuestiones
financieras, contables y legales, así como también los procesos productivos y operativos.

La ISO 22301 es un marco que le permite identificar las posibles amenazas a su organización y
fortalecer la capacidad de la misma.

La norma ISO 22301 proporciona un marco formal de continuidad de negocio y nos guiará a
desarrollar un plan de continuidad de negocio que mantendrá su organización funcionando
durante y después de la interrupción.

también minimizará el impacto de un evento disruptivo, así que usted podrá reanudar el servicio lo más
rápido posible, asegurando que los servicios clave y los productos son entregados.
ISO 20301

ISO 20301
 SEGURIDAD DE LA INFORMÁTICA
REQUISITO DEL ISO 22301:2012 –CICLO DEMING

ESTRUCTURA DEL ISO 223001:2012

• El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos” aplica
el ciclo Plan-Do-Check-Act (PDCA por sus siglas en inglés) (planificar-hacer-verificar-actuar).
cuyo fin es la mejora continua de la calidad en los distintos aspectos o fases del programa:

Planificación. Mantenimiento

Establecimiento. Revisión.

Implementación. Monitoreo.

Operación.
1. Principales Requisitos del ISO 223001:2012 ISO22301:2012

Gestión de la
APOYO continuidad del
Organización y Planificar Y Hacer
OPERACI
negocio
su contexto
ÓN

Acciones para
atender riesgos
y Resultados
EVALUACI
oportunidades PLANIFICACIÓN LIDERAZGO ÓN DEL del SGCN
DESEMPE
ÑO
Necesidades y
expectativas de
las partes
Planes de
interesadas Verificar continuidad de
pertinentes Actuar MEJORA
negocio
Estrategias de
recuperación
SEGURIDAD DE LA INFORMÁTICA

PLANIFICAR

ACTUAR HACER

VERIFICAR
MONITOREO Y
REVISIÓN
Cláusula: 9
 1. Principales Requisitos del ISO 223001:2012
Cláusula 4 – Contexto de la organización
 Conocimiento de la organización y su contexto:
 ¿Quiénes son sus partes interesadas? ¿Cuáles
son sus necesidades y expectativas?
 Se ha de definir el ALCANCE de la certificación
teniendo en
cuenta el contexto, y de forma más detallada.
Cláusula 5- Liderazgo
La Alta Dirección de la compañía debe demostrar
liderazgo y compromiso a través de las
siguientes acciones:
Dirigiendo y apoyando la mejora continua,
Facilitando los recursos necesarios,
Estableciendo objetivos y metas,
Estableciendo responsabilidades, autoridades
Integrando la gestión de la continuidad de negocio
en la planificación estratégica de la compañía
ISO22301:2012
Cláusula 6- Planificación
Depende el éxito de la implementación del sistema. Algunos de los
hitos críticos son:
•Establecimiento de objetivos estratégicos de continuidad de
negocio,
•Definición de criterios: niveles mínimos de productos y
servicios que son aceptables para la compañía en caso de
crisis.
Cláusula 7- Apoyo
 Recursos: Humanos, Infraestructuras y Ambiente para la operación
de los procesos, de seguimiento y medición, conocimientos
organizativos,…
 Toma de Conciencia de política, objetivos pertinentes, su
contribución al éxito y las implicaciones de desviarse de lo previsto.
 Comunicación interna y externa.
 Información documentada (Mayor flexibilidad).
 1. Principales Requisitos del ISO 223001:2012 ISO22301:2012
Lanorma
Cláusula 8- Operación

Aquí se encuentran algunas de las cláusulas más

importantes de la norma:

•Análisis de Impacto en el Negocio

•Evaluación de Riesgos
•Estrategia de Continuidad de Negocio
•Establecimiento e implantación de
procedimientos de Continuidad de Negocio
•Ejercicios, pruebas y simulacros
 1. Principales Requisitos del ISO 223001:2012 ISO22301:2012
Lanorma
Cláusula 9- Evaluación del desempeño

La norma exige un seguimiento

permanente y revisiones periódicas para
mejorar su desempeño:
Seguimiento, medición, análisis y
evaluación.
Auditorías internas a intervalos
planificados.
Revisión del Sistema por la Dirección. Se
han de definir las entradas y salidas de la
revisión.
Grado de seguimiento de las políticas
 ISO22301:2012
Lanorma
Clausula 10- MEJORA

La compañía debe asegurarse de mejorar

continuamente la eficacia y la eficiencia
de los procesos:

Cumpliendo los objetivos establecidos

Mejorando los controles de seguridad
Utilizando los resultados de auditorías y
revisiones
para emprender acciones de mejora, revisar
objetivos, actualizar el análisis de riesgos…
Documentación requerida por el ISO 22301:2012

• Todos los Sistemas de Gestión que se quieren certificar bajo un

estándar ISO, deben cumplir una serie de requerimientos, muchos
de ellos enfocados a la documentación del Sistema.

• Focalizándonos en la ISO 22301, la Organización Internacional de

Normalización, no impone límites en la cantidad de documentos
que una Organización que se quiera certificar, aunque sí exige una
documentación mínima que debe ser contemplada. Esta
documentación mínima es la siguiente:
 Documentación requerida por el ISO 22301:2012
1. Principal Documentación requerida por el ISO 22301:2012 ISO22301:2012
Cláusula 4.3.1 - Alcance del SGCN Cláusula 8.2.2- Análisis de Impacto de Negocio
 Debe mantenerse un documento en el que se En el que se identifiquen las actividades críticas del negocio y se
identifique el alcance del SGCN y que contemple evalúen el impacto de no realizar dichas funciones.crisis.
los requerimientos y necesidades

Cláusula 5.3- Política de Continuidad de Negocio Cláusula 8.4.2- Decisiones de Comunicación

La Alta Dirección establece una Política de
 Una Organización debe decidir a qué partes interesadas
Continuidad de Negocio que sea apropiada para
(incluyendo actores externos) debe comunicar que ha ocurrido
los objetivos de la Organización
una crisis y debe documentar su decisión.
Esta política deberá ser comunicada y estar
disponible para todas las partes interesadas que lo
Cláusula 8.4.4-Procedimientos de Respuesta a Incidentes
requieran.
Cláusula 7.3-Competencias Se debe disponer de procedimientos en los que se expliquen los
Se debe garantizar que el personal dispone de la roles y responsabilidades de los actores involucrados, los
competencia adecuada para su función y si es procedimientos de gestión de la incidencia, la operativa para la
necesario, facilitar su capacitación. La continuidad de las operaciones entre otros requerimientos.
Organización debe mantener evidencias de esto.
 ISO22301:2012
Cláusula 9.1.1-Resultados de monitorización y
evaluación Cláusula 9.1.1- Plan de Actualización
 Se deben monitorizar las actividades, analizarlas y
evaluarlas. Estos resultados deben guardarse como La revisión y actualización de las pruebas y procedimientos
evidencia del proceso garantiza que se dispone de información reciente en caso de
que haya que activar el Plan de Continuidad.
 Cuando se identifiquen, la Organización tomará las
medidas oportunas para mitigar dichas deficiencias y
deberá guardar registros de las acciones tomadas como
evidencia.
Cláusula 10.1-Resultados de acciones correctivas
Cualquier cambio derivado de las auditorías o fallos
detectados en las revisiones que sea implantado debe
Cláusula 9.2-19- Auditoría Interna
generar un registro en el que se indique los resultados de
Esta cláusula indica que la Organización debe realizar dichas acciones.
auditorías internas a intervalos planificados. El informe
de la auditoría deberá guardarse como evidencia de que
la auditoría se ha realizado.
Sector de aplicacion
Sector de Aplicación del ISO 22301 ISO22301:2012
Lanorma

La norma ISO 22301, tiene vocación

universal, aplicable a organizaciones de
todos los sectores y tamaños, y que
describe de qué debe constar un sistema de
gestión de la seguridad de la información en
cualquier tipo de organización.
Esta norma es especialmente importante en
sectores como la sanidad, TICs,
administración pública, sector financiero e
industrial.
Ventajas de ISO 22301

Ventaja para la organización

Mejor comprensión de las actividades importantes, y los recursos que le dan soporte.

Un marco para la mitigación del riesgo

Identifican, evalúan y gestionan las amenazas actuales y futuras para su organización.

Minimizan el tiempo de interrupción tras cualquier incidente y mejoran notablemente el tiempo de

recuperación

Demuestran su capacidad de resistencia a todos sus grupos de interés: clientes, proveedores y personal
interno.

Disminuyen costes y mejoran competitividad.

Ventajas de ISO 22301

Ventaja para los clientes

Los clientes perciben un servicio continuado y fiable.

Salvaguarda de los intereses de los accionistas

Ayudan a recuperar la estabilidad en caso de crisis generalizada en

el entorno.

Confianza, al estar trabajando con una empresa capaz de garantizar la

continuidad en la adversidad.