Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO/IEC 22301
2016
Docente: Ing. Manuel Castillo Fernández
1
Agenda de la Semana
Introducción aa la
Introducción la norma
norma ISO
ISO 22301
22301 yy el
el inicio
inicio
Día
Día 11 De un
De un SGCN
SGCN
Planificar la
Planificar la implementación
implementación del
del SGCN
SGCN
Día
Día 22 Despliegue del
Despliegue del SGCN
SGCN
Monitoreo del
Monitoreo del SGCN,
SGCN, mejora
mejora continúa
continúa yy
Preparación para
Preparación para la
la auditoría
auditoría de
de certificación
certificación
Día 33
Día
Examen final
Examen final
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 2
Estándar y marco normativo
a. ¿Qué es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión
d. Sistema de gestión integrado
e. Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
¿Qué es ISO?
Enfoque en el
cliente
Liderazgo
Participación de
Enfoque del Las personas
Sistema para la Enfoque en los
gestión procesos
Mejora continua
Enfoque basado
en hechos para la
Toma de decisiones Relaciones
Mutuamente
Beneficiosas con
el proveedor
Normas de Sistemas de Gestión
OHSAS 18001
ISO 9001 ISO 20000
ISO 14001 Salud y
Calidad Medioambiente Seguridad en Servicios
el trabajo de TI
Compromiso de la
5.1 4.4.1 4.1 5.2 5
Dirección
Requisitos de
4.2 4.4 4.3 7.5 4.3
Documentación
Revisión por la
5.6 4.6 4.5.4.3 9.3 7
Dirección
ISO 22301
Sección 5 Liderazgo
Sección 6 Planificación
Sección 7 Apoyo
Sección 8 Funcionamiento
Sección 10 Mejora
ISO 22313
(Documento de referencia).
• Cláusula escrita utilizando el _______________________________________________
materia de aplicación.
• La organización no puede
ser certificada en esta norma
_________________________________________________
Historia de la norma ISO 22301
1988 – 2013
2013
2012
Ejemplos
ISO 24762
ISO 27031
Control
A.14.1.4 Marco referencial para
la Se debe mantener un solo marco referencial del plan de continuidad
de negocio para asegurar que todos los planes sean consistentes y
Planeación de la
para tratar consistentemente los requerimientos de la seguridad de
continuidad la información e identificar las prioridades de pruebas y 8.5 Ejercicio y pruebas
Del negocio mantenimiento.
Control
A.14.4.5 Prueba mantenimiento
Los planes de continuidad de negocio se deben probar y actualizar
Ejercicio 1
Ventajas
El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 3
Sistema de Gestión de la Continuidad del Negocio (SGCN)
a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
¿Qué es la Continuidad del Negocio?
Nota:
Nota: El
El sistema
sistema de
de gestión
gestión incluye
incluye la
la estructura,
estructura, las
las políticas,
políticas, las
las
actividades de planificación, las responsabilidades,
actividades de planificación, las responsabilidades,
Las
Las prácticas,
prácticas, los
los procedimientos,
procedimientos,
Los
Los procesos
procesos yy los
los recursos
recursos dede la
la organización
organización
Los componentes claves de un SGCN
1. Una política
2. Personas con responsabilidades definidas;
3. Procesos de gestión asociados con:
- Política
- Planificación
- Implementación y operación
- Evaluación del rendimiento
- Revisión por la Dirección
- Mejora
4. Documentación que provea pruebas
auditables
5. Cualquier proceso de gestión de la
continuidad del negocio pertinente a la
organización
El ciclo Planificar – Hacer – Verificar – Actuar (PHVA)
Planificar Partes
Partes
Interesadas
Interesadas Establecer un
SGCN
Actuar Hacer
Mantener y Implementar
Mejorar el SGCN El SGCN
Requerimientos
expectativas
Supervisar y
de la Continuidad del
Revisar el SGCN
Continuidad del Negocio
Negocio Gestionada
Verificar
Requisitos generales
ISO 22301
En resumen
La organización deberá establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimiento
2. Determinar
de la 3. Implementar y
las
organización Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organización
Comprensión de las •Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y •Los requisitos de estas partes interesadas
Expectativas de las •Requisitos jurídicos y normativos
Partes interesadas
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su
alcance
Determinar el
Alcance del SGCN
•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones
internas y externas y los requisitos
Liderazgo y Compromiso de la Dirección
Comunicación
La organización
Deberá asegurar
Tener personas La organización deberá
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicación con
relacionadas con las partes interesadas
el SGCN internas y externas
Información documentada
9. Disposición 1. Creación
8. Archivado 2.
Identificación
7. Uso 3. Clasificación
adecuado y seguridad
6. 4.
Distribución Modificación
5. Aprobación
Proceso de
análisis de las
funciones del
negocio y del Proceso general
efecto que una Análisis de
Evaluación de identificación,
interrupción del Impacto en el
de riesgo Análisis y
negocio podría Negocio
Evaluación de
tener sobre riesgos
dichas funciones
Estrategia de Continuidad del Negocio
B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Establecer y Aplicar Procedimientos de Continuidad del Negocio
os de
s p u e sta en Cas Generalidades
Generalidades
La re n de
e n c ia y la Gestió
Emerg ••La
Crisis La organización
organización deberá
deberá
establecer,
establecer, implementar yy
implementar
Contingencia mantener
mantener procedimientos
procedimientos de de
continuidad
continuidad deldel negocio
negocio para
para
Recuperación y gestionar un incidente
gestionar un incidente
Restauración perjudicial
perjudicial yy continuar
continuar sus
sus
actividades
actividades sobre la base de
sobre la base de
Protección y objetivos
objetivos de
de recuperación
recuperación
mitigación
identificados
identificados enen el
el análisis
análisis
Ca del impacto en el negocio
del impacto en el negocio
y C pacit
on ació
cie
n ci n
aci
ó n
Ejercicios y Pruebas
La organización
deberá ejercitar y
Probar sus
Procedimientos de
Continuidad del negocio
para garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
Evaluación del desempeño
6. Revisión de la gestión
y actualización de los
Monitoreo
planes de continuidad del
Negocio y de los
y revisión 3. Medición de la eficacia
del SGCN
de los procedimientos
Procedimientos.
Sección 4
Principios fundamentales de la continuidad del negocio
d. Procesos y recursos
g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Recuperación ante
Continuidad del Negocio desastres
Recuperar la “tecnología”
Asegurar que el negocio
Lo más rápidamente
Pueda continuar durante
posible.
Una emergencia
Se incluyen:
Los Objetivos son: • Los Datos, el hardware y el
software necesarios para
•En primer lugar, el capital reanudar las operaciones
Humano de la empresa Críticas de la empresa
GESTIÓN ANTE
UNA EMERGENCIA
RECUPERACIÓN DE TI
ANTE DESASTRE
ADMINISTRACIÓN DE
LAS INSTALACIONES
GESTIÓN DE LA CADENA DE
SUMINISTRO
GESTIÓN DE CALIDAD
SALUD Y SEGURIDAD
GESTIÓN DE CRISIS
La Gestión de Continuidad del Negocio
Participación de todos los elementos de la organización
RECURSOS HUMANOS
SEGURIDAD
COMUNICACIONES &
RRPP
Evento: de incidente a una Emergencia
Organización (3.33)
Organización (3.33)
Persona
Persona oo grupo
grupo de
de personas
personas que que tiene
tiene sus
sus
propias
propias funciones
funciones concon responsabilidades,
responsabilidades,
autoridades
autoridadesyy relaciones
relaciones para
para lograr
lograr sus
susobjetivos.
objetivos.
Actividad (3.1)
Actividad (3.1)
Proceso
Proceso oo conjunto
conjunto dede procesos
procesos acometidos
acometidos por por
una
una organización
organización (o
(o en
en su
su nombre)
nombre) que
que producen
producen
oo dan
danapoyo
apoyo aauno
uno oomás
más productos
productos yyservicios.
servicios.
Actividades Prioritarias
Actividades Prioritarias (3.42)
(3.42)
Las
Las actividades
actividades aa las
las que
que deben
deben darse
darse prioridad
prioridad
tras
trasun
unincidente
incidente con
con el
el fin
fin de
de mitigar
mitigarlos
los impactos.
impactos.
Proceso
Recursos
Las Personas
••Todos
Todos loslos archivos,
archivos, personal,
personal,
habilidades,
habilidades, información,
información,
tecnología
tecnología (incluyendo
(incluyendo maqui-
maqui-
naria y equipos), locales,
naria y equipos), locales, yy
suministros
suministros ee información
información (ya(ya
sea electrónica o no) que
sea electrónica o no) que una una Activos Información
Información
organización
organización debe
debe tener
tener dispo-
dispo-
nibles
nibles para uso, cuando sea
para uso, cuando sea
necesario, para
necesario, para operaroperar yy
cumplir
cumplir sus
sus objetivos.
objetivos.
Locales Tecnologías Suministros
Locales Tecnologías Suministros
Riesgo
ISO 22301
Riesgo
Riesgo (3.48)
(3.48)
Efecto
Efecto de
de incertidumbre
incertidumbre sobre
sobre los
losobjetivos
objetivos
Apetito por
Apetito por el
el riesgo
riesgo (3,49)
(3,49) R
Cantidad
Cantidad de
de riesgo
riesgoque
queuna
una organización
organización está
está
Dispuesta
Dispuesta aaconseguir
Evaluación de
Evaluación
conseguiroo conservar
de Riesgo
Riesgo (3.50)
(3.50)
conservar
I
Proceso
Proceso general
generalde
de identificación,
Evaluación
identificación,análisis
Evaluación de
Gestión del
Gestión
de riesgos.
del riesgo
riesgos.
riesgo (3.51)
(3.51)
análisisyy
S
Actividades
Actividades coordinadas
Una
coordinadas para
Una organización
organización con
para dirigir
dirigiryy controlar
conrespecto
respecto al
controlar
alriesgo
riesgo K
K
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad
Probabilidad (3.28)
(3.28)
Grado
Grado al
al que
que es
es probable
probable que
que se
se produzca
produzca
un
un evento
evento
Consecuencia
Consecuencia (3.2)
(3.2)
Resultado
Resultado de
de un
un evento
evento
Impacto
Impacto (3.10)
(3.10)
Consecuencia
Consecuencia evaluada
evaluada dede un
un resultado
resultado en
en
particular
particular
Parte interesada (interesados)
Consejo de Equipo de
Administración Gestión
Organización
Empleados Sindicatos
Resilencia
Capacidad de adaptación
de una organización en un
ambiente complejo y
cambiante
Capacitación Implementador Líder Certificado en la norma ISO
22301
Sección 5
Iniciando la implementación del SGCN
Lista de actividades
1.2. Comprensión
De la organización
1.2. Comprensión
De la organización
1.1.1. Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
3. Expectativas
y alcance
1. Velocidad de
implementación
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a través de la organización 2. Enfoque de sistemas
La rápida
Implementación del Directrices
SGCN respetando lo
Requisitos mínimos y
Cambiar a mejora
Continua a partir de
entonces
3. Enfoque Sistemático
Recomendaciones
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio
de la organización (AIN) 3.1 Seguimiento,
4.1 No conformidades
medición, análisis y
1.3 Analizar el 2.2 Evaluación y acción correctiva
evaluación
sistema existente del negocio
2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
3.3 Revisión
2.5 plan y 4.2 Mejora continua
por la Dirección
1.7 Estructura procedimientos de la
de la organización continuidad del negocio
1.8 Información
2.6 Comunicación
documentada
Planificar
Proyecto Hacer
Del
SGCN
Verificar
Actuar
Enfoque y Metodología
01
ISO 22301 ISO 223
Sección 6
Comprensión de la organización
a. Comprensión de la organización
b. Identificación y análisis de las partes interesadas
c. Identificación y análisis de los requisitos y expectativas
d. Definición preliminar del alcance
1.2. Comprensión de la organización
2.3 Estrategia de
1.4 Alcance
Continuidad del 3.2 Auditoría
Negocio interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
3.3 Revisión 4.2 Mejora
2.5 plan y por la Dirección continua
1.7 Estructura procedimientos de la
de la organización continuidad del negocio
1.8 Información
2.6 Comunicación
documentada
Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN.
a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas
incluyendo su estrategia global de gestión de riesgos.
c) El apetito por el riesgo de la organización.
Lista de actividades
1.2 Comprensión de la
organización
1.1
1.1 Iniciar
Iniciar el
el 1.2.1
1.2.1 Misión
Misión 1.2.2
1.2.2 Entorno
Entorno 1.2.3
1.2.3 Entorno
Entorno
SGCN
SGCN objetivos,
objetivos, valores
valores externo
externo interno
interno
estrategias
estrategias
1.2.4
1.2.4 proceso
proceso yy 1.2.5
1.2.5 1.2.6
1.2.6 Partes
Partes 1.2.7
1.2.7 Requisitos
Requisitos
actividades
actividades Infraestructura
Infraestructura interesadas
interesadas del negocio
del negocio
1.2.8
1.2.8 Apetito
Apetito por
por 1.2.9
1.2.9 Alcance
Alcance 1.3
1.3 Análisis
Análisis
el riesgo
el riesgo yy 1.4
1.4 Alcance
Alcance
Preliminar
Preliminar de brechas
de brechas
criterios
criterios de
de riesgo
riesgo
1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias
Misión
Misión
Los
Los
Valores
Valores objetivos
objetivos
Estrategias
De
De
Alineamiento Estratégico
Continuidad
Continuidad
del
del Negocio
Negocio
Objetivos
Políticas de Continuidad
Políticas Corporativas
del Negocio
1.2.2. Análisis del Ambiente Externo
Consejos
Consejos Prácticos
Prácticos
Fortalezas Debilidades
••La
La ISO
ISO 22301
22301 nono ofrece
ofrece
enfoques
enfoques prácticos
prácticos para
para
analizar
analizar el
el contexto
contexto de
de una
una
organización
organización
••Existen
Existen varias
varias metodologías
metodologías
para
para entender
entender cómo
cómo
funciona
funciona unauna organización
organización
••Lo
Lo importante
importante es es identificar
identificar
Oportunidades Amenazas las
las características
características de de los los
factores
factores ambientales
ambientales internos
internos
yy externos
externos que
que influyen
influyen en en la
la
gestión
gestión de de la
la continuidad
continuidad deldel
negocio:
negocio: misión,
misión, actividades
actividades
principales,
principales, organización
organización
interna,
interna, partes
partesinteresadas,
interesadas, ttc.
ttc.
1.2.3. Análisis del Entorno Interno
Comprender
Comprender la la estructura
estructura yy los
los
principales actores
principales actores de de la
la
organización
organización relacionados
relacionados concon
el
el ámbito
ámbito de
de aplicación
aplicación en
en los
los
planos:
planos:
Estratégico
Estratégico (¿Quién
(¿Quién
establece
establece las
las orientaciones
orientaciones
estratégicas?)
estratégicas?)
Gobierno
Gobierno (¿Quién
(¿Quién
coordina
coordina yy gestiona
gestiona las
las
operaciones?)
operaciones?)
Operacional
Operacional (¿Quién
(¿Quién
participa
participa en
en las
las actividades
actividades de
de
producción
producción yy apoyo?)
apoyo?)
1.2.4. identificación de los Principales Procesos y Actividades
1. Oferta de Productos
y servicios
¿Cuáles so los
Procesos claves que
Permiten a la
Organización cumplir
Con su misión?
Categoría Ejemplos
(Ejemplo)
••Analizar
Analizar las
las necesidades
necesidades de
de •• Definir
Definir lo
lo que
que se
se espera
espera de
de las
las
•• Identificar
Identificar las
las necesidades
necesidades seguridad
seguridad yy confirmar
confirmar si
si diferentes
diferentes partes
partes interesadas
interesadas
yy expectativas
expectativas de de todas
todas las
las responde
responde a a las
las en
en el proyecto: las ff unciones,
el proyecto: las unciones,
partes
partes interesadas
interesadas preocupaciones
preocupaciones de
de la
la las
las responsabilidades
responsabilidades yy los los
•• Las
Las necesidades
necesidades yy organización en este momento niveles
organización en este momento niveles de participación que se
de participación que se
expectativas
expectativas puedes
puedes ser
ser necesita
necesita
implícitas
implícitas oo explícitas
explícitas •• Se
Se puede
puede hacer
hacer mediante
mediante elel
•• Ejemplo:
Ejemplo: lala tasa
tasa de
de envío de un cuestionario, •• Establecer
envío de un cuestionario, Establecer unun consenso
consenso con
con
disponibilidad
disponibilidad del
del servicio
servicio realizando
realizando entrevistas
entrevistas oo ellos
ellos durante
durante lala etapa
etapa de
de
del 99,5%
del 99,5% facilitar
facilitar planificación
planificación de
de su
su
grupos
grupos de de enfoque
enfoque participación
participación
Partes Interesadas
Partes
Partes interesadas
interesadas negativas
negativas Partes
Partes interesadas
interesadas negativas
negativas
••Por
Por estas,
estas, el
el SGCN
SGCN podría
podría tener
tener un
un impacto
impacto •• Los
Los que
que se
se beneficiarían
beneficiarían del
del SGCN
SGCN
•• negativo
negativo
•• Ejemplo:
Ejemplo: los
los clientes
clientes de
de una
una empresa
empresa de
de
••Ejemplo:
Ejemplo: unun departamento
departamento de de recursos
recursos humanos
humanos servicios
servicios de
de TI
TI
involucrado
involucrado en
en la
la implementación
implementación del del SGCN
SGCN
sufrirá una pesada carga con la documentación
sufrirá una pesada carga con la documentación
de
de los
los expedientes
expedientes de de los
los empleados
empleados
Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN
1.2.7. Identificación y Análisis de los Requisitos del Negocio
Legal y Estándares
Externos
Regulatorio Las normas internacionales
Y códigos de prácticas
Todas las leyes y relacionados con el sector,
reglamentos con los que son voluntariamente
debe cumplir la Implementados por la
organización organización
Obligatorios Voluntarios
Requiere
Requiere plan
plan de
de copia
copia de
de Requiere
Requiere plan
plan de de copia
copia de de
seguridad
seguridad de
de datos,
datos, plan
plan de
de seguridad
seguridad dede datos,
datos, plan
plan de
de
Asistencia
Gobierno
recuperación
recuperación ante desastres yy un
ante desastres recuperación ante desastres y un
sanitaria
Requisitos
Requisitos para
para los
los registros
registros Requisitos
Requisitos para
para los
los registros
registros
electrónicos
electrónicos electrónicos
electrónicos
Requiere
Requiere un
un PCN
PCN para
para garantizar
garantizar
Requiere
Requiere queque los
los bancos
bancos tengan
tengan que la continúa
que la continúa misión
misión de
de la
la
planes de CN y RD para garantizar
planes de CN y RD para garantizar
Utilidades
agencia durante una crisis
agencia durante una crisis
Finanzas
Finanzas
el
el funcionamiento
funcionamiento continuo
continuo yy con
con el
el
fin de limitar las pérdidas
fin de limitar las pérdidas Se
Se requieren
requieren planes
planes de
de
restauración
restauración
Requiere
Requiere que
que los
los planes
planes de
de de
de emergencia
emergencia como
como condición
condición
Continuidad
Continuidad del Negocio (PCN) se
del Negocio (PCN) se para servicios continuados
para servicios continuados
actualicen y prueben para
actualicen y prueben para
incorporar
incorporar los
los riesgos
riesgos detectados
detectados
1.2.8. Determinación del Apetito por el Riesgo y los Criterios
de Riesgo
Criterios
2 Impactos
Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados
se definirán durante la evaluación del riesgo.
1.2.9. Definición Preliminar del Alcance
Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito
del aplicación propuesto
Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros
sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3
Comprensión de la organización
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 7
Análisis del sistema de gestión existente
a. Recopilación de la Información
b. Realización de una Entrevista
c. Análisis de Brechas
1.3. Análisis del Sistema de Gestión Existente
2.3 Estrategia de
1.4 Alcance
Continuidad del 3.2 Auditoría
Negocio interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
4.2 Mejora
2.5 plan y 3.3 Revisión continua
1.7 Estructura procedimientos de la por la Dirección
de la organización continuidad del negocio
1.8 Información
documentada
Hacer
Hacer
2.6 Comunicación
1.3.3.
1.3.3. Objetivos
Objetivos ee
1.2
1.2 Comprensión
Comprensión 1.3.1
1.3.1 Recolección
Recolección 1.3.2
1.3.2 Análisis
Análisis informe
informe del
del análisis
análisis
de
de la organización
la organización de información
de información de brechas
de brechas de brechas
de brechas
1.4 Liderazgo y
planificación
1.4 Liderazgo y
planificación
1.3.1. Recopilación de la Información
Técnicas
Cuestionarios
Cuestionarios El envío de cuestionarios a una muestra de personas que representan
Encuestas
Encuestas a las partes interesadas
Entrevista
Individual Entrevista Grupal
Individual Grupal
Utilice
Utilice preguntas
preguntas abiertas
abiertas yy evite
evite las
las preguntas
preguntas cerradas
cerradas oo guiadas
guiadas
AAsegúrese
segúrese de
de cubrir
cubrir todos
todos los
los temas,
temas, mientras
mientras controla
controla el
el tiempo
tiempo
Tome
Tome notas
notas durante
durante la
la entrevista
entrevista
Realice
Realice preguntas
preguntas para
para clarificar
clarificar una
una respuesta
respuesta oo situación
situación
1.3.2. Análisis de Brechas
Análisis de Brechas
Técnica
Técnica para
para determinar
determinar los
los pasos
pasos para
para
pasar
pasar de
de la
la situación
situación actual
actual aa un
un estado
estado
futuro
futuro deseado.
deseado.
1.
1. Comparación
Comparación del del rendimiento
rendimiento actual
actual
del
del sistema
sistema de de continuidad
continuidad del del
negocio
negocio con
con los
los requisitos
requisitos de
de la
la ISO
ISO
22301
22301
2.
2. Identificación de
Identificación de las
las necesidades
necesidades de de
mejora
mejora
3.
3. Bases
Bases para
para la
la elaboración
elaboración del
del plan
plan
del
del proyecto
proyecto del
del SGCN
SGCN
Determinar el Estado Actual
0 1 2 3 4 5
No existe Inicial Gestionado Definido Gestionado Optimizado
1 4
cuantitativamente
Inicial Gestionado
cuantitativamente
Procesos
monitoreados y
medidos
No hay procesos
estándar
vigentes
Hay implementación
de proceso caso
por caso sin ningún
Ausencia total de
método
Procesos
identificables
0. 1. 2. 3. 4. 5.
Inexistentes Iníciales Gestionadas Definidos Cuantitativa Optimizados
Mente
gestionados
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 8
Alcance del SGCN
a. Límites de la organización
c. Límites Físicos
d. Ámbito de aplicación
1.4. Alcance del SGCN
En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales
exclusiones
no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la
empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de
impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos
aplicables.
Ámbito de la aplicación
Importancia
Nota
Nota importante:
importante: la
la extensión
extensión del
del ámbito
ámbito dede aplicación
aplicación
es
es el
el primer
primer factor
factor que
que determina
determina lala cantidad
cantidad
de
de esfuerzo
esfuerzo requerido
requerido por
por el
el proyecto.
proyecto.
1.4. Ámbito de Aplicación del SGCN
Lista de actividades
1.2
1.2 Comprensión
Comprensión 1.3
1.3 Analiza
Analiza el
el 1.4.1
1.4.1 Límites
Límites 1.4.2
1.4.2 Límites
Límites de
de las
las
de
de la organización
la organización Sistema existente
Sistema existente Organizacionales
Organizacionales Líneas de negocio
Líneas de negocio
1.4.3 Los límites 1.4.4 Ámbito 1.5 Liderazgo & 1.6 Política
físicos de aplicación planificación de CN
1.4.3 Los límites 1.4.4 Ámbito 1.5 Liderazgo & 1.6 Política
físicos de aplicación planificación de CN
Límites del SGCN
Or
ga
s
niz
ca
ac
i
fís
i on
as
al
íne
sl
La
del negocio
1.4.1 Definiendo los Límites Organizacionales del Alcance
Un proceso clave
Un departamento
La organización
como un todo
La organización y sus
partes interesadas
• Ejemplo:
Un hospital podría incluir sólo los servicios de emergencia en el
ámbito de aplicación
La oficina de correos podría incluir todos los servicios en el
ámbito de aplicación con la exclusión de la entrega de paquetes/
encomiendas
Una fábrica podría mantener sólo la producción de un producto.
Etc.
1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación
• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen
• En el caso de los sitios físicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el Ámbito de Aplicación del SGCN
Ejemplo
Ejemplo:
Ejemplo: Este
Este sistema
sistema dede gestión
gestión dede la
la continuidad
continuidad del
del negocio
negocio
Se
Se aplica
aplica al
al centro
centro de
de distribución
distribución global
global proveyendo
proveyendo
Servicios
Servicios de
de tercerización
tercerización yy contacto
contacto con
con el
el cliente
cliente
Y
Y externalización
externalización dede ABC
ABC S.A.
S.A.
Cambios en el Ámbito de Aplicación
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Extensión del Ámbito de Aplicación
Implementador Líder
Sección 9
Liderazgo y planificación
1.
1. Planificar
Planificar 2. Hacer 3. Verificar 4. Actuar
2.3 Estrategia de la
1.4 Alcance
Negocio
Negocio
Continuidad del
Negocio
1.5 Liderazgo y 3.2 Auditoría
planificación 2.4 Medidas de interna
Protección &
1.6 Política de CN Mitigación
1.9 Competencia y
2.7 Ejercicio y
sensibilización
pruebas
Requisitos
Lista de actividades
1.4 Alcance
(ámbito de aplicación)
del SGCN
1.5.3
1.5.3
1.5.1
1.5.1 Caso
Caso de
de 1.5.2
1.5.2 equipo
equipo de
de 1.5.4
1.5.4 Requisitos
Requisitos
Determinación
Determinación
negocio
negocio proyecto
proyecto del
del SGCN
SGCN de
de los
los recursos
recursos
de
de los
los objetivos
objetivos
PMBOK
9. Funciones y
10. Recursos
Responsabili- 11. Presupuesto 12. Restricciones
necesarios
dades
Defensor
Del
Proyecto
Del SGCN
Gerente
del SGCN
Director
del proyecto
Partes Interesadas
Director del Proyecto SGCN
Competencias requeridas
El director del proyecto SGCN debe tener los conocimientos y habilidades en las
siguientes áreas:
Frecuencia de las
Mensuales
reuniones
1.5.3. Determinación de los objetivos del SGCN
1 3
Ejemplos
• Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto
• El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
• El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
información
• Generalmente hay un desfase entre el tope de la inversión de un proyecto
y las demandas del proyecto…
1.5.5. Elaboración del Plan del Proyecto SGCN
PMBOK
Un método iterativo
Recursos Costos
Contenido
Del Plan del
Proyecto proyecto
Retrasos Riesgos
Contenido del plan del proyecto SGCN
PMBOK
Revisión
Revisión de
de los
los objetivos
objetivos del
del proyecto
proyecto yy los
los factores
factores de
de éxito
éxito
Revisar
Revisar el
el método
método propuesto
propuesto
Destacar
Destacar los
los riesgos
riesgos ee incertidumbres
incertidumbres inherentes
inherentes en
en el
el proyecto
proyecto
Estimación
Estimación de
de los
los recursos
recursos internos
internos necesarios
necesarios
Definición
Definición de
de la
la planificación
planificación yy sucesivas
sucesivas fases
fases de
de ejecución
ejecución
Revisión
Revisión de
de las
las presentaciones
presentaciones que
que deben
deben proveerse
proveerse
Revisión
Revisión de
de las
las funciones
funciones
Revisión
Revisión de
de los
los documentos
documentos del
del proyecto
proyecto
Definición
Definición de
de la
la frecuencia
frecuencia yy el
el contenido
contenido de
de las
las reuniones
reuniones de
de progreso
progreso
1.5.6. Plan de Comunicación para el Proyecto SGCN
Beneficios
Beneficios Claves
Claves del
del
Compromiso
Compromiso dede la
la Dirección
Dirección
••Mayor
Mayor conocimiento
•• óptima
•• Procesos
del
conocimiento de
del negocio
asignación
y plan
de
de las
las leyes
recursos
óptima asignación de recursos
•• Identificación
Identificación de
de los
los activos
negocio controlados
de
leyes
activos críticos
la
críticos
continuidad
Procesos y plan de la continuidad
controlados yy medidos
medidos
SGCN
ió r
cc po
n
re n
Di ció
La oba
r
Ap
Funciones de la Dirección
Frecuencia de Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis
las reuniones de riesgo e informe del AIN, revisión por la dirección, etc.
Ejercicio 5
Sección 10
Política de la continuidad del negocio
d. Publicación
1.
1. Planificar
Planificar 2. Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Iniciar el SGCN
1.9 Competencia y
sensibilización 2.7 Ejercicio y pruebas
Requisitos
Política
La alta dirección deberá establecer una política de continuidad del negocio que:
a) Sea apropiada para los fines de la organización
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
Lista de actividades
1.6 Política de C. N.
1.6.1
1.6.1 Proceso
Proceso dede
1.5 Liderazgo & 1.6.2
1.6.2 Redacción
Redacción de
de 1.6.3
1.6.3 Aprobación
Aprobación
redacción
redacción de
de la
la
planificación la
la Política
Política por
por la
la Dirección
Dirección
Política
Política
Proceso General
1. 2. 3. 4. 5.
Designar una Definir los Redactar Validación Aprobación
1. 2. 3. 4. 5.
Persona componentes las de los por las
Designar una Definir los Redactar Validación Aprobación
Responsable de la política Secciones contenidos y Partes
Persona componentes las de los por las
el formato Interesadas
Responsable de la política Secciones contenidos y Partes
el formato Interesadas
La política debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobación puede pertenecer a un comité:
Junto de Directores
Consejo de Administración
1.6.4. Publicación de la Política de Continuidad del Negocio
Reunión
Intranet
Plan
Plan de
de comunicación
comunicación
Público
Público de
de destino
destino
Difusión
Difusión (reuniones,
(reuniones, intranet,
intranet,
extranet, documentos…)
extranet, documentos…)
Comunicación
Proceso
recurrente Sensibilización Capacitación
No ¿Objetivo
alcanzado?
Si Nota: Esta temática se
discutirá durante el
Día 3
Control, evaluación y revisión
1.6.6. Control, Evaluación y Revisión
• Mantener • Asegurar
Revisión
Controlconformidad
Evaluación
• Medir el grado de
conformidad
Capacitación Implementador Líder en la ISO 22301
Sección 11
Estructura Organizativa
a. Estructura de gestión
1.
1. Planificar
Planificar 2.
2. Hace
Hace 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Iniciar el SGCN
2.3 Estrategia de la
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría
1.5 Liderazgo y interna
planificación 2.4 Medidas de
Protección &
Mitigación
1.6 Política de CN
2.5 Plan y 4.2 Mejora
1.7 Estructura procedimientos de la continua
organizativa
continuidad del negocio 3.3 Revisión
por la Dirección
1.8 Información 2.6 Comunicación
documentada
2.7 Ejercicio y
1.9 Competencia y
pruebas
sensibilización
Requisitos
Principios
Lista de actividades
1.7.4 Roles y
1.7.5 Equipos de la
Responsabilidades 1.7.6 Proceso de 1.8 Información
1.7.4 continuidad
de los Roles y
comités 1.7.5del
Equipos decisión y control documentada
Responsabilidades negociode la 1.7.6 Proceso de
principales continuidad 1.8 Información
de los comités decisión y control documentada
del negocio
principales
1.7.1. Definición de la Gestión de Gobierno y de la Estructura
Orgánica para la Gestión de Continuidad del Negocio
Estructura de gobierno
Junta de
Directores Comité de Crisis
Comité de
CEO Continuidad del
negocio
Tecnología de
Recursos Auditoría Servicios Ventas & Continuidad
Operaciones la información
humanos Interna Administrativos Marketing del Negocio
(TI) de
Tecnología
Recursos Auditoría Servicios Ventas & Continuidad
Operaciones la información
humanos Interna Administrativos Marketing del Negocio
(TI)
Partes Involucradas
Actores Principales
Medios de
Alta Dirección Comité de Crisis
Medios de comunicación
Funciones y responsabilidades
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)
Encargado de
Seguridad de la Coordinar las actividades relativas a la gestión de seguridad de la información
Información
Encargado de Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección
Patrimonio contra incendios, mantenimiento eléctrico, etc.)
Encargado del centro
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
De servicios / ”Help
Desk” gestión de incidencias, etc.)
Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes
Oficial de RRPP
interesadas externas
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
Responsable de la
Gestión de documentos
necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación
de las pruebas
1.7.4. Definición de la Funciones y Responsabilidades de los
Comités Claves
3. Comités Operativos y
Comité Local de CN
1.7.5. Creación de los Equipos Necesarios de Continuidad del
Negocio
Ejemplo
Líder del Equipo
de Gestión de
Crisis (Director
Ejecutivo)
Equipo de
Equipo de Equipo de Equipo de Equipo de
Equipo de Equipo de Obtención de
Respuesta de Evaluación de Relaciones Telecomuni-
Recuperación Restauración Recursos y
Emergencia Daños Públicas caciones
Logística
Nivel 1
Estratégico
de
da
lC
la
on
Nivel 2
ca
Táctico
tro
Es
l
Nivel 3
Operativo
Capacitación Implementador Líder ISO 22301
Sección 12
Información documentada
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Iniciar el SGCN
2.1 Análisis del
1.2 Comprensión Impacto 3.1 Supervisión,
de la organización en el Negocio (AIN) medición, análisis y 4.1 No
evaluación conformidades
1.3 Analizar el 2.2 Evaluación y acción correctiva
sistema existente del riesgo
Resumen
Notas importantes
Lista de actividades
1.8 Información documentada
1.8.3
1.8.3
1.7 Estructura 1.8.1
1.8.1 Creación
Creación de
de 1.8.2
1.8.2 Control
Control de
de Sistema
Sistema de
de gestión
gestión
organizativa plantillas
plantillas los documentos
los documentos de documentos
de documentos
Tipo de documentos
Tipo Objetivos
Política Intenciones y directrices generales de una organización formalmente expresadas por la Dirección
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las
Procedimiento
directrices y las normas de apoyo se aplicarán realmente en un entorno operativo
Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas
Directrices
prácticas a seguir
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar
Plan de
la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en
Continuidad del Negocio
el caso de una crisis
Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios
Carta
empleados, proveedores o prestadores de servicios
Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre
Formulario
una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)
Guía Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación
Hoja de datos Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestión de la documentación
c) Clasificación, indexado y
seguridad
i) Eliminación
d) Modificación
h) Conservación y
archivado
f) Distribución
1.8.3. Implementación de un Sistema de Gestión de Documentos
• Garantizar la trazabilidad
Optimizar búsqueda
y actualización
1.8.4. Redacción de la Información Documentada Requerida del
SGCN
Como mínimo, el SGCN debería contener la siguiente documentación:
1. El contexto de la organización
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2)
4. Política de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)
7. Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
9. Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditorías Internas (9.2)
13. Revisión por la dirección (9.3)
14. No Conformidades y acciones correctivas (10.1)
Información Documentada que puede ser Requerida
Buenas prácticas
Es una buena práctica crear una lista única de todos los documentos relacionados
con el SGCN con información básica tal como:
El identificador único
Título
El tipo de documento
Los nombres, funciones y servicios de los autores (y / o los propietarios)
El nombre del responsable y la fecha de la aprobación
Fecha de emisión
Fecha de la versión y de la revisión
Numeración de páginas
Nivel de clasificación
1.8.5. Control de los Registros
o Los controles para garantizar la identificación, almacenamiento, protección,
disponibilidad, tiempo de conservación y eliminación de registros deben estar
documentados e implementados
Ejemplo
Duración de la
Identificación Almacenamiento Responsabilidad Clasificación
conservación
Ejercicios y
Registros de las Departamento de Director de CN
5 años Muy confidencial
Pruebas del Gestión de Riesgos
SGCN
Sección 13
Competencia y sensibilización
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
7.2 Competencia
La organización deberá:
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada información documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la re-
asignación de los empleados; o la contratación o subcontratación de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organización deberán tener en cuenta:
f) La política de continuidad del negocio,
g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad
del negocio,
h) Las consecuencias de no conformidad con los requisitos del SGCN
i) Su papel durante los incidentes disruptivos.
Competencia y Capacitación
Contexto
Competencia
Capacidad
Capacidad demostrada
demostrada
Conocimientos
para
para aplicar
aplicar
de
conocimientos
conocimientos yy Habilidades Conocimiento
habilidades
habilidades de
conducta Competente
De
se
a nte m
pe
tic ño
Capacitación Prac
xto
Co
Proceso
Proceso para
para nt e
nt
Co
ex
proporcionar
proporcionar yy desarrollar
desarrollar los
los
Habilidades
to
conocimientos,
conocimientos, las las habilidades
habilidades
yy las
las conducta
conducta para
para cumplir
cumplir
con
con los
los requisitos
requisitos
Capacitación, Sensibilización y Comunicación
Diferencias
Adquisición de
Cambio de hábitos Estar informado
habilidades
Dirigida principalmente a
Dirigida al intelecto las emociones y el Dirigida al intelecto
comportamiento
¿Qué comportamiento
¿Qué habilidades ¿Qué mensajes
queremos reforzar o
Tienen que adquirir? enviamos?
cambiar?
1.9. Competencia y Sensibilización
Lista de actividades
1.9.1
1.9.1 Definir
Definir un
un 1.8.2
1.8.2 Evaluación
Evaluación
1.7 Estructura 1.8 Información programa
programa dede de
de las
las
organizativa documentada desarrollo
desarrollo de
de competencias
competencias
competencias
competencias necesarias
necesarias
1.9.3
1.9.3 Definir
Definir un
un 1.9.4
1.9.4 Definir
Definir un
un 1.9.5
1.9.5 Evaluación
Evaluación
programa
programa de
de programa
programa dede 2.1 AIN
yy mejora
mejora continua
continua
capacitación
capacitación sensibilización
sensibilización
1.9.1. Definición de un Programa de Desarrollo de Competencias
Ejemplo
Función A A A
Función B C B B R
Función C C A
Función D C B
Función E A B A
Sesión de Iniciación
Obtener información sobre temas
específicos
Curso
en el sitio o Cuando se selecciona una
fuera del solución de capacitación para
sitio
cerrar las brechas de
competencia, deberían ser
especificadas y documentadas
Taller Aprendizaje las necesidades de
capacitación
Auto
capacitación
1.9.4. Definición de un Programa de Sensibilización
Temas principales
Las personas que realizan trabajos en el control de la organización deberán tener
en cuenta:
La
La política
política de
de continuidad
continuidad del
del negocio,
negocio,
Su
Su contribución
contribución al
al SGCN
SGCN prevista
prevista
Los
Los beneficios
beneficios de
de la
la continuidad
continuidad del
del negocio
negocio
Su
Su papel
papel durante
durante los
los incidentes
incidentes
Sección 14
Análisis de Impacto en el Negocio (AIN)
a. Propósito de un AIN
b. Planificación de un AIN
c. La recopilación de datos
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Iniciar el SGCN
2.1 Análisis del Impacto 3.1 Supervisión,
1.2 Comprensión en el Negocio (AIN) 4.1 No
de la organización medición, análisis y
conformidades
evaluación
2.2 Evaluación y acción correctiva
1.3 Analizar el
del riesgo
sistema existente
2.3 Estrategia de la
1.4 Alcance Continuidad del
Negocio 3.2 Auditoría
1.5 Liderazgo y interna
2.4 Medidas de
planificación Protección &
Mitigación
1.6 Política de CN 4.2 Mejora
2.5 Plan y
procedimientos de la continua
1.7 Estructura continuidad del negocio 3.3 Revisión por
organizativa la Dirección
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Propósito de un AIN
Obtener una comprensión de los productos y servicios clave de la
organización y la actividades que los ofrecen
Lista de actividades
Actividades
Determinación
Determinación del
del enfoque
enfoque
El
El enfoque
enfoque puede
puede serser cuantitativo
cuantitativo (con
(con cálculo
cálculo de
de consecuencias
consecuencias financieras)
financieras) y/o
y/o
cualitativo (evaluación de impactos no financieros como la reputación, el servicio
cualitativo (evaluación de impactos no financieros como la reputación, el servicio
de
de atención
atención al
al cliente,
cliente, etc.)
etc.)
Determinación
Determinación del
del método
método
La
La recopilación
recopilación dede datos
datos del
del AIN
AIN puede
puede hacerse
hacerse con
con una
una combinación
combinación de
de métodos
métodos
como
como taller,
taller, entrevistas
entrevistas yy cuestionario
cuestionario
Crear
Crear unun equipo
equipo de
de AIN
AIN ee identificar
identificar aa quienes
quienes van
van aa responder
responder las
las entrevistas
entrevistas
(de
(de las
las funciones
funciones de
de negocio
negocio yy las
las funciones
funciones de
de apoyo)
apoyo)
II. Identificar la Actividades que dan Apoyo a sus Productos y
Servicios Principales
NADA
Las
Las actividades
actividades aa considerar
considerar
•• Las
Las que
que apoyan
apoyan la
la misión
misión de
de la
la
organización
organización yy que
que son
son vitales
vitales para
para
sus logros
sus logros
•• Relacionadas
Relacionadas con
con obligaciones
obligaciones
legales
legales y/o
y/o contractuales
contractuales
Principales Actividades de Negocio
Gestión
Gestión de
de Infraestructuras
Infraestructuras
Gestión
Gestión de
de Recursos
Recursos Humanos
Humanos
Finanzas
Finanzas yy contabilidad
contabilidad
Ventas
Suministros
Embalaje
Investigación
Y Desarrollo Transformación Servicios
Exportación Pos venta
Fabricación
Marketing Diseño
Control de
calidad
III. Selección de los Impactos a Analizar
Las interrupciones
GASTOS ADICIONALES
• Costo de la Recuperación
• Gastos Extras IMPACTOS RECAUDACIONES
• Mayor Riesgo de Fraude RETRASADAS
• Una Mayor Tasa de Error • Las Pérdidas de
• Los Gastos de Viaje Facturación
• Los Empleados Temporales • Descuentos Perdidos
IMPACTO AMBIENTALES
• Contaminación del suelo
IMPACTOS EN • Contaminación del aire
PÉRDIDA DE PRODUCTIVEDAD • Contaminación del agua
• Número de Empleados afectados SEGURIDAD • Devastación de la flora y la
• Número de horas perdidas • La pérdida de vida o
fauna
• % de Capacidad perdida lesiones
• Irritación de las vías
respiratorias
• Enfermedad
IV. Preparación de las Herramientas del AIN
Principales herramientas
o Cuestionario
o Presentación de lanzamiento
Ejemplo
Umbrales de Impacto
1 2 3 4
Limitado Importante Grave Critico
Impacto a la Sin más retraso Sin más retraso Sin más retraso Sin más retraso
Funcionalidad después de 1 después de 2 después de 1 después de 3
semana semanas mes meses
RPO y RTO
Ejemplo
Desastre
Desastre
Tiempo
0:00 Muy
Copia de Copia de Sistema Crítico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Días) (24 H)
Identificación de los Objetivos de Continuidad del Negocio
OMCN (MBCO)
Objetivo
Objetivo Mínimo
Mínimo de
de Continuidad
Continuidad
del
del Negocio
Negocio OMCN
OMCN (MBCO)
(MBCO)
•• Nivel
Nivel mínimo
mínimo de
de los
los servicios
servicios y/o
y/o
productos que es aceptable
productos que es aceptable parapara
la
la organización
organización para
para alcanzar
alcanzar sus
sus
objetivos
objetivos de
de negocio
negocio durante
durante una
una
interrupción
interrupción
40 %
Objetivo Mínimo de Continuidad del Negocio (MBCO)
0%
IV. Documentación de las Actividades Prioritarias
3 Las Dependencias
5 Consecuencias de No Procesar
2.1.3. Análisis de los Datos
Validación
Validación dede datos
datos
Validar con:
Validar
o con:
Gerente de la función de negocio
o o Gerente de del
Director la función de negocio
Departamento
o Director del Departamento
Cualquier cambio en los datos
Cualquier cambio en los datos
recopilados
recopilados
debe estar documentado y aprobado
debe estar documentado y aprobado
En la parte final de esta fase, asegúrese
En de
la parte
que final
toda dela esta fase, asegúrese
información recopilada
de está
que toda la información
completada, recopilada
es precisa y
está
está completada, es precisa y
está acordada por las personas implicadas
acordada por las personas implicadas
2.1.5. Presentación del Informe del AIN
El
El informe
informe del
del AIN
AIN
No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estándar de la
organización
Plan de protección y de
Medidas de mitigación
Plan de capacitación y
sensibilización
Desastre
Nivel de
servicio
100%
normal
40%
Objetivo Mínimo de Continuidad
del Negocio (MBCO) Horas Día Semana Mes Tiempo
0%
Objetivo de
Proceso de Impactos Máximo de Componentes del Tiempo
Negocio Potenciales Inactividad Tolerable Sistema de Recuperación
Servidor de 36
Procesar Operaciones más de 1.000 72
Aplicaciones Horas
Factura
Procesar Empleados afectados Horas
Factura
24
Reputación –medios de Servidor Web
Elaborar 30 Horas
Comunicación anuncian
factura
Elaborar Horas
preocupaciones
APORTACIONES
factura
DE LAS PARTES
APORTACIONES Servidor de Base de 12
INTERESADAS Reputación –visión del 36 datos
DE LAS PARTES Procesar Horas
INTERESADAS Factura congreso Horas
Procesar
Factura
Los ordenadores de 30
Servicio de atención al Cliente
Procesar 36 escritorio Horas
-más de 500 quejas de los
Factura
Procesar Horas
clientes
Factura
Interdependencias
Ejercicio 7
Sección 15
Evaluación de riesgos
a. Identificación de riesgos
b. Análisis de riesgos
c. Estimación de riesgos
2.2. Evaluación de Riesgos
1.
1. Planificar
Planificar 1.
1. Planificar
Planificar 1.
1. Planificar
Planificar 1.
1. Planificar
Planificar
1.1. Iniciar el SGCN
Mantenimiento
Mantenimiento centrado
centrado en
en
Tormenta
Tormenta de
de ideas
ideas Análisis
Análisis de
de la
la causa
causa raíz
raíz la
la fiabilidad
fiabilidad
Entrevistas
Entrevistas estructuradas
estructuradas oo Modo
Modo dede Falla
Falla Análisis
Análisis furtivo
furtivo de
de circuitos
circuitos
semi-estructuradas
semi-estructuradas Análisis
Análisis de los
de los efectos
efectos
Análisis
Análisis de
de árbol
árbol de
de fallos
fallos Delphi
Delphi Análisis
Análisis Markov
Markov
Análisis
Análisis de
de árboles
árboles de
de
Lista
Lista de
de verificación
verificación Simulación
Simulación de
de Monte
Monte Carlo
Carlo
sucesos
sucesos
Análisis
Análisis de
de causas
causas yy Estadísticas
Estadísticas Bayesianas
Bayesianas yy
Análisis
Análisis de
de riesgo
riesgo primario
primario consecuencia
consecuencia Bayes
Bayes
Estudios
Estudios de
de peligros
peligros yy Análisis
Análisis de
de causa
causa yy efecto
efecto Curvas
Curvas FN
FN
Operabilidad
Operabilidad (HAZOP)
(HAZOP)
Análisis
Análisis de
de Peligros
Peligros yy Puntos
Puntos Análisis
Análisis de
de protección
protección de
de Índices
Índices de
de Riesgo
Riesgo
de
de Control Críticos ((APPCC)
Control Críticos ((APPCC) la
la capa (LOPA)
capa (LOPA)
Evaluación
Evaluación de
de riesgos
riesgos Matrices
Matrices de
de probabilidad
probabilidad //
Árbol
Árbol de
de decisión
decisión
medioambientales
medioambientales consecuencia
consecuencia
Estructura
Estructura “¿Y si?” >>
“¿Y si?” Análisis
Análisis de
de fiabilidad
fiabilidad Análisis
Análisis de
de la
la relación
relación
(SWIFT)
(SWIFT) humana
humana coste/beneficio
coste/beneficio
Análisis
Análisis de
de decisión
decisión por
por
Análisis
Análisis de
de escenarios
escenarios Análisis
Análisis de
de lazo
lazo multi-criterios
multi-criterios (MCDA)
(MCDA)
Análisis
Análisis del
del impacto
impacto en
en el
el
negocio
negocio
2.2. Evaluación de Riesgos
Lista de actividades
2.3 Política de CN
2.3 Política de CN
2.2.1. Identificación de Riesgos
ISO 31000, cláusula 5.4.2
Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus
causas
Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
La organización debería aplicar herramientas y técnicas de identificación del riesgo
que se adapten a sus objetivos y aptitudes, así como a los que está expuesta
Enfoque y Métodos de Identificación de Riesgos
Análisis Cualitativo:
Define la consecuencia, la probabilidad y el niel de riesgo por niveles de
significación, como “alta”, “medio” y “bajo”, puede combinar la
consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante de
los criterios cualitativos
Análisis Cuantitativo:
Estima los valores estimados para las consecuencias prácticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo análisis
cuantitativo puede no ser siempre posible o deseable debido a
información insuficiente
Análisis de Escenarios de Riesgo
1 Escenarios
Escenarios con
con edificios
edificios
2 Escenarios
Escenarios de
de utilidades
utilidades
3 Escenarios
Escenarios en
en los
los sistemas
sistemas de
de comunicación
comunicación
44 Escenarios
Escenarios de
de sistemas
sistemas informáticos
informáticos
5 Escenarios
Escenarios de
de consumibles
consumibles
6 Escenarios
Escenarios que
que involucran
involucran personas
personas
7 Escenarios
Escenarios de
de información
información oo datos
datos
Análisis de Escenarios de Riesgo
Ejemplo
Posibles Causas
Escenario 1 Consecuencias Impacto
/Amenazas
Se ha detenido la
Fuego
producción
3
No disponibilidad del edificio
Inundación
Incapacidad para Probabilidad
garantizar la logística de
Amenaza de bomba
entrega
Huelga
Incapacidad de facturar
2
bienes entregados
Manifestación
Nivel de
Fuga de gas Riesgo
Huracán
Terremoto 6
Comentarios:
Comentarios: En En los
los últimos
últimos 10
10 años,
años, la
la organización
organización haha perdido
perdido 99 días
días debido
debido aa la
la no
no disponibilidad
disponibilidad del
del edificio
edificio
(una
(una huelga
huelga de
de 77 días,
días, 11 día
día por
por una
una alerta,
alerta, 11 por
por un
un fuga
fuga de
de gas)
gas)
Cálculo de la Determinación de Riesgo
B M A B M A B M A
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
2.2.3. Evaluación de Riesgos
Prioridades de tratamiento
Nota:
Nota: LaLa decisión
decisión sobre
sobre laslas medidas
medidas aa tomar
tomar después
después
de
de la
la evaluación
evaluación del
del riesgo
riesgo sese verá
verá influida
influida por
por el
el nivel
nivel
de
de apetito
apetito por
por el
el riesgo
riesgo de
de la
la organización
organización
Ejemplo de una Matriz de Evaluación de Riesgos
Escenario A 5 2 10 22
Escenario B 2 4 8 33
Escenario C 3 5 15 11
Escenario D 1 3 3 55
Escenario E 4 1 4 44
Escenario
Escenario F
F 2
2 4
4 8
8 3
33
Evaluación de Riesgos
Implementador Líder
Certificado en la ISO 22031
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 16
Estrategia de continuidad del negocio
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
La organización deberá determinar una adecuada estrategia de continuidad del negocio para:
o La estrategia debe encarar los resultados del AIN y la evaluación del riesgo
AT EGY
STR
2.3. Estrategia de Continuidad del Negocio
2.3.4 Estrategia
2.3.3 Estrategia para 2.3.5 Evaluación de 2.4 Medidas de
para mitigar,
Estabilizar, continuar, 2.3.4 Estrategia las capacidades de Protección &
responder ay 2.3.5
2.3.3 Estrategia
Reanudar para
y recuperar para mitigar, los Evaluación
proveedoresde 2.4 mitigación
Medidas de
Estabilizar, continuar, gestionar impactos las capacidades de
responder a y Protección &
Reanudar y recuperar los proveedores mitigación
gestionar impactos
2.3.1 Análisis de las Opciones de la Estrategia de CN
Proteger
Proteger actividades
actividades prioritarias
prioritarias
Estabilizar,
Estabilizar, continuar,
continuar, reanudar
reanudar yy recuperar
recuperar actividades
actividades prioritarias
prioritarias
Mitigar,
Mitigar, responder
responder al
al impacto
impacto yy gestionarlo
gestionarlo
2.3.2 Selección de la Estrategia para la Protección de Actividades
Prioritarias
La protección de actividades
Prioritarias puede ser dirigida a:
1 3
1 Traslado
Traslado de
de la
la actividad
actividad
2 Re-
Re- ubicación
ubicación oo re-
re- asignación
asignación de
de recursos
recursos
3 Procesos
Procesos alternativos
alternativos yy capacidad
capacidad de
de reserva
reserva
44 Sustitución
Sustitución de
de habilidades
habilidades yy recursos
recursos
5 Solución
Solución temporal
temporal
2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y
Manejo de los Impactos
B)
Re
s
un
tau
La compra de seguros puede
de
rac
Ofrecer cierta compensación
La contratación de los
ió n
ión
Financiera en caso de pérdidas,
servicios de las compañías
t ac
Pero no cubrirá todos los costes
de
que se especializan en la
tr a
limpieza o reparación de
a cti
gu on
vo
se La c
ro
s
A)
C) Gestión de la reputación
C IX Sitio
O cliente
S E
T S VIII,
O T Traslado a
R otros centros
A del grupo
D T
E VII,
E Trabajo a
G
distancia
I
L A VI, Sitio
A tibio
V, Acuerdo
reciproco
IV, Sitio III, Sitio II,
Reconstrucción
Ninguna
móvil frio Estrategia
y restauración
TIEMPO DE RECUPERACIÓN
I. Ninguna Estrategia
Ventajas Desventajas
Ventajas Desventajas
Ventajas Desventajas
Bajo coste
Falsa sensación de seguridad
El tiempo de recuperación puede ser
Rápido de implementar
largo dependiendo de la complejidad de
Fácil de mantener la tecnología y el equipo utilizado por la
organización
El proveedor d e servicios puede sobre
valorar las capacidades de procesamiento
IV. Sitio móvil
Características
Ventajas Desventajas
Ventajas Desventajas
Ventajas Desventajas
Costo – mucho menos que el del sitio El proveedor de servicios puede sobre
Caliente valorar capacidades de procesamiento
Ventajas Desventajas
Ventajas Desventajas
Costo puede ser bajo a medio
Fácil de implementar No tiene una garantía de la existencia de
En la mayoría de los la capacidad cuando sea necesario
casos,
compatibilidad de tecnología Contención de recursos durante los
Respuesta rápida de activar desastres
IX. Sitio Caliente
Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o
para un sitio con alta criticidad
Ventajas Desventajas
Sección 17
Las medidas de mitigación y protección
b. Medida preventiva
c. Medida de detección
d. Medida correctiva
2.4. Las Medidas de Mitigación y Protección
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Protección y mitigación
Lista de actividades
2.5 Plan de la
2.4.2 Medidas de 2.4.3 Medidas Continuidad 2.6 Comunicación
detección correctivas 2.5
delPlan de la
Negocio
2.4.2 Medidas de 2.4.3 Medidas Continuidad 2.6 Comunicación
detección correctivas del Negocio
Aplicación de las Medidas de Mitigación y Protección
Medidas
Medidas Medidas
Medidas de
de Medidas
Medidas
Preventivas
Preventivas Detección
Detección Correctivas
Correctivas
Desastre
Escenarios de Riesgo y la Selección de las Medidas de Mitigación y
Protección
Ejemplo
Vandalismo
• Redundancia del sistema
internacion Posible(3) Grave (3) Alto • Las pruebas periódicas de los equipos de emergencia
al externo
Protección
Protección Gestión
Gestión del
del Mantenimiento
Mantenimiento
Gestión
Gestión de
de física
física Cambio
Cambio yy de
de la
la del
del
riesgos
riesgos configuración equipamiento
yy lógica
lógica configuración equipamiento
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparación es adecuada
- Desalentar o prevenir la aparición de problemas
- Debe estar basada sobre la mejora continua
2.4.2. Aplicación de Medidas de Detección
Reducir el impacto
Gestión
Gestión de
de
Seguimiento
Seguimiento Alertas
Alertas incidentes
incidentes
Medidas de detección:
- Detectar e identificar anomalías
- Dar indicaciones rápida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
2.4.3. Aplicación de Medidas Correctivas
Planes
Planes de
de CN
CN yy Seguimiento
Seguimiento
RD Copia
Copia de
de
RD (Recuperación
(Recuperación Comunicación
Comunicación de
de No-
No-
seguridad
seguridad
ante Desastres))
ante Desastres conformidades
conformidades
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestión del cambio
- Muy probablemente necesitan la participación humana
- Debe incorporarse en la mejora continua
Ejercicio 9
Medidas de mitigación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 18
Planes y procedimientos de continuidad del negocio
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Objetivos
o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO
El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios
2.5. Planes y Procedimientos de la Continuidad del Negocio
Lista de actividades
2.7 Ejercicio y
pruebas
2.7 Ejercicio y
pruebas
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar
información
1. Nombrar 3. Estructura,
2. Enfoque y 5.
un Formato, 7. Publicar
estrategia Redacción
responsable componentes
6-9 Revisión
8. Uso
2.5.2. Definir un Formato y Estructura del Plan
Recomendaciones
o La estructura del PCN debe ser personalizada para satisfacer las necesidades
específicas de la organización
o La buena prácticas identifican que un PCN debería ser de diseño modular con
diferentes secciones numeradas / nombradas consecutivamente
22 Objetivos
Objetivos
33 Criterios
Criterios yy procedimientos
procedimientos de
de activación
activación
44 Procedimientos
Procedimientos de
de aplicación
aplicación
55 Las
Las funciones,
funciones, responsabilidades
responsabilidades yy autoridades
autoridades
66 Requisitos
Requisitos yy procedimientos
procedimientos de
de comunicación
comunicación
77 Las
Las interdependencias
interdependencias yy las
las interacciones
interacciones internas
internas yy externas
externas
88 Recursos
Recursos necesarios
necesarios
99 Flujo
Flujo de
de información
información yy procesos
procesos de
de documentación
documentación
Contenido a excluir del Plan de CN
X Evaluación de Riesgos
X Proceso de Mantenimiento
X Informe de Auditoría
Ejemplo
Descripción de la Sección
1. Descripción Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan,
general del Plan registro de evento o decisión
2. La rendición de
cuentas, Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Responsabilidades y Equipo de GCN de la Unidad de Negocio
autoridades
3. Notificación, Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesos
invocación y de escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una
escalada cascada inversa) y/o diagrama de flujo
Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN,
4. Equipo de GCN
Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando
6. Lista de tareas y
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas
ayuda memorias
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
7. Información de públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico,
soporte proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios
especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)
Descripción de
de la
la Sección
Sección
Calendario
Calendariode de las
lasActividades
ActividadesCriticas
Criticasde
delalaEmpresa
Empresaoodedeactividades
actividadesde
deapoyo,
apoyo,
recuperación
recuperaciónde delas
lasActividades
ActividadesCriticas
Criticasde
delalaEmpresa
Empresaoode deactividades
actividadesCriticas
Criticas
8. Las Actividades Criticas de la
de
delalaEmpresa
Empresaoode deactividades
actividadesdedeapoyo
apoyo(objetivos
(objetivosdel
delRTO
RTOyyRPO)
RPO)
Empresa
Plan
Plan de de acción,
acción, perfil
perfil de
de recuperación
recuperación de de recursos
recursos de
de lala GCN,
GCN, perfil
perfil de
de
recuperación
recuperaciónde delalaGCN
GCN
Proceso
Proceso de de invocación
invocación y/o
y/o diagrama
diagrama dede flujo,
flujo, diseñado
diseñado del
del plan
plan del
del piso
piso
9. Ubicación del sitio de recuperación
del
del sitio
sitio de
de recuperación
recuperación (área
(área de
de trabajo),
trabajo), mapa
mapa de de ubicación
ubicación del
del sitio
sitio
(dentro de la organización o proveedor
de
de recuperación,
recuperación, re re ubicación
ubicación dede personal
personal (incluido
(incluido el
el transporte
transporte yy
externo)
alojamiento),
alojamiento),seguridad,
seguridad,correo.
correo.
Estaciones
Estaciones de de trabajo
trabajo estándares
estándares decirdecir escritorio,
escritorio, silla,
silla, teléfono
teléfono yy
ordenador,
ordenador, elel equipo
equipo dede computación,
computación, las las aplicaciones
aplicaciones de de software,
software,
conectividad
conectividad de
de las
las tecnologías,
tecnologías, las
las telecomunicaciones,
telecomunicaciones, los los datos
datos copia
copia
10. Perfil de los recursos de
de
deseguridad,
seguridad,documentos/registros
documentos/registrosde devital
vitalimportancia/únicos
importancia/únicos,,equipos
equipos
recuperación
de
de oficina,
oficina, equipo
equipo dede especialistas,
especialistas, suministros
suministros de de oficina,
oficina, por
por ejemplo
ejemplo
requisitos
requisitos dede acceso
acceso para
para personas
personas discapacitadas
discapacitadas al al sitio
sitio de
de
recuperación
recuperación
Orden
Orden deldel Día
Día de
de las
las reuniones,
reuniones, información
información interna,
interna, registro
registro de
de
11. Las plantillas de formulario decisiones
decisiones yy acciones,
acciones, informe
informe de
de estado
estado de
de lala lista
lista de
de tareas,
tareas, mensajes
mensajes
telefónicos,
telefónicos,hoja
hojade
decálculo
cálculodedeacciones
accionesootereas.
tereas.
Apéndices Contratos
ContratosyyAcuerdos
Acuerdosde
deNivel
Nivelde
deServicio,
Servicio,volver
volveraacasa
casa
Tipos de Planes
Descripción de la Sección
Coordinación de los procedimientos para manejar situaciones complejas que representan una
Plan de gestión de crisis
amenaza a los objetivos estratégicos, la reputación o la existencia de una organización
Plan de comunicación Proporciona procedimientos par a difundir informes de situación al personal y al público
Plan de capacitación y Para garantizar procedimientos para difundir informes de situación al personal y al
sensibilización público
Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activación de los Diferentes Planes
Protección y plan
de mitigación Plan de respuesta a incidentes
Plan de respuesta
de emergencia
Plan de recuperación
Plan de restauración
Plan de comunicación
Plan de capacitación y
sensibilización
Plan de ejercicio y
pruebas
2.5.4. Redacción de los procedimientos Relacionados con la CN
Procedimiento
Definición: Forma especificada para llevar a
cabo una actividad o un proceso
1. Quién
2. Qué
3. Cómo
4. Cuándo
5. Dónde
6. Por qué
Ejemplo:
El administrador de la red (quién) se asegura de que las copias de seguridad
(qué)se completan mediante la revisión de lo registros de copia de seguridad
(cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de
Verificaciones (dónde) que se mantiene para futuras consultas (por qué)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 19
Plan de respuesta a incidentes
a. Supervisión de eventos
b. Detección de incidentes
estructurada
La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y
deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá
establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias,
incluyendo los medios de comunicación.
Requisitos
Alerta y comunicación
a) la detección de un incidente,
b) el seguimiento regular de un incidente,
c) la comunicación interna en el seno de la organización y recibir, documentar y responder a la
comunicación de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
e) velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo,
f) Facilitar la comunicación estructurada con los equipos de emergencia,
g) Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.
Plan de Respuesta a Incidentes
Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organización Mundial de la salud
de un Evento Notificación de
Recopilación de Evaluación de
Decisión
Primera Evaluación
No Si
¿Relevante? Segunda evaluación
No
Relevante
Si
Falso Positivo
No
Respuesta
Análisis forense
Comunicaciones
Respuest No
Tiempo
a ¿Incidente
inmediata bajo control? ¿Crisis?
Si Si
Respuesta Actividades de
positiva crisis
Revisión de la
Mejora continua
IV. Invocación de una Respuesta a incidentes
Criterios y procedimientos
Comunicación de respuesta a
incidentes
personal de emergencia
Modo
Incidente
Es
to
ca
en
Ev
la
da
OK
Modo Modo
Estándar Crisis
l ada
ca
OK
Es
Modo de
desastres
VII. Documentación de un Incidente
Sección 20
Plan de respuesta de emergencia
c. Funciones y responsabilidades
d. Procedimiento de evacuación
o Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:
Fuego
Incidente de materiales peligrosos
Inundaciones o riadas
Huracán
Tornado
Tormenta de invierno
Terremoto
Fallo de las comunicaciones
Accidente radiológico
Disturbios Civiles
Pérdida de proveedores o clientes principales
Explosión, etc.
Objetivos de un Plan de Respuesta de Emergencia
Proteger registros,
I. Funciones y responsabilidades
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
o Las listas (del tamaño de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendrían para responder a una emergencia, sus
responsabilidades y sus números de teléfono disponibles las 24 horas
Policía
Cuartel de Bomberos
Compañía de Gas
o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo
de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre
o Desconexión Automática
1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para
proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones
2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una
sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de
emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y
confusión antes de llevar a cabo las actividades de capacitación más exigentes
3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta
realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo
general más gente y es más profunda que la de un ejercicio de mesa
4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica,
las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no
necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas
problemáticas
6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más
estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la
dirección de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Sección 21
Plan de gestión de crisis
o Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)
Importante:
Importante: El
El plan
plan yy los
los procedimientos
procedimientos desarrollados
desarrollados
deberían
deberían permitir
permitir responder
responder al al mismo
mismo tiempo
tiempo de
de una
una
forma
forma coherente,
coherente, integrada
integrada yy complementaria
complementaria
¿Qué es una crisis?
Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la
credibilidad de la organización y requiere medidas urgentes
Características de una Crisis
o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del público y de los medios
Plan de Gestión de Crisis
o Las crisis, por otra parte, se producen a menudo por riesgos que no
habían sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado
o Las crisis están asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solución posible
puede tener graves consecuencias de una forma u otra
o Los administradores pueden tener para elegir la solución “menos mala” y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos
fundamentales. Estos pueden significar que cada elección viene con una pena
de algún tipo y que no existe una solución ideal
Comunicación
Plan de pandemia
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 22
Plan de recuperación de TI
a. Objetivos del plan de recuperación de TI
d. Suministro de equipos
f. Recuperación de telecomunicaciones
I. Funciones y responsabilidades
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
HVAC
Equipo y redes de TI
Telecomunicaciones
Copia de seguridad
Espacio de oficina
II. Traslado al Centro de Recuperación y Logística
Logística
Suministro de
Equipos
Acuerdos Equipos
con los Compatibles
proveedores Existentes
Inventario
de Equipos
IV. Compatibilidad y Administración
Métodos Descripción
Diversidad de
Muchos proveedores de instalaciones de recuperación han proporcionado
Red larga
diversas redes de larga distancia disponibles
distancia
Sistemas de
Con el fin de comunicarse entre los miembros del equipo, debería elegirse
Comunicaciones
un sistema de comunicaciones de emergencia y otras alternativas
de Emergencia
VI. Recuperación de Datos y Procedimientos de Backup
Principales soluciones
1.
1. Red
Red de
de Área
Área de
de Almacenamiento
Almacenamiento 2.
2. Duplicación
Duplicación
••Gracias
Gracias aa la
la virtualización
virtualización del
del almacenamiento,
almacenamiento, •• Con
Con la
la duplicación
duplicación de
de los
los discos
discos oo las
las imágenes
imágenes
se
se combinan
combinan varios
varios dispositivos
dispositivos de
de de
de recuperación, se ha optimizado la
recuperación, se ha optimizado la
almacenamiento
almacenamiento en en unun solo,
solo, lógico,
lógico, sistema
sistema de
de recuperación.
recuperación. Los Los datos
datos se se escriben
escriben en en dos
dos
almacenamiento
almacenamiento virtual
virtual discos
discos yy proporciona
proporciona una
una alta
alta disponibilidad
disponibilidad
3.
3. Procesamiento
Procesamiento distribuido
distribuido 4.
4. Almacenamiento
Almacenamiento electrónico
electrónico
••Los
Los servicios,
servicios, que
que se se encuentra
encuentra enen la
la misma
misma oo ••Con
Con elel almacenamiento
almacenamiento electrónico,
electrónico, se
se realiza
realiza
en
en múltiples
múltiples ubicaciones,
ubicaciones, se se configuran
configuran con
con una
una copia
copia dede seguridad
seguridad de
de los
los datos
datos aa las
las
equilibrio de carga y agrupamiento para procesar
equilibrio de carga y agrupamiento para procesar unidades remotas que se encuentran fuera de
unidades remotas que se encuentran fuera de las las
las
las solicitudes
solicitudes yy los
los datos
datos de
de intercambio
intercambio instalaciones
instalaciones mediante
mediante enlaces
enlaces dede comunicación
comunicación
de alta calidad
de alta calidad
5.
5. Diario
Diario Remoto
Remoto 6.
6. Archivos
Archivos de
de medios
medios
••Las
Las publicaciones
publicaciones remotas,
remotas, las
las transacciones
transacciones oo ••Otro
Otro eses grabar
grabar archivos
archivos aa medios
medios de
de copia
copia de
de
archivos
archivos de
de diarios
diarios son
son transmitidos
transmitidos seguridad y transportarlos, a una ubicación fuera
seguridad y transportarlos, a una ubicación fuera
periódicamente
periódicamente a las unidades remotas que
a las unidades remotas que se
se del
del sitio
sitio
encuentran
encuentran fuera
fuera del
del sitio
sitio
Alineación de la Estrategia de Copia de Seguridad
Propiedad Descripción
Propiedad baja – algún tipo de interrupción • Copia de seguridad: Copia de seguridad en
con poco impacto, daño o perturbación de cinta
la organización • Estrategia: Reubicar o sitio frío
Copia de seguridad
• Puede ser almacenada en
varios lugares, cada uno
cumpliendo un propósito
diferente
i o rity
Pr
! j naad
jhu hd
na
Ckdejh cterísticas
ca ra
VIII. Procedimiento de recuperación para cada Sistema
Sección 23
Plan de restauración
a. Los objetivos del plan de restauración
g. Pruebas y validación
Primer paso
o Las obras de restauración deben ser protegidas para evitar acceso físico no
autorizado
Restaurar
Restaurar el
el funcionamiento
funcionamiento normal
normal
Declaración
Declaración de
de fin
fin del
del incidente
incidente oo crisis
crisis
Cierre
Cierre del
del sitio
sitio de
de recuperación
recuperación
Informes
Informes de
de comentarios
comentarios yy de
de pos-recuperación
pos-recuperación
VIII. Recompensa y Reconocimiento del Personal
o Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje
para
asegurarse de que no se repita
o Las personas que han trabajado más allá de sus horas de trabajo y que han
tomado tareas adicionales deberían ver sus esfuerzos reconocidos de
alguna manera
Sección 24
Plan de comunicación
a. Principios de una eficaz estrategia de comunicación
b. Proceso de Comunicación de CN
h. Evaluar la comunicación
2.6. Plan de Comunicación
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
7.4 Comunicación
La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicación.
b) Cuando comunicar, y
c) A quién se va a comunicar.
Lista de actividades
5. Plan y
procedimiento de la 2.6.1
2.6.1 Establecer
Establecer 2.6.2
2.6.2 Identifica
Identifica 2.6.3 Planificar
Continuidad objetivos
objetivos de
de las Partes
las Partes las actividades de
del Negocio Comunicación
Comunicación Interesadas
Interesadas comunicación
Transparencia
Transparencia
1 Hacer
Hacer que
que todos
todos los
los procesos,
procesos, procedimientos,
procedimientos, métodos,
métodos, fuentes
fuentes de
de datos
datos yy supuestos
supuestos utilizados
utilizados en
en
la comunicación estén disponibles para todas las partes interesadas, teniendo
la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta laen cuenta la
confidencialidad
confidencialidad de
de la
la información
información según
según se
se requiera
requiera
Idoneidad
Idoneidad
Hacer
Hacer que
que la la información
información proporcionada
proporcionada en
en las
las partes
partes interesadas
interesadas sea
sea pertinente,
pertinente, utilizando
utilizando
2 formatos,
formatos, el
el idioma
idioma yy los
los medios
medios que
que cumplan
cumplan con
con sus
sus intereses
intereses yy necesidades,
necesidades, para
para que
que puedan
puedan
participar plenamente
participar plenamente
Credibilidad
Credibilidad
Comunicar
Comunicar con
con una
una conducta
conducta honesta
honesta yy justa,
justa, yy proporcionar
proporcionar información
información que
que sea
sea veraz,
veraz, exacta
exacta yy
3 sustantiva.
sustantiva. Desarrollar
Desarrollar la
la información
información yy datos
datos concon métodos
métodos ee indicadores
indicadores reconocidos
reconocidos yy
reproducibles
reproducibles
Respuesta
Respuesta
55 Responder
Responder aa las
las preguntas
preguntas yy preocupaciones
preocupaciones dede las
las partes
partes interesadas
interesadas de
de forma
forma plena
plena yy oportuna.
oportuna.
Hacer
Hacer conscientes
conscientes aa las
las partes
partes interesadas
interesadas de
de cómo
cómo sese han
han abordado
abordado sus
sus preguntas
preguntas ee inquietudes
inquietudes
Claridad
Claridad
4 Asegurar
Asegurar que
que los
los métodos
métodos de de comunicación
comunicación yy el
el lenguaje
lenguaje son
son comprensibles
comprensibles para
para las
las partes
partes
interesadas para minimizar la ambigüedad
interesadas para minimizar la ambigüedad
Proceso de Comunicación de la CN
ORGANIZACIÓN
Otros principios
Política de continuidad
Corporativos,
del negocio
Políticas y estrategias
Partes
Interesadas
Principios de la comunicación
Política de comunicación de la continuidad del negocio
Grupos
objetivo Planificar
Realizar
2.6.1. Establecer Objetivos de Comunicación
Ejemplos
o Mejorar la credibilidad y la reputación de la organización
Medios de
comunicación Proveedores
Inversores
Empleados
Clientes
Comunidades
2.6.3. Planificar las Actividades de Comunicación
Visitas guiadas a la
Sitio Web Artículos de prensa
organización
Comunicados de Talleres
Informes
prensa Y Conferencias
Presentación a los
Carteles Reuniones Públicas
grupos
o Los visitantes pueden tomar una función más o menos formal de “observador”
Ejemplo de un formulario
Nombre del Número de
proyecto proyecto
Responsable Nombre Fecha 01.02.2015
Comunicación Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3
Enfoque de la
comunicación
Interés y temas principales
Avisos Necesarios
Implementador Líder
Sección 25
Pruebas y ejercicios
a. Definición
i. Informe de Ejercicios/Pruebas
2.7. Pruebas y ejercicios
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Pruebas y ejercicios
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
Ejercicio Prueba
• Proceso para capacitar, evaluar, • Único y particular tipo de
practicar, y mejorar el ejercicio, que incorpora un
rendimiento de una organización elemento de expectativa de
aprobar dentro del objetivo o los
objetivos del ejercicio que está
previsto
Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes,
procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinación inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeño individual; e identificar las oportunidades
de mejora
¿Por qué Evaluar Planes de Continuidad del Negocio?
Capacitación
Capacitación del
del personal
personal en
en la
la utilización
utilización de
de planes
planes de
de CN
CN
Ganar
Ganar adeptos
adeptos en
en todas
todas las
las áreas
áreas de
de negocio
negocio
Probar
Probar la
la adecuación,
adecuación, exactitud
exactitud yy veracidad
veracidad de
de los
los actuales
actuales planes
planes de
de
recuperación
recuperación
Probar
Probar los
los componentes
componentes de
de elementos
elementos técnicos
técnicos
Mejorar
Mejorar procedimientos
procedimientos de
de recuperación
recuperación del
del negocio
negocio
Capacitación
Capacitación del
del personal
personal en
en la
la utilización
utilización de
de planes
planes de
de CN
CN
Asegurar
Asegurar que
que todos
todos los
los aspectos
aspectos del
del negocio
negocio están
están cubiertod
cubiertod
2.7. Pruebas y ejercicios
Lista de actividades
2.7.2
2.7.2 Plan
Plan dede
2.7.1
2.7.1 Definición
Definición 2.7.3.
2.7.3. Creación
Creación de
de
2.6 Comunicación ejercicios
ejercicios &&
de
de la estrategia
la estrategia escenarios
escenarios
pruebas
pruebas
Proceso
Proceso de
de Simulación de recuperación Operacional
Operacional
revisión
revisión
Servicio
En operaciones
Integrado
Integrado
Componente
Componente
Familiarización
Familiarización
Comprobación
Comprobación yy tutorial
tutorial Pruebas
Pruebas // ejercicios
ejercicios Servicios
Servicios integrales
integrales dede
Pruebas
Pruebas // ejercicios
ejercicios
del
del proceso
proceso de
de cada
cada proceso
proceso conmutación
conmutación entre
entre elel
de
de recuperación
recuperación del
del
de
de invocación
invocación yy OO competen
competen dede la
la Sitio
Sitio principal
principal yy el
el
Servicio
Servicio integral
integral
recuperación
recuperación infraestructura
infraestructura secundario
secundario
1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio,
etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta dirección
2.7.3. Creación de Escenarios de ejercicios y Pruebas
Tipo
Tipo de
de ejercicio
ejercicio ¿Qué
¿Qué es?
es? Beneficio
Beneficio Desventajas
Desventajas
Distribuye
Distribuye planes
planes para
para su
su Asegura
Asegura que
que el
el plan
plan aborda
aborda No
No aborda
aborda la
la
Lista
Lista de
de control
control revisión
revisión todas las actividades
todas las actividades eficacia
eficacia
Asegurar
Asegurar que
que las
las actividades
actividades Bajo
Bajo valor
valor para
para
Tutorial
Tutorial Examina
Examina detenidamente
detenidamente Previstas
Previstas se describen con
se describen con demostrar capacidad
demostrar capacidad
estructurado
estructurado Cada
Cada paso
paso del
del PCN
PCN exactitud
exactitud en
en el
el PCN
PCN de
de respuesta
respuesta
Escenario
Escenario para
para representar
representar Cuando
Cuando los
los
Simulación
Simulación Procedimientos
Procedimientos de
de Sesión
Sesión de
de práctica
práctica subconjuntos
subconjuntos son
son
recuperación
recuperación muy
muy diferentes
diferentes
Prueba
Prueba completa,
completa, pero
pero las
las Garantizar
Garantizar un
un alto
alto nivel
nivel de
de Caro,
Caro, ya
ya que
que todo
todo el
el
Paralelo
Paralelo Operaciones
Operaciones no se
no se Fiabilidad
Fiabilidad sin interrumpir las
sin interrumpir las personal está
personal está
detienen
detienen Operaciones
Operaciones normales
normales involucrado
involucrado
El
El desastre
desastre se
se replica
replica al
al punto
punto
Interrupción
Interrupción de que cesen las
de que cesen las Prueba
Prueba más
más fiable
fiable del
del PCN
PCN Arriesgada
Arriesgada
total
total Operaciones
Operaciones normales
normales
Tipo de Escenarios de Prueba para el Sistema de TI
Objetivo
•• Valida
Valida que
que los
los equipos
equipos yy
sistemas
sistemas sese ajustan
ajustan aa las
las
especificaciones y
especificaciones y que que
operan
operan en
en los
los entornos
entornos Prueba
requeridos,
Prueba
requeridos, y que los
y que los
procedimientos
procedimientos yy los los
procesos
procesos son
son viables.
viables.
Prueba Prueba
Estática Funcional
Prueba
Dinámica
2.7.4. Programa de Ejercicios y Exámenes
Lista de Ejercicio
Prueba control Tutorial Interrupción
Departamento/Proceso/Sistema Simulación Paralelo
total
Finanzas
Adquisiciones
Ventas
CRM Dinámica
Recomendaciones
Detener o Suspender
Lista estándar
1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duración de la prueba
7. Pasos específicos de la prueba
8. Quiénes serán los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medición del éxito o el fracaso de las pruebas
2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba
Lecciones
Lo que hay que aplicar para mejorar el PCN
aprendidas
2.7.8. Informe de Ejercicios/ Pruebas
Ejemplo
Dificultades / Problemas Razones/Causas Cogniciones (Lecciones
Durante el ejercicio/prueba Aprendidas)
<Texto> … …
<Texto> … …
<Texto> … …
<Texto> … …
…
¿Qué ha funcionado
Durante la prueba?
¿Qué no funcionó
Durante la prueba?
Curso de Capacitación para Implementador Líder Certificado en la
ISO 22301
Sección 26
Supervisión, medición, análisis y evaluación
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Supervisión (3.29)
Medida (3.27)
Objetivo A
Objetivo B REVISIÓN Y
Objetivo C MEJORA
Lista de Actividades
2. Implementación 3.1.2
3.1.2 Objetivos
Objetivos de
de
3.1.1
3.1.1 Objetivos
Objetivos 3.1.3
3.1.3 Creación
Creación
del SGCN Supervisión
Supervisión yy
de medición
de medición de indicadores
de indicadores
(Hacer) Medición
Medición
Objetivos de la Medición
Ejemplos
Objetivos de la Medición
COM
O La norma no indica, ni cómo ni la frecuencia con
que debe realizarse o evaluarse la supervisión
o la medición
Ejemplo de Tablero
Ejecución – Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestión – Táctico
Mide el progreso hacia el logro delos objetivos tácticos
Ejemplo
II. Tablero Táctico
Ejemplo
Ejemplo
Serie 1 Serie 2
80 71
70 65
61
60
49 48
50
39 50
40
28 41
30 36
20 27 29
10 18 19
0
2004 2005 2006 2007 2008 2009 2010
Descripción A Descripción B Descripción C
Descripción D Descripción E
Ejercicio 13
Sección 27
Auditoria Interna
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
La organización deberá:
- Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
métodos,
- responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías
(s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria,
- La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad
del proceso de auditoría.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la
auditoría.
¿Qué es una Auditoría?
En resumen:
Auditoría significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditorías
Externa
Auditoría de Segunda Auditoria de Segunda
Parte Interna Parte
Nuestro cliente audita Nuestra organización
nuestra organización
Auditoría de primera audita a nuestro
Parte proveedor
Nuestra organización audita sus
propios sistemas
Cliente Proveedor
Auditoría de Organización
Tercera parte
La organización es
auditada por una
organización
independiente
Las Diferencias entre las Auditorías Internas y Externas
Principales características
7. Evaluación de la mejora
Objetivos
continua
principal
es
3. Evaluación de la gestión
de riesgos en curso
6. Evaluación de la medición
y la revisión del sistema de
gestión
4. Evaluación de la eficacia y
la eficiencia de los procesos y
5. 4 Evaluación de la eficacia y la
medidas
eficiencia de la gestión del ciclo de
vida del mismo sistema de gestión
ISO 19011
INTERNATIONAL
ISO
o Las definiciones de los conceptos de STANDARD
19011
auditoría de sistemas de gestión
o Descripción de los aspectos
fundamentales de un programa de
auditoría
los auditores
2.7. Pruebas y ejercicios
Lista de actividades
3.2.3
3.2.3 Establecer
Establecer
3.1 Supervisión, 3.2.1
3.2.1 Crear
Crear el
el 3.2.2
3.2.2 Designar
Designar Independencia,
Independencia,
medición, programa
programa de de una
una Persona
Persona objetividad
objetividad ee
análisis y evaluación auditoría
auditoría interna
interna Responsable
Responsable Imparcialidad
Imparcialidad
3.2.8
3.2.8 Seguimiento
Seguimiento
de 3.3 Revisión por la
de No
No
conformidades Dirección
conformidades 3.3 Revisión por la
Dirección
3.2.1. Crear el Programa de Auditoria Interna
Planificar
Establecer el programa de auditoría (5.2)
Hacer
Actuar
Revisar y mejorar
auditoría auditores
programa de
-Determinar el método (s) de auditoría (cláusula 7)
auditoría (5.5)
-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa Actividades de
de auditoria Auditoria
(cláusula 6)
Verificar
-Revisar y aprobar los informes de auditoría
-Determinar la necesidad de una auditoria de
seguimiento
-Evaluar el desempeño delos miembros del
equipo de auditoria y retro alimentación por
parte de todos los interesados
3.2.2. Designar una Persona Responsable
Funciones y responsabilidades
Principios
de auditoría Operación de un sistema de
Sistema gestión e interacción
Evaluación y gestión de los de gestión entre sistemas
riesgos de auditoría y aquellos
relacionados a la operación de
Riesgos
un sistema de gestión de auditoría
Aspectos Principales leyes y
legales
reglamentos, cláusulas
Principales procesos presentes en de contrato
Proceso
todas las organizaciones (RRHH, organizacional
Finanzas, Producción, etc.)
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditoría
Estructura del estatuto Definición de las responsabilidades y los servicios que serán
(carta) de auditoría proporcionados por la auditoría interna
• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados,
1 oficinas, información, explicaciones y la documentación necesaria para el buen
desarrollo de la auditoría para el buen desarrollo de la auditoría
• Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditoría
Independiente
• Los auditores internos deben ser independientes de los procesos auditados, y esto
2 generalmente se garantiza si el auditor informa a la Comisión de cuentas de la
organización en lugar de directamente a la alta dirección
2. Administrar la seguridad de
5. Realizar auditorias incluyendo
la información y la 8. Mantener registros del
el uso de métodos de
confidencialidad y gestionar programa de auditoría
muestreo apropiados
los riesgos de auditoría
Fuente de información
Uso de
Procedimientos de auditoría
Incluyendo el muestreo
Evidencia de la auditoría
Hallazgo de la auditoría
Revisión
Conclusiones de la
auditoría
No conformidad
Definición
No conformidad menor
No conformidad mayor
3.2.8. Seguimiento de no conformidades
Directrices
o El auditor interno debería seguir los planes de acción presentados en
respuesta a las no conformidades (como resultado de las autoridades internas y
externas)
o El papel del auditor interno se limita a validar los planes de acción y las
acciones correctivas
Basado
Basado en
en su
su experiencia
experiencia yy conocimiento,
conocimiento, el el auditor
auditor interno
interno debería
debería
ejercer
ejercer buen
buen criterio
criterio yy evaluar
evaluar si
si los
los planes
planes de
de acción
acción
apropiados
apropiados yy pueden
pueden abordar
abordar las
las causas
causas intrínsecas
intrínsecas dede las
las conformidades
conformidades
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 29
Tratamiento de problemas y no conformidades
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
Definición
Término Concepto
Lista de actividades
Pruebas y ejercicios
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
Decisiones y resoluciones
U p!
Follow
4.1. Tratamiento de Problemas y No Conformidades
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
10 Mejora
10.1 No conformidad y acción correctiva
La organización deberá:
a) Identificar no conformidad(es);
b) Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d) Implementar las medidas necesarias
e) Examen de la eficacia de las medidas correctivas adoptadas,
f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si
es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a
los efectos de las no conformidades encontradas
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios
significativos dentro de la organización o para el medio ambiente en el que opera.
Definiciones
ISO 9000
Lista de actividades
4.1.1
4.1.1 Proceso
Proceso
2 Implementación 3.1 Medición del 3.2 Auditoría de resolver
de resolver
del SGCN SGCN Interna problemas
problemas yy no
no
conformidades
conformidades
Establecer el Equipo/
¿Es la
Prevenir la recurrencia 7
1 Utilizar un enfoque de
No
Equipo Causa
Una
Causa
Raíz?
Facilitar a su Equipo 8
2 Describir el Problema
Si
Desarrollar
Soluciones posibles(s)
Desarrollar Finalizar
3 Plan Provisional de
Contención
Herramienta de Análisis de la Causa Raíz
El Sitio de
la Red no
funciona
con
No hay un procedimiento frecuencia
Para gestionarlo No hay capacitación de gestión
del sitio de red para sus
No hay formación en la sensibilización empleados
Gestión de Procedimientos
Haciendo las preguntas correctas
Situación
Situación actual
actual Interrogatorio
Interrogatorio Seguimiento
Seguimiento de
de la
la solución
solución Opción
Opción (es)
(es)
¿Qué
¿Qué otra
otra cosa
cosa podríamos
podríamos
¿Qué
¿Qué se
se ha
ha hecho?
hecho? ¿Por
¿Por qué
qué es
es necesario?
necesario? ¿Qué
¿Qué se
se hará?
hará?
hacer?
hacer?
¿Por
¿Por qué
qué se
se hace
hace de
de esta
esta ¿Cómo
¿Cómo hacerlo
hacerlo de
de manera
manera ¿Cómo
¿Cómo se
se hará
hará
¿Cómo
¿Cómo se
se hace?
hace? manera?
manera? diferente?
diferente? esto?
esto?
¿Quién
¿Quién lo
lo hizo?
hizo? ¿Por
¿Por qué
qué esta
esta persona?
persona? ¿Quién
¿Quién más
más podría
podría hacerlo?
hacerlo? ¿¿ Quién
Quién lo
lo hará?
hará?
¿Por
¿Por qué
qué se
se hace
hace en
en este
este ¿Dónde
¿Dónde más
más podríamos
podríamos ¿Cómo
¿Cómo se
se hará
hará
¿Dónde
¿Dónde se
se hace?
hace? lugar?
lugar? hacerlo?
hacerlo? esto?
esto?
¿Por
¿Por qué
qué se
se hace
hace en
en este
este ¿Podríamos
¿Podríamos hacerlo
hacerlo en
en otro
otro ¿Cuándo
¿Cuándo se
se va
va aa
¿Cuándo
¿Cuándo se
se hace?
hace? momento?
momento? momento?
momento? hacer?
hacer?
4.1.2. Procedimiento de Acciones Correctivas
Costos
Eficacia
Se
Se puede
puede escribir
escribir en
en forma
forma resumida
resumida
Deben
Deben permitir
permitir que
que sea
sea corregida
corregida la
la no
no conformidad
conformidad
Deberían
Deberían basarse
basarse en
en un
un enfoque
enfoque preventivo
preventivo yy correctivo
correctivo
Deben
Deben incluir
incluir un
un plazo
plazo de
de ejecución
ejecución
Deben
Deben permitir
permitir la
la obtención
obtención de
de resultados
resultados verificados
verificados
Presentación de los Planes de Acción tras una Auditoría
Ejemplo
Sección 30
Mejora continua
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
10 Mejora
10.2 Mejora Continua
NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación
y evaluación del desempeño, para lograr mejoras.
Mejora Continua
Lista de Actividades
• Leyes y reglamentos:
• Necesidades y preocupaciones
de los clientes y proveedores
• Proveedores de SLA
• Los cambios en el entorno por
ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
Mejora
Cambio continuo
• Evolución organizacional
• Política del SGCN
• Nuevas reglas
• Análisis de riesgos
• Cambios en el alcance del negocio
• Estrategia
• Incidentes
• Continuidad del Negocio y planes de
• Funcionamiento defectuoso
reanudación
• Fallos
• Programa de sensibilización
• Informes de la Gestión de Riesgos
• Programas de Educación
• Resultados de las pruebas
• Planificación de las actividades y los
• Auditorías Internas
resultados.
• Auditorías Externas
• Los niveles de servicio acordados
Revisar y adaptar
4.2.4. Documentar las Mejoras
Record of Changes
Sección 31
Preparación para la auditoría de certificación
c. Etapa 1 de la auditoría
d. Etapa 2 de la auditoría
e. Auditoría de seguimiento
g. Auditoría de vigilancia
Requisitos
ISO 17021
Proceso de Certificación
la
1. Seleccionar un
de la
Informe de auditoría
Auditoría
Auditoría
Organismo de
Certificación:
Inicial
Auditoría Inicial
in situ)
Seguimiento de de
Auditoría
5. Auditoría de
la Auditoría
Mejora Continua y
Seguimiento
6. Decisión de
seguimiento (si es Auditoría de Vigilancia
Certificación
necesario)
la
Antes de la Auditoría
o Como mínimo, se debe haber realizado por lo menos una auditoría interna, así
como una revisión por la dirección.
1. Selección de un Organismo de Certificación
Principales criterios
1 Notoriedad y credibilidad
2 Presencia geográfica
6 Precio
El Rechazo de un Auditor
o Es posible solicitar la
sustitución de los miembros
del equipo de auditoría por jem p l o de razones
E
razones válidas. válidas:
en
u d ito r s e encuentra
• El a e
o El equipo de auditoría podría a c ió n de conflicto d
una sit u ial)
retirarse si considera que las terés ( re al o potenc
in
razones mencionadas no son o
a u d ito r h a mostrad
válidas. • El no
rio r m e n t e conducta
ante
l
profesiona
no tiene la
• El auditor u erida por la
ión re q
habilitac
ditada.
entidad au
2. Preparándonos para la Auditoría de Certificación
Recomendaciones
Preparación para la
auditoría
1. La Auto 3. Auditoría de
evaluación práctica.
1. La Auto 3. Auditoría de
evaluación práctica.
2.Preparar
al personal
2.Preparar
al personal
3. Etapa de la auditoría
4. Recomendación desfavorable.
5. Realización de una Auditoría de Seguimiento
ISO 17021, cláusula 9.1.12-13
Sección 32
Competencia y evaluación de un Implementador Líder
c. Solicitud de auditoría
Contexto
Competencia
Capacidad
Capacidad demostrada
demostrada
Conocimientos
para
para aplicar
aplicar
de
conocimientos
conocimientos yy Habilidades Conocimiento
habilidades
habilidades de
conducta Competente
De
se
a nte m
pe
tic ño
rac
P
xto
Co
nt e
nt
Co
ex
Habilidades
to
Habilidades de Conducta
Habilidades de Conducta
Habilidades de Conducta
9. Auto
Proporciona suficienteobjetiva del
la evidencia
Cumplimiento de los requisitos de la norma
Esquema de Certificación de PECB para la ISO 22301
Resumen de requisitos
Experiencia Experiencia
Experiencia
Examen Credencial Profesional auditoría de Proyecto de
Profesional
SGCN SGCN
ISO 22301 ISO 22301
--------------- ------------- -------------
Fundamentos Fundamentos
ISO 22301
-------------- ------------ -------------
Auditor Provisional
ISO 22301
ISO 22301 2 Años (1 en ------------
Auditor 200 horas
Auditor Líder continuidad del negocio)
3. Resultados del 4.
4. Solicitud
Solicitud de
de
1. Examen PECB 2. Certificado CPD
examen certificación
certificación
3. Resultados del
1. Examen PECB 2. Certificado CPD
examen
5. Evaluación de 7. Mantenimiento
6. Certificación
su solicitud de la certificación
5. Evaluación de 7. Mantenimiento
6. Certificación
su solicitud de la certificación
GRACIAS