iso22301

December 24, 2017 | Author: rcf_rep | Category: Planning, Business, Technology, Computing And Information Technology, Technology (General)
Share Embed Donate


Short Description

Download iso22301...

Description

NORMAS ISO/IEC 22301 2016 Docente: Ing. Manuel Castillo Fernández 1

Agenda de la Semana

Día Día 1 1

Introducción a a la la norma norma ISO ISO 22301 22301 y y el el Introducción inicio inicio De un un SGCN SGCN De Planificar la la implementación implementación del del SGCN SGCN Planificar

Día Día 2 2

Día 3 3 Día

Despliegue del del SGCN SGCN Despliegue Monitoreo del del SGCN, SGCN, mejora mejora continúa continúa y y Monitoreo Preparación para para la la auditoría auditoría de de Preparación certificación certificación Examen final final Examen

Capacitación del Implementador Líder Certificado en la norma ISO 22301 Sección 2 Estándar y marco normativo

a. b. c. d. e.

¿Qué es la ISO? Principios fundamentales de la ISO Normas de sistemas de gestión Sistema de gestión integrado Normas de Continuidad del Negocio f. ISO 22301 e ISO 27001 g. Ventajas de la ISO 22301

¿Qué es ISO?



ISO es una red de organismos nacionales de estandarización de más de 160 países



Los resultados finales de los trabajos publicados como normas internacionales



Se han publicado más de 19000 normas desde 1947

realizados

por ISO son

Principios Básicos – Normas ISO

1.

1. Representación igualitaria: 1 voto por

país 2. Adhesión voluntaria: ISO no tiene la autoridad PRINCIPI para forzar la adopción de sus normas OS Básicos 3. Orientación al negocio: ISO sólo de desarrolla normas para existe demanda del mercado las Normasa 4. Enfoque de consenso: busca un amplio ISO consenso entre las distintas partes interesadas 5. Cooperación internacional: más de 160 países además de organismos de enlace

Los Ocho Principios de Gestión de la ISO

Enfoque en el

cliente Liderazgo Enfoque del Sistema para la gestión

Participación de Las personas Enfoque en los procesos

Mejora continua Enfoque basado en hechos para la Toma de decisiones

Relaciones Mutuamente Beneficiosas con el proveedor

Normas de Sistemas de Gestión

Normas primarias en las que una organización puede estar certificada ISO 9001 Calidad

ISO 22000 Sanidad Alimentaria

OHSAS 18001

ISO 14001 Medioambiente

Salud y Seguridad en

el trabajo

ISO 22301

ISO 27001

Continuidad del Negocio

Seguridad de la

Información

ISO 20000 Servicios de TI

ISO 28000 Seguridad de la Cadena de

Suministro

Sistema de Gestión Integrado Estructura típica de las normas ISO ISO 9001:2008

ISO 14001:2004

ISO 20000:2011

ISO 22301:2012

ISO 27001:2005

5.4.1

4.3.3

4.5.2

6.2

4.2.1

Política del sistema de gestión

5.3

4.2

4.1.2

5.3

4.2.1

Compromiso de la Dirección

5.1

4.4.1

4.1

5.2

5

Requisitos de Documentación

4.2

4.4

4.3

7.5

4.3

Auditoria interna

8.2.2

4.5.5

4.5.4.2

9.2

6

Mejora continua

8.5.1

4.5.3

4.5.5

10

8

Revisión por la Dirección

5.6

4.6

4.5.4.3

9.3

7

Requisitos

Objetivos del sistema de gestión

ISO 22301

• Especifica los requisitos de gestión de un SGCN • Los requisitos (cláusulas) son escritos utilizando el verbo “deberán” en imperativo • Integrar el modelo PDCA (PLAN, DO, CHECK Y Act) • Auditable • La organización puede ser certificada en esta norma

INTERNATIONAL ISO STANDARD 22301                  _______________________________________________ Societal security- Business continuity Management Systems –Requirements        

  _________________________________________________

ISO 22301 Contenido Sección 1

Ámbito de aplicación

Sección 2

Referencias normativas

Sección 3

Términos y definiciones

Sección 4

Contexto de la organización

Sección 5

Liderazgo

Sección 6

Planificación

Sección 7

Apoyo

Sección

Funcionamiento

ISO 22313

• Guía para el código de buenas prácticas para implementar, mejorar un Sistema de Gestión de la Continuidad de los Negocios (Documento de referencia). • Cláusula escrita utilizando el verbo “debería” a fin de proporcionar orientación en materia de aplicación. • La organización no puede ser certificada en esta norma

  INTERNATIONAL ISO STANDARD 22313                  _______________________________________________ Societal security-Business continuit Management Systems –Gidance                   _________________________________________________

Historia de la norma ISO 22301 1988 – 2013 2013 2012 2007 2006 2003 2002 1984

1988

Creación del DRI Internacional conocido originalmente como Disaster Recovery Institute (Instituto de Recuperación ante Desastres)en los EEUU

Creación del Business Continuity Institute (BCI) en el Reino Unido

Publicación de la norma BS 25999-1 Publicación de PAS 56

BCI publica Guías de Buenas Prácticas de la GCN

Publicac ión de la norma BS 25999-2

ISO publicó la primera versión de la norma ISO 22301

ISO publica la primera versión de la norma ISO 22313

Otras Normas sobre Continuidad del Negocio Ejemplos

ISO 24762

NIST 800-34

ISO 27031

Norma NFPA 1600

El Contenido y la Relación entre ISO 22301 e ISO 27001 ISO 27001, A. 14: Gestión de Continuidad del Negocio A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna Control

A.14.1.1

Incluir seguridad de l Información en el proceso de Gestión de la continuidad del negocio

Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.

ISO 22301 Requisitos Continuidad del negocio 4.4 sistema de gestión

8.2 AIN y la Evaluación de los riesgo

Control

A.14.1.2

Continuidad del negocio y evaluación del riesgo

Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Control

A.14.1.3

Desarrollo e implementar Planes de continuidad Incluyendo seguridad de la información

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falta en los procesos de negocios críticos.

8.4 Procedimientos de la continuidad del negocio

6 Planificación del

SGCN

Control

A.14.1.4

Marco referencial para la Planeación de la continuidad Del negocio

Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar las prioridades de pruebas y mantenimiento. Control

A.14.4.5

Prueba mantenimiento

8.5

Ejercicio y pruebas

Ejercicio 1 Mitos y Realidades – Continuidad del Negocio

Continuidad del Negocio Ventajas Previsible y eficaz respuesta a las crisis

Protección de las personas

Mantenimiento de las actividades esenciales de la organización

Mejor comprensión de la organización

Reducción de costos:

Respeto de las partes interesadas

Protección dela reputación y la marca

Confianza de los clientes

Ventaja competitiva

El cumplimiento de los requisitos legales

Cumplimiento de normativas

Cumplimiento de los contratos

Capacitación del Implementador Líder Certificado en la norma ISO 22301 Sección 3 Sistema de Gestión de la Continuidad del Negocio (SGCN)

a. b. c. d.

Definición de un SGCN Enfoque en los procesos Visión general – Cláusulas 4 a 10 Los componentes claves de un SGCN

¿Qué es la Continuidad del Negocio? Proceso impulsado por el negocio que establece un marco Estratégico y táctico de ajuste a los objetivos que:

1

Mejora la organización pro activa de resistencia contra la interrupción de su capacidad de lograr sus objetivos clave

2

Proporciona un método ensayado para restaurar la capacidad de una organización para garantizar el suministro de sus productos y servicios clave después de una interrupción

3

Proporciona una capacidad demostrada para gestionar una interrupción del negocio y proteger la reputación de la organización y de la marca

Gestión de Continuidad del Negocio ISO 22301, cláusula 3.4: Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación de valor

Nota: Nota: El El sistema sistema de de gestión gestión incluye incluye la la estructura, estructura, las las políticas, políticas, las las actividades de planificación, las responsabilidades, actividades de planificación, las responsabilidades, Las Las prácticas, prácticas, los los procedimientos, procedimientos, Los Los procesos procesos yy los los recursos recursos de de la la organización organización

Los componentes claves de un SGCN

ISO 22301, Introducción Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales : 1. Una política 2. Personas con responsabilidades definidas; 3. Procesos de gestión asociados con: - Política - Planificación - Implementación y operación - Evaluación del rendimiento - Revisión por la Dirección - Mejora 4. Documentación que provea pruebas auditables 5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización

El ciclo Planificar – Hacer – Verificar – Actuar (PHVA) ISO 22301, Introducción

Establecer un SGCN

Actuar Requerimientos expectativas de la Continuidad del Negocio

Partes Interesadas

Planificar

Partes Interesadas

Hacer

Mantener y Mejorar el SGCN

Implement ar El SGCN Supervisar y Revisar el SGCN

Verificar

Continuidad del Negocio Gestionada

Requisitos generales ISO 22301

En resumen La organización deberá establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas

1.Conocimien to de la organización y su entorno

2. Determinar las necesidade sy requisitos

3. Implementar y Administrar un SGCN

Contexto de la organización ISO 22301, cláusula 4

Conocimiento de la Organización y su entorno

Comprensión de las Necesidades y Expectativas de las Partes interesadas

Determinar el Alcance del SGCN

•Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas. •Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas •El apetito de la organización por el riesgo •Las necesidades de las partes interesadas que son pertinentes para el SGCN •Los requisitos de estas partes interesadas •Requisitos jurídicos y normativos

•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance •A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y externas y los requisitos

Liderazgo y Compromiso de la Dirección ISO 22301, cláusula 5.1 y 5.2 Orientación estratégica • Asegurarse de que el SGCN es compatible con la orientación estratégica de la organización • Integrar los requisitos del SGCN en los procesos de negocio de una organización

Hacer que los recursos estén disponibles • La Dirección deberá determinar y proporcionar los Recursos necesarios para el SGCN

Comunicación • Dirección deberá comunicar la importancia de una buena Gestión de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN

Política de Continuidad del Negocio ISO 22301, cláusula 5.3: La alta dirección debe establecer una política de continuidad del negocio que: •

- Sea apropiada para los fines de la organización - Proporcione un marco para establecer objetivos de continuidad del negocio - Incluya un compromiso de cumplir los requisitos aplicables - Incluya un compromiso de mejora continua del SGCN

• La política del SGCN deberá: -

Estar disponible como información documentada Ser comunicada dentro de todas las partes interesadas, según corresponda Ser revisada para su adecuación continuada a intervalos definidos y cuando se reduzcan cambios significativos

Funciones, Responsabilidades y Autoridades ISO 22301, cláusula 5.4: La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización. •

• La alta gerencia deberá asignar la responsabilidad y autoridad para: -Garantizar que el sistema de gestión se ejecuta en conformidad con los los requisitos de la norma ISO 22301. -Informar sobre la eficacia de la gestión a la alta dirección.

Los Objetivos y los Planes para Alcanzarlos ISO 22301, cláusula 6.2: • La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organización • Los objetivos deberán: a) Ser coherentes con la política de continuidad del negocio b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar sus objetivos c) Ser mensurables d) Tener en cuenta los requisitos aplicables e) Ser monitoreados y actualizados según proceda

Apoyo ISO 22301, cláusula 7: La organización deberá determinar y proporcionar los recurso necesarios para el SGCN

Recursos

Compete ncia La organización Deberá asegurar Tener personas Competentes para realizar las tareas relacionadas con el SGCN

Las personas que realizan Trabajo en el marco del Control de a organización Deberán ser conscientes De la política de la CN, Sus funciones en el SGCN Y los requisitos para la organización

Sensibilizaci ón

El SGCN de la Organización deberá Incluir información Documentada requerida Por la ISO 22301 y Registros para demostrar La eficacia del SGCN

Comunicaci ón

La organización deberá Establecer, implementar y mantener mecanismos De comunicación con las partes interesadas internas y externas

Documenta ción

Información documentada •

ISO 22301, cláusula 7.5:

9. Disposición 1. Creación 8. Archivado

7. Uso adecuado

2. Identificación

3. Clasificación

6. Distribución 4. Modificación 5. Aprobación Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos

Análisis del impacto en el Negocio y Evaluación de los Riesgos ISO 22301, cláusula 3.50 y 8.2

Proceso de análisis de las funciones del negocio y del efecto que una interrupción del negocio podría tener sobre dichas funciones

Análisis de Impacto en el Negocio

Evaluación de riesgo

Proceso general de identificación, Análisis y Evaluación de riesgos

Estrategia de Continuidad del Negocio ISO 22301, cláusula 8.3 La organización deberá determinar las opciones apropiadas de continuidad para:

A) Proteger las actividades prioritarias

C) Mitigar, responder a los impactos y gestionarlos

B) Estabilizar, continuar, reanudar y recuperar actividades prioritarias

Establecer y Aplicar Procedimientos de Continuidad del Negocio ISO 22301, CLÁUSULA 8.4.1 La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial os en Cas a t s e u La resp rgencia y la de Eme de Crisis n Gestió

Contingencia

Recuperación y Restauración

Protecció n

y mitigac ión

Ca y pac ita Co ció n ón ncie nc iac i

Generalidades Generalidades ••La La organización organización deberá deberá establecer, implementar establecer, implementar yy mantener mantener procedimientos procedimientos de de continuidad continuidad del del negocio negocio para para gestionar un incidente gestionar un incidente perjudicial perjudicial yy continuar continuar sus sus actividades sobre la base actividades sobre la base de de objetivos objetivos de de recuperación recuperación identificados identificados en en el el análisis análisis del impacto en el negocio del impacto en el negocio

Ejercicios y Pruebas ISO 22301, cláusula 8.5

La organización deberá ejercitar y Probar sus Procedimientos de Continuidad del negocio para garantizar que son Coherentes con sus Objetivos de Continuidad del negocio

Evaluación del desempeño ISO 22301, cláusula 9

1.

2.

Revisión del ejercicio y la prueba de los procedimientos de continuidad, después de los informes sobre incidentes.

Revisión periódica de la eficacia del SGCN teniendo en cuenta las proposiciones y sugerencias de los interesados.

6.

Revisión de la gestión y actualización de los planes de continuidad del Negocio y de los Procedimientos.

5. Realización de las auditorias internas.

Monitoreo y revisión del SGCN

3.

Medición de la eficacia de los procedimientos

4. Revisión de las evaluaciones De riesgo y del AIN.

Nota: Cada una de estas acciones debe ser documentada y registrada.

Mejora ISO 22301, cláusula 10 •

La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.



La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño, para lograr la mejora.

Capacitación Implementador Líder Certificado en la norma ISO 22 301 Sección 4 Principios fundamentales de la continuidad del negocio a.

Continuidad de negocio y recuperación de desastres

b.

Evento: de un incidente a una emergencia

c.

Organización y actividades prioritarias

d.

Procesos y recursos

e.

Probabilidad, consecuencia e Impacto

f.

Interesados (partes interesadas)

g.

Resiliencia

Continuidad del Negocio y Recuperación ante Desastres Diferencias Continuidad del Negocio Asegurar que el negocio Pueda continuar durante Una emergencia Los Objetivos son: •En primer lugar, el capital Humano de la empresa •Entrega de productos o prestación de servicios a los clientes de la empresa •Funciones críticas del negocio en la empresa

Recuperación ante desastres Recuperar la “tecnología” Lo más rápidamente posible. Se incluyen: • Los Datos, el hardware y el software necesarios para reanudar las operaciones Críticas de la empresa •Un plan de recuperación ante desastres (DRP) también incluye la elaboración de planes para hacer frente a la inesperada o repentina pérdida de personal clave •En un PCN, es uno de los aspectos del plan

COMUNICACIONES & RRPP

SEGURIDAD

RECURSOS HUMANOS

GESTIÓN DE CRISIS

SALUD Y SEGURIDAD

GESTIÓN DEL MEDIO AMBIENTE

GESTIÓN DE CALIDAD

GESTIÓN DE LA CADENA DE SUMINISTRO

ADMINISTRACIÓN DE LAS INSTALACIONES

RECUPERACIÓN DE TI ANTE DESASTRE

GESTIÓN ANTE UNA EMERGENCIA

GESTIÓN DE RIESGO

Participación de todos los elementos de la organización

La Gestión de Continuidad del Negocio Está en relación con:

Evento: de incidente a una Emergencia Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399 Evento (ISO 22301, 3.17)

Interrupción (ISO 22399. 3.4

• Ocurrencia de un conjunto particular de circunstancias.

• Evento que pudiera constituir o pudiera redundar en una interrupción del negocio, en una pérdida, emergencia o crisis.

Incidente (ISO 22301, 3.19)

• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.

Crisis (ISO 22399, 3.3)

• Cualquier incidente(s), causado por los humanos o causas naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.

Desastre (ISO 22300, 2.

•Situación en la que se han producido amplias pérdidas humanas, materiales, económicas o ambientales que superaron la capacidad de la organización, la comunidad y la sociedad afectadas para responder y recuperarse utilizando sus propios recursos.

Emergencia (ISO 22399, 3.6)

• Suceso o evento repentino, urgente, generalmente inesperado que requiere acción inmediata.

Organización y Actividades ISO 22301, CLÁUSULA 3.1,3.33 y 3.42 Organización (3.33) (3.33) Organización Persona Persona oo grupo grupo de de personas personas que que tiene tiene sus sus propias propias funciones funciones con con responsabilidades, responsabilidades, autoridades autoridadesyyrelaciones relaciones para para lograr lograrsus sus objetivos. objetivos.

Actividad (3.1) (3.1) Actividad Proceso Proceso oo conjunto conjunto de de procesos procesos acometidos acometidos por por una una organización organización (o (o en en su su nombre) nombre) que que producen producen oo dan danapoyo apoyo aauno unooo más más productos productos yyservicios. servicios.

Actividades Prioritarias Prioritarias (3.42) (3.42) Actividades Las Las actividades actividades aa las las que que deben deben darse darse prioridad prioridad tras trasun unincidente incidente con con el el fin finde demitigar mitigarlos losimpactos. impactos.

Proceso ISO 22301, cláusula 3.40 Conjunto de actividades mutuamente relacionadas o que interactúan, que transforman elementos de entrada en resultados.

Entrada

Actividades

Salida

Recurso ISO 22301, CLÁUSULA 3.47

Recursos ••Todos Todos los los archivos, archivos, personal, personal, habilidades, información, habilidades, información, tecnología tecnología (incluyendo (incluyendo maquimaquinaria y equipos), locales, yy naria y equipos), locales, suministros suministros ee información información (ya (ya sea electrónica o no) que una sea electrónica o no) que una organización organización debe debe tener tener dispodisponibles para uso, cuando nibles para uso, cuando sea sea necesario, para operar yy necesario, para operar cumplir cumplir sus sus objetivos. objetivos.

Las Personas

Activos

Información Información

Locales

Tecnologías

Suministros

Locales

Tecnologías

Suministros

Riesgo ISO 22301 Riesgo Riesgo (3.48) (3.48) Efecto Efecto de de incertidumbre incertidumbre sobre sobre los los objetivos objetivos

Apetito por por el el riesgo riesgo (3,49) (3,49) Apetito Cantidad Cantidadde de riesgo riesgo que que una una organización organización está está Dispuesta Dispuesta aa conseguir conseguiroo conservar conservar

Evaluación de de Riesgo Riesgo (3.50) (3.50) Evaluación Proceso Procesogeneral generalde de identificación, identificación, análisis análisis yy Evaluación Evaluación de de riesgos. riesgos.

Gestión del del riesgo riesgo (3.51) (3.51) Gestión Actividades Actividades coordinadas coordinadas para para dirigir dirigiryycontrolar controlar Una Unaorganización organizacióncon con respecto respecto al alriesgo riesgo

R I S K K

Probabilidad, Consecuencia e Impacto ISO 22399 Probabilidad Probabilidad (3.28) (3.28) Grado Grado al al que que es es probable probable que que se se produzca produzca un un evento evento

Consecuencia Consecuencia (3.2) (3.2) Resultado Resultado de de un un evento evento

Impacto Impacto (3.10) (3.10) Consecuencia Consecuencia evaluada evaluada de de un un resultado resultado en en particular particular

Parte interesada (interesados) ISO 22301, CLÁUSULA 3.21: Persona u organización que puede afectar, pueden verse afectados por, o se consideran afectados por una decisión o actividad Instituciones financieras

Proveedores

Consejo de Administraci ón

Clientes

Grupos Interesados

Equipo de Gestión Organizaci ón

Empleado s

Regulador

Medios

Sindicatos

Público

Accionistas

Resilencia ISO 22300, cláusula 2.1.17

Resilen cia

Capacidad de adaptación de una organización en un ambiente complejo y cambiante

Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 5 Iniciando la implementación del SGCN

a.

Enfoque para la implementación del SGCN

b.

Metodología de implementación del SGCN

c.

Alimentación con las mejores prácticas

Requisitos ISO 22301, cláusula 5.4:

5.4 Funciones organizativas, responsabilidades y autoridades La alta gerencia deberá asigna la responsabilidad y autoridad para : Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional

1.1. Iniciando la Implementación del SGCN Lista de actividades

Intención de Implementar Intención de un SGCN Implementar un SGCN

1.1.1 Definición del 1.1.1 enfoque para Definición del la enfoque para implementació la n implementació n

1.1.2. Selección de un1.1.2. marco Selección de metodológico un marco metodológico

1.1.3. Alineación Con las mejores Prácticas

1.2. Comprensión 1.2. De la Comprensión organización De la organización

1.1.1. Definición del Enfoque de Aplicación del SGCN Posibles Enfoques 2. Nivel de madurez de los Procesos en uso

3. Expectativas y alcance

1. Velocidad de implementación

Enfoque Propuesto Directrices 1. Enfoque del negocio Se integra en el contexto de las actividades comerciales a través de la organización

2. Enfoque de sistemas La aplicación general del proceso de SGCN, no mediante al aislamiento de los procesos

5. Método iterativo La rápida Implementación del SGCN respetando lo Requisitos mínimos y Cambiar a mejora Continua a partir de entonces

Directrices

3. Enfoque Sistemático

4. Enfoque Integrado Integración del SGCN o armonizarlo con los demás requisitos de la organización

Aplicar las mejores prácticas en gestión de proyectos

Las Directrices de Aplicación Recomendaciones 1. 2. 3. 4. 5. 6.

Evitar la integración de nuevas tecnologías Integrar el DGCN en los procesos existentes Aplicar los principios de mejora continua Involucrar a los participantes en la organización Obtener el apoyo de la Dirección Identificar y formalmente nombrar a un Director del proyecto del SGCN

1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de Implementación del SGCN

1. Planificar

2. Hacer

3. Verificar

4. Actuar

1.1. Inicio del SGCN 1.2 Comprensión de la organización

2.1 Análisis del Impacto al Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del negocio

1.4 Alcance 1.5 Liderazgo y planificación

2.3 Estrategia de Continuidad del Negocio

1.6 Política de CN

2.4 Medidas de Presentación & Mitigación

1.7 Estructura de la organización

2.5 plan y procedimientos de la continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia & sensibilización

2.7 Ejercicio y pruebas

3.1 Seguimiento, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

3.2 Auditoría interna

3.3 Revisión por la Dirección

4.2 Mejora continua

Metodología de Implementación Integrada para los Sistemas de Gestión y las Normas (IMS) Metodología de PECB para la aplicación del SGCN 4 FASES

Planificar

Proyecto Del SGCN

Hacer

Verificar

Actuar

21 Pasos

101 actividades

Tareas sin definir

Enfoque y Metodología Basado en las mejores prácticas

ISO 10006 Directrices para la gestión de calidad en proyectos

PMBOK Conjunto de Conocimientos de la gestión de Proyectos (PMBOK en idioma inglés

22313 Orientación para la Implementación del sistema de gestión de Continuidad del Negocio

1.1.3. Alineación con las Mejores Prácticas Uso de las normas ISO

ISO 22301

ISO 27031

ISO 24762

ISO 223

01

ISO 22313

ISO 27001 ISO XXXX X

Ejercicio 2 Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN

Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 6 Comprensión de la organización

a. b. c. d.

Comprensión de la organización Identificación y análisis de las partes interesadas Identificación y análisis de los requisitos y expectativas Definición preliminar del alcance

1.2. Comprensión de la organización

1. Planificar

2. Hacer

3. Verificar

4. Actuar

3.1 Seguimiento, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

1.1. Inicio del SGCN 1.2 Comprensión de la organización

2.1 Análisis del Impacto al Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del negocio

1.4 Alcance 1.5 Liderazgo y planificación

2.3 Estrategia de Continuidad del Negocio

1.6 Política de CN

2.4 Medidas de Presentación & Mitigación

1.7 Estructura de la organización

2.5 plan y procedimientos de la continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia & sensibilización

2.7 Ejercicio y pruebas

3.2 Auditoría interna

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos ISO 22301, cláusula 4.1: Comprensión de la organización y su entorno La organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que afectan su capacidad de alcanzar los resultados esperados de su SGCN. Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN. La organización deberá identificar y documentar lo siguiente: a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial; b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas incluyendo su estrategia global de gestión de riesgos. c) El apetito por el riesgo de la organización. Para establecer el contexto, la organización deberá: 1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio, 2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo. 3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y 4) Definir el objetivo del SGCN.

1.2. Comprensión de la organización Lista de actividades 1.2 Comprensión de la organización

1.1 1.1 Iniciar Iniciar el el SGCN SGCN

1.2.1 1.2.1 Misión Misión objetivos, objetivos, valores valores estrategias estrategias

1.2.2 1.2.2 Entorno Entorno externo externo

1.2.3 1.2.3 Entorno Entorno interno interno

1.2.4 1.2.4 proceso proceso yy actividades actividades

1.2.5 1.2.5 Infraestructura Infraestructura

1.2.6 1.2.6 Partes Partes interesadas interesadas

1.2.7 1.2.7 Requisitos Requisitos del negocio del negocio

1.2.8 1.2.8 Apetito Apetito por por el riesgo y el riesgo y criterios criterios de de riesgo riesgo

1.2.9 1.2.9 Alcance Alcance Preliminar Preliminar

1.3 1.3 Análisis Análisis de brechas de brechas

1.4 1.4 Alcance Alcance

1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias

Misión Misión

Valores Valores

Estrategias Alineamient o

Estratégico

Los Los objetivos objetivos De De Continuidad Continuidad del del Negocio Negocio

Objetivos

Políticas Corporativas

Políticas de Continuidad del Negocio

1.2.2. Análisis del Ambiente Externo

Consejos Consejos Prácticos Prácticos Fortalezas

Debilidades

••La La ISO ISO 22301 22301 no no ofrece ofrece enfoques enfoques prácticos prácticos para para analizar analizar el el contexto contexto de de una una organización organización ••Existen Existen varias varias metodologías metodologías para para entender entender cómo cómo funciona funciona una una organización organización

Oportunidades

Amenazas

••Lo Lo importante importante es es identificar identificar las las características características de de los los factores factores ambientales ambientales internos internos yy externos externos que que influyen influyen en en la la gestión gestión de de la la continuidad continuidad del del negocio: negocio: misión, misión, actividades actividades principales, principales, organización organización interna, interna, partes partesinteresadas, interesadas, ttc. ttc.

1.2.3. Análisis del Entorno Interno Estructura organizativa y actores claves

Comprender Comprender la la estructura estructura yy los los principales actores de la principales actores de la organización organización relacionados relacionados con con el el ámbito ámbito de de aplicación aplicación en en los los planos: planos:   Estratégico Estratégico (¿Quién (¿Quién establece establece las las orientaciones orientaciones estratégicas?) estratégicas?)   Gobierno Gobierno (¿Quién (¿Quién coordina coordina yy gestiona gestiona las las operaciones?) operaciones?)   Operacional Operacional (¿Quién (¿Quién participa participa en en las las actividades actividades de de producción producción yy apoyo?) apoyo?)

1.2.4. identificación de los Principales Procesos y Actividades

1. 3. Activos de Información Claves ¿Cuáles son los Activos de información Claves de la Organización?

Oferta de Productos y servicios

¿Cuáles son los bienes y Servicios producidos por la organización?

2. Procesos de Negocios ¿Cuáles so los Procesos claves que Permiten a la Organización cumplir Con su misión?

Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni un inventario detallado de activos, sino sólo establecer una lista general

1.2.5. Identificación de la Infraestructura ISO 22301, cláusula 3.20 Infraestructura: Sistema de instalaciones, equipos y servicios Necesarios para el funcionamiento de una organización Categoría

Ejemplos

(Ejemplo)

Sitios Utilidades Equipo industrial Servicio Transporte

Oficinas, centro de datos, residenciad e los empleados, áreas seguras, Sitio de fabricación, etc. Electricidad, gas, aire acondicionado, control de humedad, etc. Almacenamiento y manejo de equipos, cintas transportadoras, robots industriales, Contabilidad, recursos humanos, compras, logística, etc. Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.

telecomunicaciones

Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.

Tecnología de la información

Servidor, ordenador portátil, red, sistema operativo, software de contabilidad, etc.

1.2.6. Identificación y Análisis de las Partes Interesadas Análisis de sus necesidades y expectativas

1. Identificar las Necesidades y expectativas

•• Identificar Identificar las las necesidades necesidades

yy expectativas expectativas de de todas todas las las partes partes interesadas interesadas •• Las Las necesidades necesidades yy expectativas expectativas puedes puedes ser ser implícitas implícitas oo explícitas explícitas •• Ejemplo: Ejemplo: la la tasa tasa de de disponibilidad disponibilidad del del servicio servicio del 99,5% del 99,5%

2. Validar las necesidades y expectativa ••Analizar Analizar las las necesidades necesidades de de seguridad si seguridad yy confirmar confirmar si responde a las responde a las preocupaciones de preocupaciones de la la organización en este momento organización en este momento •• Se Se puede puede hacer hacer mediante mediante el el envío de un cuestionario, envío de un cuestionario, realizando realizando entrevistas entrevistas oo facilitar facilitar grupos grupos de de enfoque enfoque

3. Identificar roles y responsabilidades

•• Definir Definir lo lo que que se se espera espera de de las las diferentes diferentes partes partes interesadas interesadas en el proyecto: las en el proyecto: las ff unciones, unciones, las las responsabilidades responsabilidades yy los los niveles de participación que niveles de participación que se se necesita necesita •• Establecer Establecer un un consenso consenso con con ellos ellos durante durante la la etapa etapa de de planificación de su planificación de su participación participación

Partes Interesadas Influencia positiva y negativa Partes Partes interesadas interesadas negativas negativas ••Por Por estas, estas, el el SGCN SGCN podría podría tener tener un un impacto impacto •• negativo negativo ••Ejemplo: Ejemplo: un un departamento departamento de de recursos recursos humanos humanos involucrado involucrado en en la la implementación implementación del del SGCN SGCN sufrirá sufrirá una una pesada pesada carga carga con con la la documentación documentación de de los los expedientes expedientes de de los los empleados empleados

Partes Partes interesadas interesadas negativas negativas •• Los Los que que se se beneficiarían beneficiarían del del SGCN SGCN •• Ejemplo: Ejemplo: los los clientes clientes de de una una empresa empresa de de servicios de TI servicios de TI

Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN

Legal y Regulatorio Todas las leyes y reglamentos con los debe cumplir la organización

Externos

1.2.7. Identificación y Análisis de los Requisitos del Negocio

Obligatorios

Voluntarios

Políticas Internas

Internos

Mercado Todas las obligaciones contractuales que la organización ha firmado con sus partes interesadas

Estándares Las normas internacionales Y códigos de prácticas relacionados con el sector, que son voluntariamente Implementados por la organización

Todos los requisitos dentro de la organización: las políticas internas, el código de ética, normas de trabajo, etc.

Cumplimiento de los Requisitos Legales

• La organización debe cumplir con las leyes y reglamentos aplicables • En la mayoría de los países, la aplicación de una norma ISO es una decisión voluntaria de la organización, no una condición jurídica • Las organizaciones que operan en varios lugares a menudo tienen que satisfacer las necesidades de las diferentes jurisdicciones • En todos los casos, las leyes tienen precedencia sobre las normas

22301 a O S I d La utiliza r e s e Pued umplir con Para c leyes y Varias aciones riz regula

Leyes y Reglamentos

 Requisitos Requisitos para para los los registros registros electrónicos electrónicos

 Requiere Requiere que que los los bancos bancos tengan tengan planes de CN y RD para garantizar planes de CN y RD para garantizar el el funcionamiento funcionamiento continuo continuo yy con con el el fin de limitar las pérdidas fin de limitar las pérdidas  Requiere Requiere que que los los planes planes de de Continuidad del Negocio (PCN) Continuidad del Negocio (PCN) se se actualicen y prueben para actualicen y prueben para incorporar incorporar los los riesgos riesgos detectados detectados

Gobierno

 Requiere Requiere plan plan de de copia copia de de seguridad seguridad de de datos, datos, plan plan de de recuperación ante desastres recuperación ante desastres yy un un plan plan de de operación operación en en el el modo modo de de emergencia emergencia

Utilidades

Finanzas Finanzas

Asistencia sanitaria

Los cuatro sectores de la industria más afectados

 Requiere Requiere plan plan de de copia copia de de seguridad seguridad de de datos, datos, plan plan de de recuperación ante desastres y un recuperación ante desastres y un plan plan de de operación operación en en el el modo modo de de emergencia emergencia  Requisitos Requisitos para para los los registros registros electrónicos electrónicos

 Requiere Requiere un un PCN PCN para para garantizar garantizar que la continúa misión que la continúa misión de de la la agencia durante una crisis agencia durante una crisis  Se Se requieren requieren planes planes de de restauración restauración de de emergencia emergencia como como condición condición para servicios continuados para servicios continuados

1.2.8. Determinación del Apetito por el Riesgo y los Criterios de Riesgo ISO 22301, cláusula 3.49 y 4.1 80

5. Hambriento

70 Apetito Apetito por por el el Riesgo Riesgo  Definición: Definición: Cantidad Cantidad yy tipo tipo de de que una organización está que una organización está dispuesta dispuesta aa conseguir conseguir oo conservar conservar  Es Es el el nivel nivel de de riesgo riesgo que que una una organización está dispuesta organización está dispuesta aa aceptar, aceptar, antes antes de de que que la la acción acción es es considerada para considerada necesaria necesaria para reducirlo reducirlo  Representa Representa un un equilibrio equilibrio entre entre los los beneficios de la beneficios potenciales potenciales de la innovación innovación yy las las amenazas amenazas que que el el cambio inevitablemente trae consigo cambio inevitablemente trae consigo

60

4. Abierto

50 40

3. Prudente

30 20 10

2. Mínimo

1. Aversión

0

Ejemplo de escala de apetito por el riesgo

Criterios de Riesgo ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5 1 Evaluación de riesgo

Criterio s 2 Impactos

3 Aceptación del riesgo

Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados se definirán durante la evaluación del riesgo.

1.2.9. Definición Preliminar del Alcance El alcance preliminar del SGCN debería incluir: 

Las principales características dela organización



Procesos de negocio que podrían estar dentro del ámbito



Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito del aplicación propuesto



Lista de ubicaciones geográficas en las que se aplicaría el SGCN



Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)

Ejercicio 3 Comprensión de la organización

Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 7 Análisis del sistema de gestión existente a. Recopilación de la Información b. Realización de una Entrevista c. Análisis de Brechas

1.3. Análisis del Sistema de Gestión Existente

1. Planificar

2. Hacer

3. Verificar

4. Actuar

1.1. Inicio del SGCN 1.2 Comprensión de la organización

2.1 Análisis del Impacto al Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del negocio

1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura de la organización

2.3 Estrategia de Continuidad del Negocio

3.1 Seguimiento, medición, análisis y evaluación

3.2 Auditoría interna

2.4 Medidas de Presentación & Mitigación 2.5 plan y procedimientos de la continuidad del negocio

Hacer Hacer

1.8 Información documentada

2.6 Comunicación

1.9 Competencia & sensibilización

2.7 Ejercicio y pruebas

4.1 No conformidades y acción correctiva

3.3 Revisión por la Dirección

4.2 Mejora continua

Lista de las actividades Análisis del sistema de gestión existente

1.2 1.2 Comprensión Comprensión de la de la organización organización

1.4 Liderazgo y planificación 1.4 Liderazgo y planificación

1.3.1 1.3.1 Recolección Recolección de información de información

1.3.2 1.3.2 Análisis Análisis de brechas de brechas

1.3.3. 1.3.3. Objetivos Objetivos ee informe informe del del análisis análisis de brechas de brechas

1.3.1. Recopilación de la Información Técnicas

Cuestionarios Cuestionarios Encuestas Encuestas

Entrevistas Entrevistas

Revisión de la documentación Revisión de la documentación

El envío de cuestionarios a una muestra de personas que representan a las partes interesadas

Las entrevistas con personas la claves en diferentes niveles jerárquicos dentro de la organización

Lectura y análisis de la documentación pertinente, las políticas internas, procedimientos, informes de auditorías previas, dictámenes jurídicos, contratos, etc.

Entrevista Individual y Grupal Las entrevistas individuales sueles Proporcionar información más precisa y detallada y permiten tener una evaluación del riesgo más correcta

Individual Individual

Entrevista Entrevista

Grupal Grupal

Las entrevistas grupales son efectivas para comprender rápidamente las operaciones de un proceso desde perspectiva global

Realización de una Entrevista

Utilice Utilice preguntas preguntas abiertas abiertas yy evite evite las las preguntas preguntas cerradas cerradas oo guiadas guiadas

A Asegúrese segúrese de de cubrir cubrir todos todos los los temas, temas, mientras mientras controla controla el el tiempo tiempo

Tome Tome notas notas durante durante la la entrevista entrevista

Realice Realice preguntas preguntas para para clarificar clarificar una una respuesta respuesta oo situación situación

1.3.2. Análisis de Brechas

Análisis de Brechas Técnica Técnica para para determinar determinar los los pasos pasos para para pasar pasar de de la la situación situación actual actual aa un un estado estado futuro futuro deseado. deseado. 1. 1. Comparación Comparación del del rendimiento rendimiento actual actual del del sistema sistema de de continuidad continuidad del del negocio negocio con con los los requisitos requisitos de de la la ISO ISO 22301 22301 2. Identificación 2. Identificación de de las las necesidades necesidades de de mejora mejora 3. 3. Bases Bases para para la la elaboración elaboración del del plan plan del del proyecto proyecto del del SGCN SGCN

Determinar el Estado Actual El análisis de brechas y el nivel de madurez Las preguntas típicas: 1.

¿El proceso está presente en la organización? ¿Está estandarizado?

2. ¿Es el proceso seguido por los usuarios relevantes? 3. ¿Está el proceso documentado? ¿Cómo? 4. ¿hay un responsable designado para la eficacia del proceso? ¿Están determinadas las funciones y responsabilidades? 5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay capacitación disponible? 6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido? 7. ¿El proceso está automatizado? ¿Se utilizan herramientas? 8. ¿Existe un proceso para actualizar el proceso? 9. ¿El rendimiento del proceso se compara con las prácticas de la industria?

1.3.3. Establecimiento de Objetivos y la Publicación de un Informe de Análisis de Brechas

0 No existe

1 Inicial 1

2

3

Gestionado

Definido

Inicial

4 Gestionado 4 cuantitativamente Gestionado

cuantitativamente

Situación actual

Objetivo

5 Optimizado

Establecimiento de Objetivos El análisis de brechas y el nivel de madurez Usted puede fijar las metas para los procesos según el nivel de madurez

Procesos optimizados

Procesos monitoreados y medidos Los procesos están documentados y comunicados No hay procesos estándar vigentes

Ausencia total de Procesos identificables

0. Inexistentes

Hay implementación de proceso caso por caso sin ningún método

1. Iníciales

2. Gestionadas

3. Definidos

4. Cuantitativa Mente gestionados

5. Optimizados

Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 8 Alcance del SGCN

a. Límites de la organización b. Los límites de las líneas de negocio c. Límites Físicos d. Ámbito de aplicación

1.4. Alcance del SGCN

1. Planificar

2. Hacer

3. Verificar

4. Actuar

1.1. Inicio del SGCN 1.2 Comprensión de la organización

2.1 Análisis del Impacto en el Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del negocio

nn1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura de la organización

3.1 Seguimiento, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

2.3 Estrategia de Continuidad del Negocio 2.4 Medidas de Presentación & Mitigación

3.2 Auditoría interna 4.2 Mejora continua

2.5 plan y procedimientos de la continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia & sensibilización

2.7 Ejercicio y pruebas

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 4.3.2 Alcance del SGCN La organización deberá: a) b)

c) d)

e)

Establecer las partes de la organización que se incluirán en el SGCN Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las responsabilidades legales y reglamentarias. Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN. Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus necesidades, expectativas e intereses (según corresponda), y Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado de complejidad de la organización. En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales exclusiones no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos aplicables.

Ámbito de la aplicación Importancia Una clara definición del alcance, centrándose en actividades clave de la organización, es un factor de éxito importante para la implementación del SGCN. Esto hará que sea más fácil: 1. Conseguir el apoyo de la dirección 2. Movilizar a los interesados por el proyecto 3. Justificar un valor agregado a las partes interesadas

Nota Nota importante: importante: la la extensión extensión del del ámbito ámbito de de aplicación aplicación es es el el primer primer factor factor que que determina determina la la cantidad cantidad de de esfuerzo esfuerzo requerido requerido por por el el proyecto. proyecto.

1.4. Ámbito de Aplicación del SGCN Lista de actividades

1.2 1.2 Comprensión Comprensión de la de la organización organización

1.4.3 Los límites físicos 1.4.3 Los límites físicos

1.3 1.3 Analiza Analiza el el Sistema existente Sistema existente

1.4.4 Ámbito de aplicación 1.4.4 Ámbito de aplicación

1.4.1 1.4.1 Límites Límites Organizacionales Organizacionales

1.5 Liderazgo & planificación 1.5 Liderazgo & planificación

1.4.2 1.4.2 Límites Límites de de las las Líneas de negocio Líneas de negocio

1.6 Política de CN 1.6 Política de CN

Límites del SGCN

i on ac

La sl íne

al

as fís i

ni z ga Or

ca s

Las 3 dimensiones a considerar

del negocio

1.4.1 Definiendo los Límites Organizacionales del Alcance

Un proceso clave Un departamento La organización como un todo La organización y sus partes interesadas

Nota: Donde una parte de una organización, queda excluida del ámbito de aplicación de su SGCN, la organización debería documentar y explicar la exclusión

1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de Aplicación

• La organización debe identificar los productos y servicios en el ámbito • Ejemplo:  Un hospital podría incluir sólo los servicios de emergencia en el ámbito de aplicación  La oficina de correos podría incluir todos los servicios en el ámbito de aplicación con la exclusión de la entrega de paquetes/ encomiendas  Una fábrica podría mantener sólo la producción de un producto.  Etc.

1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación • Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como externos incluidos en el SGCN • Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del alcance y los medios físicos necesarios para que funcionen • En el caso de los sitios físicos subcontratados, tienen que ser consideradas las interfaces con el SGCN y los acuerdos de servicios aplicables

1.4.4. Definir el Ámbito de Aplicación del SGCN

El documento de definición del ámbito de aplicación debería incluir: 1. Las principales características de la organización 2. Los procesos de negocios cubiertos por el SGCN 3. La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN 4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.) 5. La lista de ubicaciones geográficas 6. Los detalles y motivos para las exclusiones

Declaración del Ámbito de Aplicación Ejemplo • La declaración del alcance es pública y, en general, está disponible en el

sitio web del organismo de certificación que haya expedido el certificado • Esta declaración resumida estará escrita en el certificado. Deberá ser: 1. Tan simple como sea posible 2. Comprensible para alguien externo a la organización 3. Lo suficientemente precisa para expresar lo que está cubierto por la certificación

Ejemplo: Ejemplo: Este Este sistema sistema de de gestión gestión de de la la continuidad continuidad del del negocio negocio Se Se aplica aplica al al centro centro de de distribución distribución global global proveyendo proveyendo Servicios Servicios de de tercerización tercerización yy contacto contacto con con el el cliente cliente Y Y externalización externalización de de ABC ABC S.A. S.A.

Cambios en el Ámbito de Aplicación

Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado

Extensión del Ámbito de Aplicación ISO 17021, cláusula 9.5.1 • Varias empresas auditadas prefieren definir un alcance reducido para una certificación inicial y complementar una solicitud de extensión en los años siguientes •

La auditoría de extensión se puede realizar durante una auditoría de control



Si no se concede la certificación de extensión, la organización no pierde su certificado actual

Ejercicio 4 Definición del ámbito de aplicación

Día 2

Implementador Líder Certificado en la ISO 22031

Capacitación Implementador Líder ISO 22301 Sección 9 Liderazgo y planificación a. b. c. d. e. f.

Caso de negocios del SGCN Equipo del proyecto Objetivos del SGCN Plan del proyecto Plan de comunicación para el proyecto SGCN Aprobación de la Dirección

1.5. Liderazgo y Planificación

1. 1. Planificar Planificar

2. Hacer

3. Verificar

4. Actuar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2.1 Análisis del Impacto en el Negocio (AIN)

2.2 Evaluación del riesgo

4.1 No conformidades y acción correctiva

2.3 Estrategia de la

Continuidad del Negocio Negocio Negocio

1.6 Política de CN

2.4 Medidas de Protección & Mitigación

1.7 Estructura organizativa

2.5 Plan y procedimientos de la

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3.1 Supervisión, medición, análisis y evaluación

continuidad del negocio

2.7 Ejercicio y pruebas

3.2 Auditoría interna

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2 5.1 Liderazgo y compromiso Las personas en los niveles superiores de la administración y otras en funciones de gestión en toda la organización beberán demostrar liderazgo con respecto al SGCN.

5.2 Compromiso de la Dirección La alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de : - Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la - continuidad del negocio y que sean compatibles con la dirección estratégica de la organización. Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio - Comunicar la importancia de una buena gestión de la continuidad del negocio y de conformidad con los requisitos del SGCN - Asegurar que el SGCN logre el resultado (s) esperados(s) - Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN - Promover la mejora continua: y - Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso en lo que aplica sus áreas de responsabilidad

7.1 Recursos La organización deberá determinar y proporcionar los recursos necesarios para el SGCN

1.5. Liderazgo y Planificación Lista de actividades

1.4 Alcance (ámbito de aplicación) del SGCN

1.5.1 1.5.1 Caso Caso de de negocio negocio

1.5.2 1.5.2 equipo equipo de de proyecto proyecto del del SGCN SGCN

1.5.5 Plan del proyecto del SGCN 1.5.5 Plan del proyecto del SGCN

1.5.6 Plan de comunicación 1.5.6 Plan de comunicación

1.5.3 1.5.3 Determinación Determinación de de los los objetivos objetivos

1.5.7 Aprobación Por la Dirección 1.5.7 Aprobación Por la Dirección

1.5.4 1.5.4 Requisitos Requisitos de de los los recursos recursos

1.6 Política de CN 1.6 Política de CN

1.5.1. Crear y Presentar un Caso de Negocio Un caso de negocio es: 1. Una herramienta de apoyo de apoyo de la Dirección para la toma de decisiones

2.

Un documento que se utiliza para promover el proyecto del SGCN

3.

Una primera estructuración del proyecto

Contenido del Caso de Negocios PMBOK

1. Medioambiente

2. Finalidad y objetivos

3. Resumen Del proyecto

4. Beneficios esperados

5. Alcance preliminar

6. Factores Críticos de éxito

7. Anteproyecto

8. Plazos e hitos

9. Funciones y Responsabilidades

10. Recursos necesarios

11. Presupuesto

12. Restricciones

Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK pero otros marcos como el Prince 2 son equivalentes

1.5.2. Establecer el Equipo del Proyecto del SGCN

Defensor Del Proyecto Del SGCN Gerente del SGCN Director del proyecto Equipo de Gestión del Proyecto

Equipo del Proyecto Partes Interesadas

Director del Proyecto SGCN Competencias requeridas El director del proyecto SGCN debe tener los conocimientos y habilidades en las siguientes áreas: 1. Conocimiento y habilidades en Gestión de Proyectos 2. Conocimiento de la organización y su entorno 3. Conocimiento de gestión de la continuidad del negocio 4. Habilidades interpersonales (comunicación efectiva, negación, resolución de problemas, habilidades de liderazgo, etc..)

Comité Directivo Durante el proyecto SGCN

Objetivo

Asegurar la planificación y el seguimiento del SGCN

Misiones

1. Planificar la implementación del SGCN 2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos por la Dirección 3. Definir las funciones y responsabilidades para el proyecto SGCN 4. Definir las funciones y responsabilidades relacionadas con las operaciones y el mantenimiento del SGCN (después de la aplicación) 5. Seleccionar el método de análisis de riesgo y el AIN 6. Gestionar los recursos 7. Realizar revisiones de los proyectos de la aplicación del SGCN

Miembros

Director del Proyecto SGCN, responsables de los servicios claves que participan en los siguientes dominios de aplicación (TI, auditoría, legales, finanzas, recursos humanos, seguridad física etc.)

Frecuencia de las reuniones

Mensuales

1.5.3. Determinación de los objetivos del SGCN ISO 22301, cláusula 3.32 y 6.2 Determinar los objetivos

1 Una mayor flexibilidad (resilencia) de la Empresa • ¿Puede el SGCN mejorar la resilencia de la organización en caso de un incidente perjudicial?

3 2

Gestión de continuidad del negocio eficiente • ¿Puede el SGCN mejorar la eficacia de la gestión de continuidad del negocio?

Ventaja del negocio • ¿L a implementación de un SGCN puede proporcionar ventajas competitivas

Determinar los Objetivos Ejemplos Los objetivos relacionados con la aplicación del SGCN pueden ser:  Velar por el cumplimiento de las obligaciones legales, reglamentarias y contractuales de la organización  Demostrar la debida diligencia y el cuidado debido de la gestión  Inspirar confianza de las partes interesadas de la organización  Proteger la disponibilidad de las actividades fundamentales de la organización  Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores prácticas  Mejorar el tiempo de respuesta a incidentes y desastres  Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la entrega de un servicio o producto, etc.

1.5.4. Determinación de los Requisitos de Recursos para el Proyecto SGCN ISO 22301, cláusula 8.3.2 • Los recursos son los medios que se utilizan para alcanzar los objetivos del proyecto • El recurso principal es evidentemente, las personas con habilidades y competencias aplicables • El resto de las principales agrupaciones de recursos que se necesitan son el capital, las instalaciones, los equipos, los materiales y la información • Generalmente hay un desfase entre el tope de la inversión de un proyecto y las demandas del proyecto…

1.5.5. Elaboración del Plan del Proyecto SGCN PMBOK

Un método iterativo

Recursos

Costos

Contenido Del Proyecto

Plan del proyecto

Retrasos

Riesgos

Contenido del plan del proyecto SGCN PMBOK Un plan de proyecto incluye lo siguiente: 1. Carta del Proyecto 2. Descripción del enfoque o estrategia de gestión de proyectos 3. Formulación del contenido del proyecto, con resultados y objetivos del proyecto 4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”) 5. Costos estimados, fecha de inicio prevista, y la asignación de responsabilidad 6. Referencias; medición de costos y el tiempo de funcionamiento 7. Hitos principales con su fecha provisional 8. Personal clave o necesario 9. Riesgos claves, con las limitaciones y supuestos, y las respuestas propuestas 10. Problemas corrientes y decisiones pendientes

Revisión y Presentación del Plan del Proyecto SGCN PMBOK Revisión Revisión de de los los objetivos objetivos del del proyecto proyecto yy los los factores factores de de éxito éxito Revisar Revisar el el método método propuesto propuesto Destacar Destacar los los riesgos riesgos ee incertidumbres incertidumbres inherentes inherentes en en el el proyecto proyecto Estimación Estimación de de los los recursos recursos internos internos necesarios necesarios Definición Definición de de la la planificación planificación yy sucesivas sucesivas fases fases de de ejecución ejecución Revisión Revisión de de las las presentaciones presentaciones que que deben deben proveerse proveerse Revisión Revisión de de las las funciones funciones Revisión Revisión de de los los documentos documentos del del proyecto proyecto Definición Definición de de la la frecuencia frecuencia yy el el contenido contenido de de las las reuniones reuniones de de progreso progreso

1.5.6. Plan de Comunicación para el Proyecto SGCN Norma ISO 22301, cláusula 7.4 •

Cuando se establece el SGCN, la organización necesita tener comunicación efectiva y procedimientos de consulta para el intercambio de información con las partes interesadas



La organización debería disponer de una comunicación eficaz como parte de su programa de sensibilización



El plan de comunicación será detallado en el Día 3

1.5.7. Aprobación por la Dirección del Proyecto SGCN Norma ISO 22301, cláusula 5.2

••Mayor Mayor conocimiento conocimiento de de las las leyes leyes •• óptima asignación de recursos óptima asignación de recursos •• Identificación Identificación de de los los activos activos críticos críticos •• Procesos y plan de la continuidad Procesos y plan de la continuidad del del negocio negocio controlados controlados yy medidos medidos

SGCN Ap r La oba Di ció re n cc po ió r n

Beneficios Beneficios Claves Claves del del Compromiso Compromiso de de la la Dirección Dirección

Funciones de la Dirección Durante el proyecto SGCN Objetivo

Alinear el SGCN con los objetivos y estrategia de negocio

Misiones

1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la organización 2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales 3. Validar las funciones y responsabilidades de las principales partes interesadas en el proyecto 4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del riesgo 5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en conformidad con los requisitos SGCN 6. Proveer de recursos suficientes para la implementación del SGCN 7. Asegurar que se llevan a cabo auditorias internas 8. Hacer revisión del SGCN por la dirección 9. Prestar apoyo al mejoramiento del SGCN

Miembros

Alta Dirección (CEO, CIO, CFO…)

Frecuencia de las reuniones

Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis de riesgo e informe del AIN, revisión por la dirección, etc.

Ejercicio 5 Roles y responsabilidades de las partes interesadas

Capacitación Implementador Líder ISO 22301 Sección 10 Política de la continuidad del negocio a. Crear modelos de política b. Proceso de redacción de política c. Aprobación por la Dirección d. Publicación e. Capacitación, comunicación y sensibilización f.

Control, evaluación y revisión

1.6. Política de la Continuidad del Negocio

1. 1. Planificar Planificar

2. Hacer

3. 3. Verificar Verificar

4. 4. Actuar Actuar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa

2.1 Análisis del Impacto en el Negocio (AIN)

2.2 Evaluación del riesgo

3.1 Supervisión, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

3.2 Auditoría interna 4.2 Mejora continua

2.5 Plan y procedimientos de la continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

2.7 Ejercicio y pruebas

3.3 Revisión por la Dirección

Requisitos Norma ISO 22301, cláusula 5.3 Política La alta dirección deberá establecer una política de continuidad del negocio que: a) Sea apropiada para los fines de la organización b) Proporciones un marco para establecer objetivos de continuidad del negocio c) Incluya un compromiso de cumplir los requisitos aplicables d) Incluya un compromiso de mejora continua del SGCN La política del SGCN deberá: -) Estar disponible como información documentada -) Ser comunicada dentro de la organización -) Estar a disposición de todas las partes interesadas, según corresponda -) Ser revisada para su adecuación continuada a intervalos definidos y cuando se produzcan cambios significativos La organización deberá retener información De continuidad del negocio.

documentada sobre la

política

Definición de Política de la Continuidad del Negocio Norma ISO 22399, cláusula 3.19 Las intenciones generales y la dirección de la organización, relacionadas con su preparación ante incidencias y continuidad operacional, tal y como ha sido expresado por la alta dirección

1.6. Política de la Continuidad del Negocio Lista de actividades 1.6 Política de C. N. 1.5 Liderazgo & planificación

1.6.4 Publicación 1.6.4 Publicación

1.6.1 1.6.1 Proceso Proceso de de redacción redacción de de la la Política Política

1.6.2 1.6.2 Redacción Redacción de de la la Política Política

1.6.5 Capacitación, comunicación y 1.6.5 Capacitación, sensibilización comunicación y sensibilización

1.6.6 Control, evaluación y 1.6.6 Control, revisión evaluación y revisión

1.6.3 1.6.3 Aprobación Aprobación por por la la Dirección Dirección

1.7 Estructura organizativa 1.7 Estructura organizativa

1.6.1. Definición del Proceso de Redacción de la Política Proceso General

1. Designar una 1. Persona Designar una Responsable Persona Responsable

2. Definir los 2. componentes Definir los de la política componentes de la política

3. Redactar 3. las Redactar Secciones las Secciones

4. Validación 4. de los Validación contenidos y de los el formato contenidos y el formato

5. Aprobación 5. por las Aprobación Partes por las Interesadas Partes Interesadas

Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación

1.6.2. Redacción de la Política de Continuidad del Negocio Temas que suelen incluirse en la política 1. Un marco que permite definir objetivos y establecer una dirección y directrices de política para la gestión de Continuidad del Negocio 2. Una consideración de las obligaciones legales y reglamentarias impuestas a la organización, así como otros compromisos 3. La alineación de la gestión de continuidad del negocio con los objetivos estratégicos de la organización 4. Atribución de las funciones y responsabilidades 5. Aprobación oficial de los anteriores por la Dirección

1.6.3. Aprobación por la Dirección

La política del SGCN debe: Demostrar el compromiso de la dirección Ser aprobada por la Dirección La política debe ser firmada por una persona (a menudo el director general), pero el proceso de aprobación puede pertenecer a un comité: Junto de Directores Consejo de Administración

1.6.4. Publicación de la Política de Continuidad del Negocio Principales modos de comunicación

Intranet

Distribución de Copias en papel

Reunión

Sesión de orientación de nuevos empleados

1.6.5. Capacitación, Comunicación y Sensibilización Plan Plan de de comunicación comunicación Público Público de de destino destino

Difusión Difusión (reuniones, (reuniones, intranet, intranet, extranet, documentos…) extranet, documentos…)

Comunicación Proceso recurrente

Sensibilización

No

Capacitación

¿Objetivo alcanzado?

Si Control, evaluación y revisión

Nota: Esta temática se discutirá durante el Día 3

1.6.6. Control, Evaluación y Revisión



• Asegurar

Revisión Control conformidad Evaluación

Mantener

• Medir el grado de conformidad

Capacitación Implementador Líder en la ISO 22301 Sección 11 Estructura Organizativa a. Estructura de gestión b. Estructura Orgánica para la gestión de la continuidad del negocio c. Designación de un coordinación de la continuidad del negocio d. Roles y responsabilidades de las partes interesadas e. Roles y responsabilidades de los comités clave f.

Equipos de la continuidad del negocio

g. Proceso de decisión y de control

1.7. Estructura Organizativa

1. 1. Planificar Planificar

2. 2. Hace Hace

3. 3. Verificar Verificar

1.2 Comprensión de la organización

2.1 Análisis del Impacto en el Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del riesgo

3.1 Supervisión, medición, análisis y evaluación

4. 4. Actuar Actuar

1.1. Iniciar el SGCN

1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

3.2 Auditoría interna

2.5 Plan y procedimientos de la continuidad del negocio

2.6 Comunicación 2.7 Ejercicio y pruebas

4.1 No conformidades y acción correctiva

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos Norma ISO 22301, cláusula 5.4 Funciones, responsabilidades y autoridades organizativas La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización. La alta gerencia deberá asignar la responsabilidad y autoridad para : a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional; e

b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección

Estructura organizativa Principios •

Para ser eficaz, un programa de continuidad empresarial debería ser un proceso integrado de gestión impulsado desde las altas esferas de la organización, apoyado y promovido por los principales directores y ejecutivos



Debería ser administrado en los niveles operativos y de la organización



Puede requerirse una serie de profesionales y personal de otras disciplinas relacionadas con la gestión y los servicios necesarios para apoyar y gestionar el programa



La continuidad de recursos necesarios, dependerá del tamaño y la diversidad de la organización

1.7. Estructura Organizativa Lista de actividades 1.7 Estructura organizativa 1.6 Política de continuidad del negocio

1.7.4 Roles y Responsabilidades 1.7.4 y de los Roles comités Responsabilidades principales de los comités principales

1.7.1 1.7.1 Estructura Estructura de de gobierno gobierno yy organización organización

1.7.2 1.7.2 Coordinador Coordinador de de la la continuidad continuidad del del negocio negocio

1.7.5 Equipos de la continuidad 1.7.5del Equipos negociode la continuidad del negocio

1.7.6 Proceso de decisión y control 1.7.6 Proceso de decisión y control

1.7.3 1.7.3 Roles Roles yy Responsabilidades Responsabilidades de de las las partes partes interesadas interesadas

1.8 Información documentada 1.8 Información documentada

1.7.1. Definición de la Gestión de Gobierno y de la Estructura Orgánica para la Gestión de Continuidad del Negocio Estructura de gobierno Junta de Directores

Comité de Crisis Comité de Continuidad del negocio

CEO

Operaciones Operaciones

Recursos humanos Recursos humanos

Auditoría Interna Auditoría Interna

Servicios Administrativos Servicios Administrativos

Tecnología de la información (TI) de Tecnología la información (TI)

Ventas & Marketing Ventas & Marketing

Continuidad del Negocio Continuidad del Negocio

Partes Involucradas Actores Principales

Medios de

Alta Dirección

Comité de Crisis

Director de la Continuidad del Negocio Comité de Continuidad del Negocio

Medios de comunicación

Organismos Externos Seguridad pública

Plan de Continuidad del Negocio

Autoridades del Gobierno CERT

Unidad de negocio 1

Unidad de negocio 2

Director del Sitio Coordinador de gestión de CN del Sitio

Plan de Continuidad del Negocio adaptado Para la unidad

Los Procedimientos locales

Gestión de TI

Director del Sitio

Director del Sitio

Coordinador de gestión De CN del Sitio

Coordinador de Recuperación de TI

Plan de Planes de Continuidad del Recuperación y Negocio adaptadoRestauración de TI para la unidad

Procesos de Negocios

Planes de Recuperación y Restauración de TI

Los Procedimientos de TI

Gestión de Instalaciones Gerente de las Instalaciones Coordinador de la Respuesta de Emergencia

Planes de Procedimientos Respuesta de De emergencia Emergencia

Procesos de Soporte

1.7.2. Designación de un Coordinador de la Continuidad del Negocio Funciones y responsabilidades • El Coordinador de la continuidad del negocio tiene la responsabilidad general de la concepción, el desarrollo, la coordinación, ejecución, administración, capacitación, programas de sensibilización, y el mantenimiento del Plan de continuidad de Negocios y el SGCN • El CCN debería estar en una función de nivel de dirección • Es responsable de la cooperación y colaboración en la Continuidad del Negocio de los gerentes, usuarios, administradores de sistemas, auditores, personal de seguridad, y habilidades de especialistas en áreas como los seguros, las cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos

1.7.3. Definir las Funciones y Responsabilidades de las Partes Interesadas

Consejo legal

Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)

Encargado de TI

Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones

Encargado de Seguridad de la Información

Coordinar las actividades relativas a la gestión de seguridad de la información

Encargado de RRHH

Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación

Encargado de Patrimonio

Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección contra incendios, mantenimiento eléctrico, etc.)

Encargado del centro De servicios / ”Help Desk”

Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso, gestión de incidencias, etc.)

Oficial de RRPP

Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes interesadas externas

Auditor interno

Validación del Cumplimiento del SGCN

Responsable de la Gestión de documentos

Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación de las pruebas

1.7.4. Definición de la Funciones y Responsabilidades de los Comités Claves

1. Comité Ejecutivo y Comité de Crisis

2. Comité de Continuidad del Negocio

3. Comités Operativos y Comité Local de CN

1.7.5. Creación de los Equipos Necesarios de Continuidad del Negocio Ejemplo Líder del Equipo de Gestión de Crisis (Director Ejecutivo)

Gerente de Evaluación de Riesgo

Equipo de Respuesta de Emergencia

Equipo de Evaluación de Daños

Coordinar de la Continuidad del Negocio

Equipo de Relaciones Públicas

Representantes de La unidad de Negocio

Equipo de Recuperación

Equipo de Restauración

TI/RR.HH./ Legales/ Finanzas

Equipo de Telecomunicaciones

Equipo de Obtención de Recursos y Logística

Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario

1.7.6. Definir un Proceso de Decisión y Control Modelo de la estructura de comando y control

Nivel 1 Estratégico

on tro l

Es ca la

da

lC de

Nivel 2 Táctico

Nivel 3 Operativo

Capacitación Implementador Líder ISO 22301 Sección 12 Información documentada a. b. c. d. e.

Requisitos de la información documentada Valor de la documentación Creación de plantillas Gestión de la documentación Implementación de un sistema de gestión de documentos f. Redacción de la información documentada de l SGCN g. Control de los registros

1.8. Información documentada

1. 1. Planificar Planificar

2. 2. Hacer Hacer

3. 3. Verificar Verificar

4. 4. Actuar Actuar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización

2.1 Análisis del Impacto en el Negocio (AIN)

1.3 Analizar el sistema existente

2.2 Evaluación del riesgo

1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización

2.3 Estrategia de la Continuidad del Negocio

3.1 Supervisión, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

3.2 Auditoría interna

2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio

2.6 Comunicación 2.7 Ejercicio y pruebas

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos Norma ISO 22301, cláusula 7.5 7.5 Información documentada 7.5.1 Generalidades El SGCN de la organización incluirá: - La información documentada requerida por esta norma internacional - Información documentada determinada por la organización como necesaria para la eficacia del SGCN

7.5.2 Creación y actualización Al crear y actualizar la información documentada, la organización deberá garantizar la adecuada: a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia), b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por ejemplo, papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.

Requisitos Norma ISO 22301, cláusula 7.5 7.5.3 Control de la información documentada La información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para asegurar que: a) Está disponible y apta para su uso, cuándo y dónde sea necesario, b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida de integridad). Para el control de la información documentada, la organización deberá abordar las siguientes actividades, según corresponda: Distribución, acceso, recuperación y uso, Almacenamiento y conservación, incluida la conservación de la legibilidad, Control de los cambios (p. ej., control de versiones). Retención y disposición Recuperación y uso, Preservación de la legibilidad (es decir lo suficientemente claro para leer), y Prevención del uso no intencionado de información obsoleta. La información documentada de origen externo determinada por la organización como necesaria para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y controlada. Cuando se establece el control de la información documentada, la organización deberá asegurarse de que exista una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la modificación no autorizada o la eliminación).

Requisitos de Información Documentada Resumen

Contenido

Formato

Ciclo de Vida del Documento

Documentación del Sistema de Gestión Tipos de información documentada

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Descripciones Del Marco de Gestión

Políticas, el alcance, revisión por la dirección, y otros documentos estratégicos

Describe los procesos, Procedimientos y controles (quién, qué, cuándo, cómo, Dónde y por qué)

Descripción del proceso, actividades, controles y procedimientos

Describe en detalle cómo se llevan a Cabo las tareas y actividades

Proporciona la evidencia objetiva del Cumplimiento de los requisitos de la norma

Hojas de cálculo, formularios listas de control, etc.

Registros

Valor de la Documentación Notas importantes • En muchas organizaciones, la creación de la documentación está desproporcionada • La preparación de los documentos no debería ser un objetivo en sí mismo. Esta debe ser actividad de valor añadido, soporte del SGCN • La documentación que es demasiado es difícil de manejar, a menudo no es comprendida por los usuarios, por lo tanto, no se utiliza… • Cada organización determina la extensión de la documentación necesaria y los medios de comunicación a utilizar

1.8 Información documentada Lista de actividades 1.8 Información documentada 1.7 Estructura organizativa

1.8.4 Establecer la Documentación 1.8.4del Establecer SGCN la Documentación del SGCN

1.8.1 1.8.1 Creación Creación de de plantillas plantillas

1.8.5 Control de

los registros

1.8.5 Control de

los registros

1.8.2 1.8.2 Control Control de de los documentos los documentos

1.9 Competencia y sensibilización 1.9 Competencia y sensibilización

1.8.3 1.8.3 Sistema Sistema de de gestión gestión de documentos de documentos

1.8.1. Creación de Plantillas Tipo de documentos Tipo

Objetivos

Política

Intenciones y directrices generales de una organización formalmente expresadas por la Dirección

Procedimiento

Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las directrices y las normas de apoyo se aplicarán realmente en un entorno operativo

Directrices

Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas prácticas a seguir

Plan de Continuidad del Negocio Carta

Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en el caso de una crisis

Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios empleados, proveedores o prestadores de servicios

Esquema de proceso

Esquema que ilustra el trabajo de un proceso

Normativa de proceso

Explicación detallada de funcionamiento de un proceso como una descripción

Formulario Guía Hoja de datos

Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)

Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.

1.8.2. Gestión de la documentación El desarrollo de un proceso de gestión de la documentación y redacción de un procedimiento b) Identificación

a) Creación

c) Clasificación, indexado y seguridad

i) Eliminación

d) Modificación h) Conservación y archivado

g) Uso adecuado

e) Aprobación

f) Distribución

1.8.3. Implementación de un Sistema de Gestión de Documentos



Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su



información Custodiar el ciclo de visa complement0 de los documentos



Garantizar la trazabilidad



Garantizar el acceso a los documentos

Optimizar búsqueda y actualización

1.8.4. Redacción de la Información Documentada Requerida del SGCN Como mínimo, el SGCN debería contener la siguiente documentación: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.

El contexto de la organización Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2) El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2) Política de la continuidad del negocio (5.3) Objetivos de continuidad del negocio (6.2) Competencia (7.2) Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2) Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia consideradas Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4) Informes pos-ejercicio (8.5) Monitoreo del SGCN (9.1) Auditorías Internas (9.2) Revisión por la dirección (9.3) No Conformidades y acciones correctivas (10.1)

Información Documentada que puede ser Requerida Además puede ser requerida la información documentada que abarca la siguiente información necesaria para asegurar la eficacia del SGCN: No el v a m n a n en ua l

1. Los contratos con clientes y los niveles de servicio 2. Resultados de los análisis de impacto en el negocio 3. Resultados de las evaluaciones de riesgo 4. Determinación y selección de las estrategias de continuidad del negocio 5. Resumen de respuesta ante incidentes 6. Programa de sensibilización 7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas 8. Programas de capacitación para la organización y los individuos. 9. Calendario de ejercicios 10. Contratos y acuerdos de nivel de servicio con los proveedores 11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta 12. Las pruebas de inspección, mantenimiento y calibración 13. Después de los incidentes los informes de incidentes y casi incidentes 14. Acta de la reunión de la revisión del SGCN

Crear una Lista Maestra de Documentos Buenas prácticas Es una buena práctica crear una lista única de todos los documentos relacionados con el SGCN con información básica tal como:         

El identificador único Título El tipo de documento Los nombres, funciones y servicios de los autores (y / o los propietarios) El nombre del responsable y la fecha de la aprobación Fecha de emisión Fecha de la versión y de la revisión Numeración de páginas Nivel de clasificación

1.8.5. Control de los Registros o Los controles para garantizar la identificación, almacenamiento, protección, disponibilidad, tiempo de conservación y eliminación de registros deben estar documentados e implementados o Los registros deben ser identificables y accesibles o Ejemplos de registros:     

protegidos, permanecen

Las actas de reunión Certificados de capacitación Enviar cartas a las partes interesadas Los informes de auditoría Informe de resultados de pruebas

legibles,

fácilmente

Lista Maestra de Documentos Ejemplo Identificación

Almacenamiento

Responsabilidad

Duración de la conservación

Clasificación

Registro de capacitación

Departamento de Recursos Humanos

Director de Recursos Humanos

3 años

Uso interno

Hoja de informe De incidentes

Centro de Servicios

Centro de Servicios Director

2 años

Confidencial

Ejercicios y Registros de las Pruebas del SGCN

Departamento de Gestión de Riesgos

5 años

Muy confidencial

Revisión por la Dirección

Comité Ejecutivo

7 años

Muy confidencial

Director de CN

Secretario del Comité Ejecutivo

Gestión de la documentación Problemas más comunes Problema

Causa potencial

Dificultad para encontrar o gestionar un documento

Cantidad demasiado grande de documentos mal clasificados y no catalogados

Incapacidad para extraer rápidamente información útil de un documento

Documento voluminoso, demasiado literario, a menudo con varios anexos

Actualizaciones de carácter tedioso

Los procesos de gestión de documentos no están establecidos o poco explotados

Diferencia entre los registros y procesos de negocio reales

Los empleados relacionados con las operaciones no han participado en la redacción de documentos

Textos o gráficos ambiguos / incomprensibles

No hay validación con los usuarios, la falta de formación y sensibilización, editor incompetente

Proliferación de versiones de los documentos

Ningún sistema de gestión de documentos en uso

Ejercicio 6 Lista maestra de documentos

Capacitación Implementador Líder en la ISO 22301 Sección 13 Competencia y sensibilización a. b. c. d. e. f.

Diferencia entre capacitación, sensibilización y comunicación Definición de un programa de desarrollo de competencias Evaluación de las competencias requeridas Definición de un programa de capacitación Definición de un programa de sensibilización Evaluación y mejora continua del programa de desarrollo de competencias

1.9. Competencia y Sensibilización

1. 1. Planificar Planificar

2. 2. Hacer Hacer

3. 3. Verificar Verificar

4. 4. Actuar Actuar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización

2.1 Análisis del Impacto en el Negocio (AIN)

2.2 Evaluación del riesgo 2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio

2.6 Comunicación

2.7 Ejercicio y pruebas

3.1 Supervisión, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

3.2 Auditoría interna

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos ISO 22301, cláusula 7.2 y 7.3 7.2 Competencia La organización deberá: a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su rendimiento. b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y experiencia. c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las medidas adoptadas, y d) Mantener adecuada información documentada como evidencia de su competencia. e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la reasignación de los empleados; o la contratación o subcontratación de personas competentes.

7.3 Conciencia Las personas que realizan trabajos en el control de la organización deberán tener en cuenta: f) La política de continuidad del negocio, g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad del negocio, h) Las consecuencias de no conformidad con los requisitos del SGCN i) Su papel durante los incidentes disruptivos.

Competencia y Capacitación Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2 Contexto

 Capacidad Capacidad demostrada demostrada

para para aplicar aplicar conocimientos conocimientos yy habilidades habilidades

Habilidades de conducta a tic ac r P

Capacitación proporcionar proporcionar yy desarrollar desarrollar los los conocimientos, conocimientos, las las habilidades habilidades yy las las conducta conducta para para cumplir cumplir con con los los requisitos requisitos

to ex nt Co

 Proceso Proceso para para

nte

Conocimientos de

Competencia

Competente

Conocimiento De se m

Habilidades

pe ño

xto e t n Co

Capacitación, Sensibilización y Comunicación

Diferencias

Capacitación

Sensibilización

Comunicación

Adquisición de habilidades

Cambio de hábitos

Estar informado

Dirigida al intelecto

Dirigida principalmente a las emociones y el comportamiento

Dirigida al intelecto

¿Qué habilidades Tienen que adquirir?

¿Qué comportamiento queremos reforzar o cambiar?

¿Qué mensajes enviamos?

1.9. Competencia y Sensibilización Lista de actividades

1.7 Estructura organizativa

1.9.3 1.9.3 Definir Definir un un programa programa de de capacitación capacitación

1.8 Información documentada

1.9.4 1.9.4 Definir Definir un un programa programa de de sensibilización sensibilización

1.9.1 1.9.1 Definir Definir un un programa programa de de desarrollo desarrollo de de competencias competencias

1.9.5 1.9.5 Evaluación Evaluación yy mejora mejora continua continua

1.8.2 1.8.2 Evaluación Evaluación de de las las competencias competencias necesarias necesarias

2.1 AIN

1.9.1. Definición de un Programa de Desarrollo de Competencias

ISO 22301 e ISO 22313 cláusula 7.2 La organización debería desarrollar un programa de desarrollo de competencias que incluya:  La evaluación de competencias para las función (es) que se llevarán a cabo  Creación de un programa de desarrollo personal que identifica capacitación, supervisión, etc.  Servicios de capacitación y tutoría incluyendo la selección de métodos y materiales adecuados  Intercambio de Conocimientos  Trabajo compartido  Contratación de una persona o personas competentes  Evaluación y mejora continua del programa

1.9.2. Evaluación de las Competencias Requeridas Ejemplo

Funciones

Políticas

Función A

A

Función B

C

Función C

Crisis

AIN

Auditorias

A B

B

C

Función D

R A

C

Función E

A

B

Experiencia

A

Legales

Conocimiento

B

C

B A

Nivel de Sensibilización

1.9.3. Definición de un Programa de Capacitación Tipos de programa y sus objetivos

Obtener información sobre temas específicos

Mantenimiento de las habilidades y adquisición de habilidades especificas

Adquisición de habilidades generales

Sesión de Iniciación

Educación continua

Educación Básica (Universidad)

Principales Métodos de Capacitación Norma ISO 10015, cláusula 4.3

Curso en el sitio o fuera del sitio

Aprendizaje

Taller

Métodos de capacitación

Instrucción en el puesto de trabajo

Aprendizaje a distancia

Auto capacitación

 Cuando se selecciona una solución de capacitación para cerrar las brechas de competencia, deberían ser especificadas y documentadas las necesidades de capacitación  Deberían enumerarse los posibles métodos de capacitación a fin de satisfacer las necesidades de formación. La forma adecuada de capacitación dependerá de los recursos enumerados, las limitaciones y objetivos

1.9.4. Definición de un Programa de Sensibilización Temas principales Las personas que realizan trabajos en el control de la organización deberán tener en cuenta: La La política política de de continuidad continuidad del del negocio, negocio,

Su Su contribución contribución al al SGCN SGCN prevista prevista

Los Los beneficios beneficios de de la la continuidad continuidad del del negocio negocio

Su Su papel papel durante durante los los incidentes incidentes Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio de la organización es un Proceso en curso

1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de Competencias

El objetivo de la evaluación es confirmar que se han cumplido los objetivos de ambas competencias de la organización y las individuales, es decir, el programa de desarrollo ha sido efectivo

Capacitación Implementador Líder Certificado en la ISO 22301 Sección 14 Análisis de Impacto en el Negocio (AIN) a. Propósito de un AIN b. Planificación de un AIN c. La recopilación de datos d. Análisis de los datos e. Validación de los datos f.

Presentación del informe del AIN

2.1. Análisis del Impacto en el Negocio (AIN)

1. 1. Planificar Planificar

2. 2. Hacer Hacer

3. 3. Verificar Verificar

4. 4. Actuar Actuar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización

2.1 Análisis del Impacto en el Negocio (AIN)

2.2 Evaluación del riesgo 2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio

2.6 Comunicación

2.7 Ejercicio y pruebas

3.1 Supervisión, medición, análisis y evaluación

4.1 No conformidades y acción correctiva

3.2 Auditoría interna

3.3 Revisión por la Dirección

4.2 Mejora continua

Requisitos ISO 22301, cláusula 8.2.2 Análisis del impacto en el negocio La organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para determinar las prioridades, objetivos y metas de continuidad y recuperación. Este proceso deberá incluir la evaluación del impacto de interrumpir las actividades que apoyan las actividades de productos y servicios de la organización. El análisis del impacto en el negocio deberá incluir lo siguiente: a) Identificación de las actividades que favorezcan la presentación de los productos y servicios; b) Evaluar el impacto en el tiempo de no realizar estas actividades; c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas serían inaceptables; e d) Identificar las dependencias y recursos de soporte para estas actividades, e) Incluyendo a proveedores, socios externos y otras partes interesadas.

Actividades y Recursos Prioritarios Propósito de un AIN Obtener una comprensión de los productos y servicios clave de la organización y la actividades que los ofrecen Determinar las prioridades y los plazos para reanudar actividades Identificar los principales recursos que puedan ser necesarios para la continuidad y recuperación Identificar las dependencias (tanto internas como externas)

2.1. Análisis del Impacto en el Negocio (AIN) Lista de actividades

1.9 Competencia y capacitación

2.1.4 Validación de los datos 2.1.4 Validación de los datos

2.1.1 2.1.1 Planificación Planificación del del AIN AIN

2.1.5 Presentación del Informe del AIN 2.1.5 Presentación del Informe del AIN

2.1.2 2.1.2 Recolección Recolección de los de los datos datos

2.2 Evaluación del Riesgo 2.2 Evaluación del Riesgo

2.1.3 2.1.3 Análisis Análisis de de los datos los datos

2.1.1. Planificación de un AIN Actividades

1

Determinación del enfoque y el método de recolección de datos

2

Identificación de las actividades que soportan los productos y servicios clave

3

Selección de los impactos que se van a analizar

4

Preparación de las herramientas del AIN

1. Determinación del Enfoque y el Método de Recolección de Datos

Determinación Determinación del del enfoque enfoque El El enfoque enfoque puede puede ser ser cuantitativo cuantitativo (con (con cálculo cálculo de de consecuencias consecuencias financieras) financieras) y/o y/o cualitativo (evaluación de impactos no financieros como la reputación, el servicio cualitativo (evaluación de impactos no financieros como la reputación, el servicio de de atención atención al al cliente, cliente, etc.) etc.) Determinación Determinación del del método método La La recopilación recopilación de de datos datos del del AIN AIN puede puede hacerse hacerse con con una una combinación combinación de de métodos métodos como como taller, taller, entrevistas entrevistas yy cuestionario cuestionario Identificación de los participantes Crear Crear un un equipo equipo de de AIN AIN ee identificar identificar aa quienes quienes van van aa responder responder las las entrevistas entrevistas (de (de las las funciones funciones de de negocio negocio yy las las funciones funciones de de apoyo) apoyo)

II. Identificar la Actividades que dan Apoyo a sus Productos y Servicios Principales

NADA

Las Las actividades actividades aa considerar considerar •• Las Las que que apoyan apoyan la la misión misión de de la la organización organización yy que que son son vitales vitales para para sus logros sus logros •• Relacionadas Relacionadas con con obligaciones obligaciones legales legales y/o y/o contractuales contractuales

Principales Actividades de Negocio Ejemplo basado en la cadena de valor de Porter Gestión Gestión de de Infraestructuras Infraestructuras Gestión Gestión de de Recursos Recursos Humanos Humanos Finanzas Finanzas yy contabilidad contabilidad I+D

Marketing

Diseño

Ventas

Producción

Distribución

Atención al cliente

Suministros Embalaje

Investigación Y Desarrollo

Transformación Exportación Fabricación Marketing

Diseño Control de calidad

Servicios Pos venta

III. Selección de los Impactos a Analizar PÉRDIDA DE INGRESOS • Pérdida Directa

SANCIONES • Contractuales

• Regulatorias • Legales

GASTOS ADICIONALES • • • • • •

Costo de la Recuperación Gastos Extras Mayor Riesgo de Fraude Una Mayor Tasa de Error Los Gastos de Viaje Los Empleados Temporales

Las interrupciones

• Pagos Compensatorios • Ingresos Futuros Perdidos • Pérdida de Inversión

DAÑOS A LA REPUTACIÓN • Clientes, Proveedores,

Socios, Bancos Mercados Financieros • Calificaciones de Crédito

IMPACTOS

RECAUDACIONES RETRASADAS • Las Pérdidas de Facturación • Descuentos Perdidos

IMPACTO AMBIENTALES PÉRDIDA DE PRODUCTIVEDAD • Número de Empleados afectados • Número de horas perdidas • % de Capacidad perdida

IMPACTOS EN SEGURIDAD • La pérdida de vida o lesiones • Irritación de las vías respiratorias • Enfermedad

• • • •

Contaminación del suelo Contaminación del aire Contaminación del agua Devastación de la flora y la fauna

IV. Preparación de las Herramientas del AIN Principales herramientas o

“Peor de los casos”

o Cuestionario o Guía para al responder a los cuestionarios o Guía para facilitadores y entrevistadores de talleres o El Programa y la presentación de un taller o Presentación de lanzamiento o El software del AIN

2.1.2. La Recopilación de Datos

Durante el análisis del impacto en el negocio, es recomendable recoger datos a través de cuestionarios, entrevistas, o talleres o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero estos datos se deberían recopilar sólo para respaldar o complementar los datos a través del contacto directo con expertos en la materia o Durante la fase de recolección de datos, la siguiente información debería ser recopilada:  Evaluación de los impactos  Identificación de los objetivos de continuidad del negocio, como RTO, RTP y MBCO  Documentación de actividades prioritarias

I. Evaluación de los Impactos Ejemplo Umbrales de Impacto 1 Limitado

2 Importante

3 Grave

4 Critico

Riesgo Financiero

Riesgo Financiero

Riesgo Financiero

Riesgo Financiero

Riesgo Financiero

Impacto a la Funcionalidad

Sin más retraso después de 1 semana

Sin más retraso después de 2 semanas

Sin más retraso después de 1 mes

Sin más retraso después de 3 meses

Impacto en la Imagen Pública

Limitada Divulgación de Incidentes

Significativo Cambio de Imagen Pública

Importante Cambio de Imagen Pública

Cambio Permanente de la Imagen Pública

Compromiso de Responsabilidad

Quejas de los Clientes

Cuestionamiento de los Contratos Actuales

Cancelación de los Contratos Actuales

Destitución del Director General /o miembros de la Dirección

Impacto Económico, Humano y Social Riesgo Financiero

Pérdida Financiera Limitada

Pérdidas Financieras Importantes

Deudas Financieras

Quiebra

II. Identificación de los Principales Recursos y Dependencias Vinculados a los Procesos Críticos Ejemplo con un proceso de producción

III. Identificación de los Objetivos de Continuidad del Negocio RPO y RTO

Objetivo de punto de recuperación (RPO, por sus siglas en inglés) • Punto en que la información utilizada por una de las actividades debe ser restaurada para que la actividad pueda funcionar tras la reanudación.

Objetivo de tiempo de Recuperación (RTO) • Periodo de tiempo después de un incidente en el que: el producto o servicio deben reanudarse; o la actividad debe reanudarse; o los recursos deben ser recuperados.

RPO y RTO Ejemplo Objetivo de Tiempo de Recuperación (TTO)

Objetivo de punto de Recuperación (RPO)

El tiempo máximo aceptable

(Máxima pérdida de datos aceptable

Desastre Desastre

Tiempo 0:00 Copia de seguridad en cintas (7 Días)

Copia de seguridad de la red (24 H)

Sistema de espejos (1 Minuto)

Crítico (1 H)

Muy Importante (12 h)

Importante (72 H)

Identificación de los Objetivos de Continuidad del Negocio OMCN (MBCO) Objetivo Objetivo Mínimo Mínimo de de Continuidad Continuidad del del Negocio Negocio OMCN OMCN (MBCO) (MBCO) •• Nivel Nivel mínimo mínimo de de los los servicios servicios y/o y/o productos productos que que es es aceptable aceptable para para la la organización organización para para alcanzar alcanzar sus sus objetivos objetivos de de negocio negocio durante durante una una interrupción interrupción

100 %

Nivel de servicio normal

40 % 0%

Objetivo Mínimo de Continuidad del Negocio (MBCO)

IV. Documentación de las Actividades Prioritarias Resumen basado en las mejores prácticas

1

Descripción de la Función Empresarial

2

Las Actividades críticas

3

Las Dependencias

4

Impacto del Flujo de Trabajo

5

Consecuencias de No Procesar

2.1.3. Análisis de los Datos

Transcribir en minutas de entrevistas o síntesis de documentos

Comprobar que todas las preguntas que aplican se han complementado Comprobar que los objetivos de continuidad de la empresa se justifican por los impactos operativos y/o financieros

Identificar los elementos que se deben aclarar

Identificar incoherencias

? ? ? ? ? ? ? ?

2.1.4. Validación de Datos

Validación Validación de de datos datos  Validar con:  Validar o con: Gerente de la función de negocio o o Gerente de del la función de negocio Director Departamento o Director del Departamento  Cualquier cambio en los datos  Cualquier cambio en los datos recopilados recopilados debe estar documentado y aprobado debe estar documentado y aprobado  En la parte final de esta fase, asegúrese  En de la parte fase, asegúrese que final toda de la esta información recopilada de está que toda la información recopilada completada, es precisa y está completada, es precisa y está está acordada por las personas implicadas acordada por las personas implicadas

2.1.5. Presentación del Informe del AIN

El El informe informe del del AIN AIN  No hay formato normalizado para un informe del AIN y al igual que con muchos otros procesos, documento es probable que siga el formato estándar de la organización  Como mínimo, el informe del AIN debe incluir: La lista de actividades que Apoyan a los principales productos y servicios. Las evaluaciones de impacto El RTO y las prioridades de la empresa para la recuperación Importantes dependencias y recursos de soporte

Resumen de Objetivos de Recuperación

Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés

Objetivo de Tiempo de Recuperación (RTO)

Corte máximo aceptable (MAO)

Plan de protección y de Medidas de mitigación

Plan de capacitación y sensibilización

Desastre 100% 40%

Nivel de servicio normal

Objetivo Mínimo de Continuidad del Negocio (MBCO)

Horas

Día

Semana

Mes

Tiempo

0%

Última copia de seguridad

Llegar al punto de los Servicios mínimos a recuperar

Volver a Normal

Análisis de Impacto en el Negocio (AIN) Resumen con un ejemplo

APORTACIONES DE LAS PARTES APORTACIONES INTERESADAS DE LAS PARTES INTERESADAS

Proceso de Negocio

Impactos Potenciales

Máximo de Inactividad Tolerable

Procesar Factura Procesar Factura

Operaciones más de 1.000 Empleados afectados

72 Horas

Reputación –medios de Comunicación anuncian preocupaciones

30 Horas

Reputación –visión del congreso

36 Horas

Servicio de atención al Cliente -más de 500 quejas de los clientes

36 Horas

Elaborar factura Elaborar factura Procesar Factura Procesar Factura Procesar Factura Procesar Factura

Componentes del Sistema

Objetivo de Tiempo de Recuperación

Servidor de Aplicaciones

36 Horas

Servidor Web

24 Horas

Servidor de Base de datos

12 Horas

Los ordenadores de escritorio

30 Horas

Interdependencias

Ejercicio 7 Análisis del Impacto en el Negocio (AIN)

Capacitación Implementador Líder Certificado en la ISO 22301 Sección 15 Evaluación de riesgos

a.

Identificación de riesgos

b.

Análisis de riesgos

c. Estimación de riesgos

2.2. Evaluación de Riesgos

1. 1. Planificar Planificar

1. 1. Planificar Planificar

1. 1. Planificar Planificar

2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa

2.2 Evaluación del Riesgo

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

3.2 Auditoría interna 4.2 Mejora continua

2.5 Plan y procedimientos de la continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

2.7 Ejercicio y pruebas

3.3 Revisión por la Dirección

Proceso de Gestión de Riesgo (ISO 31000) Evaluación de riesgos

Diseño del marco de trabajo de la Gestión de riesgos (4.3)

Mejora continua Del marco De trabajo (4.6)

Implementación De la gestión De riesgos (4.4)

Seguimiento y Revisión del marco De trabajo (4.5)

Marco (cláusula 4)

Identificación de Riesgos (5.4.2)

Análisis de Riesgos (5.4.3)

Evaluación de Riesgos (5.4..4)

Tratamiento Tratamiento del del Riesgo Riesgo (cláusula (cláusula 5.5): 5.5):

Proceso (cláusula 5)

Seguimiento y revisión (5.6)

Establecer Establecer el el contexto contexto (5.3) (5.3)

Mandato y compromiso (4.2)

Comunicación y consulta (5.2)

a. Crear valor b. Parte integral de los procesos de la organización c. Parte de la toma de decisiones d. Aborda explícitamente la incertidumbre e. Sistemática, estructurada y oportuna f. Sobre la base de la mejor información disponible g. Adaptada h. Toma en cuenta los factores humanos y culturales i. Transparente e inclusiva j. Dinámica, interactiva y sensible a los cambios k. Facilita la mejora continua y la optimización de la organización de la organización Principios (cláusula 3)

Herramientas y Métodos para la Evaluación de Riesgos Presentados en la Norma ISO 31010 Tormenta Tormenta de de ideas ideas

Análisis Análisis de de la la causa causa raíz raíz

Mantenimiento Mantenimiento centrado centrado en en la la fiabilidad fiabilidad

Entrevistas Entrevistas estructuradas estructuradas oo semi-estructuradas semi-estructuradas

Modo Modo de de Falla Falla Análisis de Análisis de los los efectos efectos

Análisis Análisis furtivo furtivo de de circuitos circuitos

Análisis Análisis de de árbol árbol de de fallos fallos

Delphi Delphi

Análisis Análisis Markov Markov

Lista Lista de de verificación verificación

Análisis Análisis de de árboles árboles de de sucesos sucesos

Simulación Simulación de de Monte Monte Carlo Carlo

Análisis Análisis de de riesgo riesgo primario primario

Análisis Análisis de de causas causas yy consecuencia consecuencia

Estadísticas Estadísticas Bayesianas Bayesianas yy Bayes Bayes

Estudios Estudios de de peligros peligros yy Operabilidad Operabilidad (HAZOP) (HAZOP)

Análisis Análisis de de causa causa yyefecto efecto

Curvas Curvas FN FN

Análisis Análisis de de Peligros Peligros yy Puntos Puntos de Control Críticos de Control Críticos ((APPCC) ((APPCC)

Análisis Análisis de de protección protección de de la capa la capa (LOPA) (LOPA)

Índices Índices de de Riesgo Riesgo

Evaluación Evaluación de de riesgos riesgos medioambientales medioambientales

Árbol Árbol de de decisión decisión

Matrices Matrices de de probabilidad probabilidad // consecuencia consecuencia

Estructura Estructura “¿Y “¿Ysi?” si?” >>

(SWIFT) (SWIFT)

Análisis Análisis de de fiabilidad fiabilidad humana humana

Análisis Análisis de de la la relación relación coste/beneficio coste/beneficio

Análisis Análisis de de escenarios escenarios

Análisis Análisis de de lazo lazo

Análisis Análisis de de decisión decisión por por multi-criterios multi-criterios (MCDA) (MCDA)

Análisis Análisis del del impacto impacto en en el el negocio negocio

2.2. Evaluación de Riesgos Lista de actividades 2.2 Evaluación de Riesgos 2.1 AIN

2.2.1 2.2.1 Identificación Identificación del del riesgo riesgo

2.2.2 2.2.2 Análisis Análisis del del riesgo riesgo

2.2.3 2.2.3 Evaluación Evaluación del del riesgo riesgo

2.3 Política de CN 2.3 Política de CN

2.2.1. Identificación de Riesgos ISO 31000, cláusula 5.4.2 Las organizaciones deberían: 

 

Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus causas Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias La organización debería aplicar herramientas y técnicas de identificación del riesgo que se adapten a sus objetivos y aptitudes, así como a los que está expuesta

Enfoque y Métodos de Identificación de Riesgos Norma ISO 31010, cláusula 5.2 o

Los métodos de identificación de riesgo pueden incluir:  Métodos basados en la evidencia, ejemplos de los cuales son las listas de verificación y los comentarios de datos  Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso sistemático para identificar los riesgos por medio de un conjunto estructurado de mensajes o preguntas  Técnicas de razonamiento inductivo como HAZOP

o

Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi

1 HAZOP

= estudios de Peligros y Operabilidad

Identificación de Riesgos

Principales elementos incluidos en los Métodos de Evaluación de Riesgos

1.

Determinación de los criterios de aceptación de riesgos y la determinación de los niveles de riesgo aceptables 2. Identificación de los activos 3. Identificación de las amenazas a las que se enfrentan los activos 4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas 5. Identificación de los impactos 6. Análisis y evaluación del impacto 7. Análisis y evaluación de la probabilidad 8. Evaluación de los niveles de riesgo 9. Determinación de umbrales aceptables sobre la base de riesgos establecidos 10. Identificación y evaluación de opciones de tratamiento del riesgo 11. Selección de las medidas y controles para tratar los riesgos

2.2.2. Análisis de Riesgos ISO 31000, cláusula 5.4.3 El Análisis de riesgos se define como el análisis de un entorno de riesgos Cada riesgo se evalúa de acuerdo con:    

Las pérdidas que pueden ocasionar La probabilidad de ocurrencia El costo de las contra medidas para mitigar el riesgo y La pérdida probable si esas contra medidas fueron aplicadas

Enfoque y Métodos de Análisis del Riesgo ISO 31010, cláusula 5.3.1 Análisis Cualitativo: Define la consecuencia, la probabilidad y el niel de riesgo por niveles significación, como “alta”, “medio” y “bajo”, puede combinar consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante los criterios cualitativos

de la de

Análisis Cuantitativo: Estima los valores estimados para las consecuencias prácticas y sus probabilidades, y produce los valores del nivel de riesgo en las unidades especificas definidas en el desarrollo del contexto. Un completo análisis cuantitativo puede no ser siempre posible o deseable debido a información insuficiente

Análisis de Escenarios de Riesgo Las categorías habituales

1

Escenarios Escenarios con con edificios edificios

2

Escenarios Escenarios de de utilidades utilidades

3

Escenarios Escenarios en en los los sistemas sistemas de de comunicación comunicación

44

Escenarios Escenarios de de sistemas sistemas informáticos informáticos

5

Escenarios Escenarios de de consumibles consumibles

6

Escenarios Escenarios que que involucran involucran personas personas

7

Escenarios Escenarios de de información información oo datos datos

Análisis de Escenarios de Riesgo Ejemplo

Escenario 1

No disponibilidad del edificio

Posibles Causas /Amenazas  Fuego  Inundación  Amenaza de bomba  Huelga  Manifestación  Fuga de gas

Consecuencias  Se ha detenido la producción  Incapacidad para garantizar la logística de entrega  Incapacidad de facturar bienes entregados

Impacto

3 Probabilidad

2 Nivel de Riesgo

 Huracán  Terremoto

6

Comentarios: Comentarios: En En los los últimos últimos 10 10 años, años, la la organización organización ha ha perdido perdido 99 días días debido debido aa la la no no disponibilidad disponibilidad del del edificio edificio (una (una huelga huelga de de 77 días, días, 11 día día por por una una alerta, alerta, 11 por por un un fuga fuga de de gas) gas)

Cálculo de la Determinación de Riesgo Ejemplo de un cálculo del riesgo Posibilidad de ocurrencia - Amenaza Baja

Valor de los activos

Mediana

Alta

Nivel de Vulnerabilidad B

M

A

B

M

A

B

M

A

0

0

1

2

1

2

3

2

3

4

1

1

2

3

2

3

4

3

4

5

2

2

3

4

3

4

5

4

5

6

3

3

4

5

4

5

6

5

6

7

4

4

5

6

5

6

7

6

7

8

2.2.3. Evaluación de Riesgos ISO 31000, cláusula 5.4.4 o

La evaluación de los riesgos es la comparación de los niveles de riesgo estimados con los criterios de evaluación y los criterios de aceptación de riesgos y priorizarlos

o

La estimación de riesgos es necesaria antes de tomar una decisión sobre las posibles opciones para el tratamiento de riesgos incluyendo: 

Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado



A cuáles riesgos se les dará prioridad

Decisión como resultado de la evaluación de Riesgos Norma ISO 31010, cláusula 5.4 Las decisiones pueden incluir: 

Si un riesgo necesita tratamiento



Prioridades de tratamiento



Si una actividad debe llevarse a cabo



Cuál, de una cantidad de caminos debería seguirse

Nota: Nota: La La decisión decisión sobre sobre las las medidas medidas aa tomar tomar después después de de la la evaluación evaluación del del riesgo riesgo se se verá verá influida influida por por el el nivel nivel de de apetito apetito por por el el riesgo riesgo de de la la organización organización

Ejemplo de una Matriz de Evaluación de Riesgos

Amenaza

Valor de consecuencia (activo)

Probabilidad de ocurrencia de la amenaza

Nivel de riesgo

Orden de prioridad de la amenaza

Escenario A

5

2

10

22

Escenario B

2

4

8

33

Escenario C

3

5

15

11

Escenario D

1

3

3

55

Escenario E

4

1

4

44

Escenario Escenario F F

2 2

4 4

8 8

3 33

Evaluación de Riesgos Selección de medidas de protección y mitigación o

Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las medidas de gestión apropiadas y las prioridades de gestión de los riesgos y para aplicar las medidas de protección y mitigación para proteger contra estos riesgos

o

Las medidas pueden ser seleccionadas a partir de varias normas o pueden diseñarse nuevos controles para satisfacer las necesidades especificas de la organización

o

La selección de medidas de protección y mitigación se detallan en el Día 3

Día 3

Implementador Líder Certificado en la ISO 22031

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 16 Estrategia de continuidad del negocio a.

Análisis de las opciones de la estrategia de CN

b.

Selección de la estrategia de protección de actividades prioritarias

c.

Selección dela estrategia para estabilizar, continuar reanudar y recuperar actividades prioritarias

d.

Selección de la estrategia para la mitigación, respuesta y manejo de los impactos

e.

Evaluación de las capacidades de continuidad del negocio de los proveedores

2.3. Estrategia de Continuidad del Negocio

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 8.3.1 8.3 Estrategia de continuidad del negocio 8.3.1 Determinación y selección La determinación y selección de la estrategia deberá basarse en los resultados de los análisis de impacto en el negocio y la evaluación de los riesgos. La organización deberá determinar una adecuada estrategia de continuidad del negocio para: a) Proteger las actividades prioritarias, b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus dependencias y recursos de soporte, y c) Mitigar, responder al impacto y gestionarlo. La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la Reanudación de las actividades. La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del Negocio de los proveedores

Estrategia de Continuidad del Negocio

o

El objeto de la Selección de la Estrategia es colaborar en la definición de las necesarias para proteger a la organización y para seleccionar las soluciones para la recuperación más adecuada para las funciones críticas de la empresa y los recursos de soporte

o

La estrategia debe encarar los resultados del AIN y la evaluación del riesgo

o

La estrategia de continuidad del negocio es la base para los Planes de Continuidad del Negocio

EGY T A STR

2.3. Estrategia de Continuidad del Negocio Lista de las actividades 2.3 Estrategia de C.N. 2.1 AIN

2.3.3 Estrategia para Estabilizar, continuar, 2.3.3 Estrategia para Reanudar y recuperar Estabilizar, continuar, Reanudar y recuperar

2.2 Análisis de riesgos

2.3.4 Estrategia para mitigar, 2.3.4 Estrategia responder ay para mitigar, gestionar impactos responder a y gestionar impactos

2.3.1 2.3.1 Análisis Análisis && Selección Selección de de Una Una estrategia estrategia

2.3.5 Evaluación de las capacidades de 2.3.5 los Evaluación proveedoresde las capacidades de los proveedores

2.3.2 2.3.2 Estrategia Estrategia para para proteger proteger las las actividades actividades prioritaria prioritaria

2.4 Medidas de Protección & 2.4 mitigación Medidas de Protección & mitigación

2.3.1 Análisis de las Opciones de la Estrategia de CN

La organización debería determinar las opciones de estrategia para:

Proteger Proteger actividades actividades prioritarias prioritarias

Estabilizar, Estabilizar, continuar, continuar, reanudar reanudar yy recuperar recuperar actividades actividades prioritarias prioritarias

Mitigar, Mitigar, responder responder al al impacto impacto yy gestionarlo gestionarlo

2.3.2 Selección de la Estrategia para la Protección de Actividades Prioritarias

La protección de actividades Prioritarias puede ser dirigida a:

1

3 2

• Reducir el riesgo de la actividad

• transferir la actividad a un tercero (aunque la responsabilidad sigue siendo de la organización

• Cesar o modifica la actividad si existen alternativas viables

2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar y recuperar actividades prioritarias La organización debería determinar las opciones apropiadas de terminar las opciones apropiadas de estrategia para:

1

Traslado Traslado de de la la actividad actividad

2

ReRe- ubicación ubicación oo rere- asignación asignación de de recursos recursos

3

Procesos Procesos alternativos alternativos yy capacidad capacidad de de reserva reserva

44

Sustitución Sustitución de de habilidades habilidades yy recursos recursos

5

Solución Solución temporal temporal

2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y Manejo de los Impactos La organización debería determinar las opciones apropiadas de estrategia para:

ió n

ión

r ac de

t ac

tau ac os ti v

A) se La c gu on ro tr a

es

de un

R B)

La compra de seguros puede Ofrecer cierta compensación Financiera en caso de pérdidas, Pero no cubrirá todos los costes

La contratación de los servicios de las compañías que se especializan en la limpieza o reparación de bienes después de los daños

C) Gestión de la reputación

Desarrollo de una efectiva capacidad de comunicación y de Alerta y establecer procedimientos de comunicación eficaces

Ejemplo de Opciones de la Estrategia de CN Las estrategias de CN disponibles y el RTO que cumplen

C O S T O D E L A

E S T R A T E G I A

IX Sitio cliente VIII, Traslado a otros centros del grupo

VII, Trabajo a distancia VI, Sitio tibio V, Acuerdo reciproco

IV, Sitio móvil

III, Sitio frio

II, Reconstrucción y restauración

TIEMPO DE RECUPERACIÓN

Ninguna Estrategia

Características

I. Ninguna Estrategia

 Ninguna estrategia definida

 No hay documentación de recuperación y continuidad del negocio  No se envían datos fuera del sitio, y no hay ningún otro sitio identificado  Estrategia utilizada por las organizaciones con un evaluado apetito por el riesgo o de un sitio con baja criticidad; también puede ser cuando un producto tiene una vida útil limitada

Ventajas  La estrategia menos costosa para aplicar

Desventajas  La estrategia más cara después de un desastre…

Características

II. Reconstrucción y Restauración

 La estrategia se enfoca principalmente en los seguros

 Documentación de los bienes materiales e instalaciones  No se envían datos fuera del sitio, y no hay ningún otro sitio identificado  Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio con poca criticidad

Ventajas  Estrategia de bajo costo y fácil de implementar  Protección contra las pérdidas financieras de los activos físicos

Desventajas  Estrategia que generalmente no toma en cuenta los procesos de negocio y los activos inmateriales  Estrategia que no incluye un plan para asegurar la continuidad de las operaciones en caso de desastres

Características

III. Sitio frío

 Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC en inglés)  Listo para recibir el equipo pero no hay hardware de computación en el sitio  Los enlaces de comunicación pueden o no estar preparados  Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca criticidad

Ventajas  Bajo coste  Rápido de implementar  Fácil de mantener

Desventajas 

Falsa sensación de seguridad  El tiempo de recuperación puede ser largo dependiendo de la complejidad de la tecnología y el equipo utilizado por la organización  El proveedor d e servicios puede sobre valorar las capacidades de procesamiento

Características

IV. Sitio móvil

 Tráiler que puede transportarse rápidamente a un sitio alternativo

 Puede ser pre configurado con servidores, equipos de escritorio, equipos comunicaciones, microondas y enlaces para la transmisión de datos por satélite Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica

Ventajas    

de

Bajo coste Rápido de implementar Fácil de mantener Flexibilidad

Desventajas  La capacidad de los equipos puede ser insuficiente para la necesidad

Características

V. Acuerdo Recíproco

 Acuerdo con otra empresa con hardware o configuraciones de software similares

 Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad (Gran Suposición) Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto con un entorno de tecnología compatible

Ventajas  Bajo o ningún costo  Si los requisitos de procesamiento son similares puede ser variable

Desventajas  Muy poco probable la existencia de la capacidad  Limita severamente la capacidad de respuesta y apoyo

Características

VI. Sitio Tibio

 Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y enlace de comunicación  Las estaciones de trabajo y las impresoras están disponibles pero el software puede no estar instalado Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un sitio con baja o media criticidad

Ventajas

Desventajas

 Costo – mucho menos que el del sitio Caliente

 El proveedor de servicios puede sobre valorar capacidades de procesamiento

 Ubicación: Ya que se requiere menos control, los sitios pueden ser más flexibles

Características

VII. Trabajo a Distancia

 Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la empresa, por ejemplo hoteles Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio

Ventajas  Bajo costo y fácil de implementar para una organización pequeña  Solución Flexible flexibles

Desventajas  Debido a cuestiones de seguridad y confidencialidad esta opción no siempre es adecuada  Difícil de coordinar para grandes organizaciones

Características

VIII. Traslado a Otros Centros del Grupo

 En el caso de un incidente perjudicial de una división de la organización, el traslado se hará a otro centro de la misma organización

Estrategia utilizada por grandes organizaciones con varias instalaciones

Ventajas  Costo puede ser bajo a medio  Fácil de implementar  En la mayoría de casos, compatibilidad de tecnología  Respuesta rápida de activar

Desventajas

los

 No tiene una garantía de la existencia de la capacidad cuando sea necesario  Contención de recursos durante los desastres

Características

IX. Sitio Caliente

 Las aplicaciones se instalan en los servidores y las estaciones de trabajo  Las estaciones de trabajo y servidores están actualizados Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o para un sitio con alta criticidad

Ventajas  Disponibilidad 24/7, exclusividad de uso  Disponible de inmediato  Admite interrupciones de corto y largo plazo

Desventajas  Costoso  Requiere de un constante mantenimiento de hardware, software, datos y aplicaciones  Seguridad del sitio caliente, la seguridad del sitio primario se debe duplicar

2.3.5 Evaluación de las Capacidades de Continuidad del Negocio de los Proveedores

o La organización debería evaluar los riesgos relevantes y, a continuación, adoptar las medidas adecuadas para garantizar que equipos críticos y los servicios de los proveedores pueden ser garantizados en caso de un incidente de interrupción que los afecta o Debería hacerse una evaluación periódica de la capacidad del CN para las actividades críticas tercerizadas o que dependen de un proveedor, Que puede ser por:  Pedir que los proveedores estén certificados en la ISO 22301 

Auditoría de los proveedores



La comprobación auditada de la viabilidad de los planes de continuidad de los proveedores clave

Firma de un Acuerdo Cuando la estrategia depende de un sitio alternativo 1. 2. 3. 4. 5.

Durante del acuerdo o contrato Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato Necesidades en materia de sistemas de información (incluidos los datos y requisitos de telecomunicaciones ) para el hardware, el software y las necesidades especiales del sistema (hardware y software) 6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad 7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto 8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba 9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación electrónicos e impresos 10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los servicios del sistema de información prestados), el proceso de negociar la ampliación del servicio 11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales) 12. Otras cuestiones contractuales, según corresponda

Ejercicio 8 Selección de una estrategia de continuidad del negocio

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 17 Las medidas de mitigación y protección a.

Medida de mitigación y protección

b.

Medida preventiva

c.

Medida de detección

d.

Medida correctiva

2.4. Las Medidas de Mitigación y Protección

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 8.3.3 Protección y mitigación Para identificar los riesgos que requieren tratamiento, la organización deberá estudiar medidas pro activas que: a) Reduzca la posibilidad de una interrupción; b) Acorde el periodo de interrupción; y c) Limiten el impacto de una interrupción en la provisión de los productos y la presentación de los servicios principales de la organización. La organización deberá elegir e implementar un tratamiento de riesgo apropiado según su nivel de aceptación del riesgo

2.4. Las Medidas de Mitigación y Protección Lista de actividades

2.1 AIN

2.4.2 Medidas de detección 2.4.2 Medidas de detección

2.2 Evaluación del riesgo

2.4.3 Medidas correctivas 2.4.3 Medidas correctivas

2.3 Estrategia de la Continuidad del Negocio

2.5 Plan de la Continuidad 2.5 de la delPlan Negocio Continuidad del Negocio

2.4.1 2.4.1 Medidas Medidas preventivas preventivas

2.6 Comunicación 2.6 Comunicación

Aplicación de las Medidas de Mitigación y Protección

Medidas Medidas Preventivas Preventivas

Medidas Medidas de de Detección Detección

Desastre

Medidas Medidas Correctivas Correctivas

Escenarios de Riesgo y la Selección de las Medidas de Mitigación y Protección Ejemplo Escenario

Probabilidad

Impacto

Evaluación

Medidas de Protección y Mitigación

Fracaso de los servicios públicos

Posible (3)

Grave (3)

Alto

• Redundancia en la protección de equipos de aire acondicionado • de salas técnicas • Contrato de Intervención Rápida • Redundancia de las tareas de mantenimiento • Documento de las tareas de mantenimiento

Acceso al sitio no autorizado

Regular (4)

Importante (2)

Alto

• Hacer valer el respeto de la política de seguridad física • Hacer valer el respeto de la política de acceso físico para las dependencias y los recursos

Vandalismo internacion al externo

Posible(3)

Grave (3)

Alto

• Redundancia del sistema • Las pruebas periódicas de los equipos de emergencia

Fallo eléctrico

Raro (2)

Importante (2)

Significativo

• Pruebas periódicas de generadores de electricidad • Estar conectados a dos estaciones de transformadores eléctricos • UPS y parada segura de la maquinaria • Utilización de equipos con doble fuente de alimentación • Contratos de Intervención Rápida

2.4.1. Aplicación de Medidas Preventivas

Reducir la probabilidad y el posible impacto Gestión Gestión de de riesgos riesgos

Protección Protección física física yy lógica lógica

Gestión Gestión del del Cambio Cambio yy de de la la configuración configuración

Medidas preventivas: - Trabajar de manera pro activa - Asegurarse de que su preparación es adecuada - Desalentar o prevenir la aparición de problemas - Debe estar basada sobre la mejora continua

Mantenimiento Mantenimiento del del equipamiento equipamiento

2.4.2. Aplicación de Medidas de Detección

Reducir el impacto Seguimiento Seguimiento

Alertas Alertas

Medidas de detección: - Detectar e identificar anomalías - Dar indicaciones rápida - No son discriminativas - Deben ir seguidas de un procedimiento de escalada

Gestión Gestión de de incidentes incidentes

2.4.3. Aplicación de Medidas Correctivas

Mitigación de las consecuencias Planes Planes de de CN CN yy RD RD (Recuperación (Recuperación ante ante Desastres Desastres))

Comunicación Comunicación

Copia Copia de de seguridad seguridad

Medidas correctivas: - Trabajar a corto y largo plazo - Deben seguir la gestión del cambio - Muy probablemente necesitan la participación humana - Debe incorporarse en la mejora continua

Seguimiento Seguimiento de de NoNoconformidades conformidades

Ejercicio 9 Medidas de mitigación

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 18 Planes y procedimientos de continuidad del negocio a.

Desarrollo del plan de continuidad del negocio

b.

Estructura y formato del plan

c.

Contenido del plan de continuidad del negocio

d.

Tipos de planes de continuidad del negocio

e.

Activación de los diferentes planes

2.5. Planes y Procedimientos de la Continuidad del Negocio

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 8.4.1 Establecer y aplicar procedimientos de continuidad del negocio La organización deberá establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un evento perturbador y continuar sus actividades sobre la base de objetivos de recuperación identificados en el análisis del impacto en el negocio . La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial.

Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades de las personas que van a utilizarlos. Cada plan deberá definir: - Finalidad y alcance; - objetivos; - criterios y procedimientos de activación - procedimientos de aplicación; - funciones, responsabilidades y autoridades; - requisitos y procedimientos de comunicación; - Las interdependencias y las interacciones internas y externas. - necesidades de recursos; y - flujo de información y procesos de documentación

Plan de Continuidad del Negocio (PCN) Objetivos o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO

o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta inicial al punto en el que se reanudan las operaciones comerciales normales o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos para la continuidad del negocio y los equipos de recuperación de recursos En particular, el plan asigna roles y su rendición de cuentas, responsabilidad y autoridad El plan debe detallar las interfaces y los principios para hacer frente a una serie de cuestiones clave como, por ejemplo las comunicaciones internas/externas principales proveedores, entidades externas, servicios de emergencia y los medios

2.5. Planes y Procedimientos de la Continuidad del Negocio Lista de actividades

2.2 Análisis de Riesgos

2.5.2 Formato Y estructura Del Plan

2.7 Ejercicio y pruebas 2.7 Ejercicio y pruebas

2.3 Estrategia de la Continuidad del Negocio

2.5.3 Redactar el/los plan (es) de CN

2.4 Medidas de Protección y mitigación

2.5.4 Redactar los procedimientos de CN

2.5.1 2.5.1 Proceso Proceso del del desarrollo desarrollo del del plan plan

2.6 Comunicación

2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio

4. Recopilar información

1. Nombrar un responsable

2. Enfoque y estrategia

3. Estructura,

5. Redacción

Formato, componentes

6-9 Revisión

8. Uso

7. Publicar

2.5.2. Definir un Formato y Estructura del Plan Recomendaciones o

La estructura del PCN debe ser personalizada para satisfacer las necesidades específicas de la organización

o Aunque el seguimiento de una estructura de PCN no es obligatorio, se recomienda un formato estándar de PCN que permita la aplicación coherente en toda la organización o La buena prácticas identifican que un PCN debería ser de diseño modular con diferentes secciones numeradas / nombradas consecutivamente Las distintas secciones del PCN proporcionan la oportunidad de formar documentos separados (denominados: módulos, secciones o “sub planes”) que pueden ser suministrados a las personas y/o equipos sobre la base de saber lo necesario

Análisis de Escenarios de Riesgo Contenido mínimo requerido por la ISO 22301 11

Finalidad Finalidad yy alcance alcance

22

Objetivos Objetivos

33

Criterios Criterios yy procedimientos procedimientos de de activación activación

44

Procedimientos Procedimientos de de aplicación aplicación

55

Las Las funciones, funciones, responsabilidades responsabilidades yy autoridades autoridades

66

Requisitos Requisitos yy procedimientos procedimientos de de comunicación comunicación

77

Las Las interdependencias interdependencias yy las las interacciones interacciones internas internas yy externas externas

88

Recursos Recursos necesarios necesarios

99

Flujo Flujo de de información información yy procesos procesos de de documentación documentación

Contenido a excluir del Plan de CN

Los siguientes datos no son esenciales para la invocación y el funcionamiento del plan de continuidad del negocio y deberían ser excluidos y mantenidos en documentos separados: X

Evaluación de Riesgos

X

Análisis del Impacto en el Negocio (AIN)

X

Informes de Ejercicios, Ensayos o Pruebas

X

Proceso de Mantenimiento

X

Informe de Auditoría

X

Otra información y registros no esenciales

Contenido del Plan de Continuidad del Negocio (parte 1) Ejemplo Descripción 1. Descripción general del Plan 2. La rendición de cuentas, Responsabilidades y autoridades 3. Notificación, invocación y escalada 4. Equipo de GCN 5. contactos 6. Lista de tareas y ayuda memorias

7. Información de soporte

de la Sección Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan, registro de evento o decisión Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio, Equipo de GCN de la Unidad de Negocio Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesos de escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una cascada inversa) y/o diagrama de flujo Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN, Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando Personal interno, contactos externos incluyendo expertos en la materia

Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas

Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico, proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios especializados, comunicaciones

Contenido del Plan de Continuidad del Negocio (parte 2) Descripción

de de la la Sección Sección

8. Las Actividades Criticas de la Empresa

Calendario Calendario de de las las Actividades Actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades de de apoyo, apoyo, recuperación recuperación de de las las Actividades Actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades de de apoyo apoyo (objetivos (objetivos del del RTO RTO yy RPO) RPO) Plan Plan de de acción, acción, perfil perfil de de recuperación recuperación de de recursos recursos de de la la GCN, GCN, perfil perfil de de recuperación recuperación de de la la GCN GCN

9. Ubicación del sitio de recuperación (dentro de la organización o proveedor externo)

Proceso Proceso de de invocación invocación y/o y/o diagrama diagrama de de flujo, flujo, diseñado diseñado del del plan plan del del piso piso del del sitio sitio de de recuperación recuperación (área (área de de trabajo), trabajo), mapa mapa de de ubicación ubicación del del sitio sitio de de recuperación, recuperación, re re ubicación ubicación de de personal personal (incluido (incluido el el transporte transporte yy alojamiento), alojamiento),seguridad, seguridad,correo. correo.

10. Perfil de los recursos de recuperación

Estaciones Estaciones de de trabajo trabajo estándares estándares decir decir escritorio, escritorio, silla, silla, teléfono teléfono yy ordenador, ordenador, elel equipo equipo de de computación, computación, las las aplicaciones aplicaciones de de software, software, conectividad conectividad de de las las tecnologías, tecnologías, las las telecomunicaciones, telecomunicaciones, los los datos datos copia copia de deseguridad, seguridad,documentos/registros documentos/registrosde devital vitalimportancia/únicos importancia/únicos,,equipos equipos de de oficina, oficina, equipo equipo de de especialistas, especialistas, suministros suministros de de oficina, oficina, por por ejemplo ejemplo requisitos requisitos de de acceso acceso para para personas personas discapacitadas discapacitadas al al sitio sitio de de recuperación recuperación

11. Las plantillas de formulario

Orden Orden del del Día Día de de las las reuniones, reuniones, información información interna, interna, registro registro de de decisiones decisiones yyacciones, acciones, informe informe de deestado estado de dela la lista lista de de tareas, tareas, mensajes mensajes telefónicos, telefónicos,hoja hojade decálculo cálculode deacciones accionesootereas. tereas.

Apéndices

Contratos ContratosyyAcuerdos Acuerdosde deNivel Nivelde deServicio, Servicio,volver volveraacasa casa

Tipos de Planes Descripción Plan de continuidad del negocio

Plan de respuesta a incidentes

de la Sección Procedimientos documentados que orientan a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras interrupciones Procedimientos documentados que orientan a las organizaciones para responder a un incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia

Plan de respuesta de emergencia

Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a la propiedad contra daños en respuesta a una amenaza física

Plan de gestión de crisis

Coordinación de los procedimientos para manejar situaciones complejas que representan una amenaza a los objetivos estratégicos, la reputación o la existencia de una organización

Plan de Recuperación

Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario

Plan de restauración

Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o reconstrucción de las instalaciones, redes o capacidad operativa

Plan de comunicación

Proporciona procedimientos par a difundir informes de situación al personal y al público

Plan de capacitación y sensibilización

Para garantizar procedimientos para difundir informes de situación al personal y al público

Plan de pruebas y ejercicios

Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio

Activación de los Diferentes Planes Cronología de la respuesta de incidentes Tiempo

Desastre Protección y plan de mitigación

Plan de respuesta a incidentes Plan de respuesta de emergencia

Plan de gestión de crisis Plan de recuperación

Plan de restauración

Plan de comunicación

Plan de capacitación y sensibilización Plan de ejercicio y pruebas

2.5.4. Redacción de los procedimientos Relacionados con la CN ISO 22301, cláusula 3.39

Procedimiento  Definición: Forma especificada para llevar a cabo una actividad o un proceso  La estructura y el formato de los procedimientos documentados (copia impresa o por medios eléctricos) deberían ser definidos por la organización en las siguientes formas: texto, gráficos, tablas, una combinación de los anteriores, o cualquier otro método apropiado de la organización

Descripción de las Actividades en el Marco de un Procedimiento Las 6 palabras (W: W/H en inglés) 1. 2. 3. 4. 5. 6.

Quién Qué Cómo Cuándo Dónde Por qué

Ejemplo: El administrador de la red (quién) se asegura de que las copias de seguridad (qué)se completan mediante la revisión de lo registros de copia de seguridad (cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de Verificaciones (dónde) que se mantiene para futuras consultas (por qué)

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 19 Plan de respuesta a incidentes a.

Supervisión de eventos

b.

Detección de incidentes

c.

Valoración y evaluación de los incidentes

d.

Activación de la respuesta a incidentes

e.

Comunicación de respuesta a incidentes estructurada

f.

Escalada de los incidentes

g.

Documentación acerca de un incidente

Requisitos ISO 22301, cláusula 8.4.2 Estructura de respuesta a Incidentes La organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para administrar un incidente. La estructura de respuesta deberá: a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal, b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias, c) poner en marcha una respuesta de continuidad del negocio apropiada; d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta; e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un incidente perjudicial para minimizar el impacto, y La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias, incluyendo los medios de comunicación.

Requisitos ISO 22301, cláusula 8.4.3 Alerta y comunicación La organización deberá establecer, implementar y mantener procedimientos para: a) b) c) d) e) f) g)

la detección de un incidente, el seguimiento regular de un incidente, la comunicación interna en el seno de la organización y recibir, documentar y responder a la comunicación de las partes interesadas, recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo, Facilitar la comunicación estructurada con los equipos de emergencia, Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:

- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial; - Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal; - Funcionamiento de un servicio de comunicaciones. La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.

Plan de Respuesta a Incidentes Objetivos y contenido común El plan de respuesta a incidentes debería integrar procesos y procedimientos para: I. El seguimiento de los eventos que pueden provocar incidentes II. Detectar un incidente III. Analizar y evaluar un incidente IV. Declarar una respuesta a incidentes V . Facilitar la comunicación estructurada VI. Escalar un incidente VII. Documentar y registrar información vital acerca de la incidencia VIII. Revisión de un incidente

¿ Qué es un Incidente? ISO 22301, cláusula 3.19 o

Definición: Situación que pudiera constituir o pudiera redundar en una interrupción, una pérdida, emergencia o crisis

o Importante no confundir con el uso del término “incidente” en el campo de la seguridad de la información y tecnologías de la información: 

Una interrupción no planificada de un servicio (ITIL en inglés)

 Un único o serie de eventos de seguridad de la información no deseados o inesperados que tiene una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información (ISO 27000)

I. Supervisión de eventos o

La organización debe hacer un seguimiento de los eventos que podrían dar lugar a un incidente

o

El seguimiento debería estar en consonancia con los escenario documentados en la evaluación del riesgo y el AIN El uso de herramientas de detección y el análisis de tendencias  Compartir e intercambiar con expertos  Advertencias tempranas y los avisos recibidos de las autoridades, los servicios de emergencia, los clientes, los medios de comunicación, etc. 

Informe de eventos

o

Un corte o interrupción puede ocurrir con o sin previo aviso

o Los eventos pronosticados debería ser comunicados a las partes interesadas pertinentes o Ejemplos:



Un aviso de antemano del Servicio Nacional de Meteorología de que está previsto un huracán que afectará una determinada zona

 Los avisos y advertencias sobre una posible nueva gripe aviar enviados por la Organización Mundial de la salud  Una alerta del CERT (Computer Emergency Response Team) de que un virus informático se espera en una fecha determinada

II. Detección de incidentes

o

o

La organización necesita implementar las medidas para incidentes y recoger la información asociada a ellos Las medidas de detección deben estar en línea documentadas en la evaluación del riesgo y el AIN

Alertas en el sistema de TI

Sistema de Alarma

con

detectar

hipótesis

Detector de Bombas y metal

III. Evaluación y Valoración de la Incidencia Ejemplo de un proceso Usuario/Fuente Notificación de

de un Evento

Grupo de Apoyo a las Operaciones

Equipo de Respuesta a incidentes

Equipo de Gestión de Crisis

Detección

Notificación de

Recopilación de

Evaluación de Decisión

Primera Evaluación No

Si ¿Relevante?

Segunda evaluación No

Relevante Si

Falso Positivo Comunicaciones

Análisis forense

Tiempo

No Respuest a inmediata

Si Respuesta positiva

Revisión de la

Mejora continua

¿Incidente bajo control?

Respuesta

No ¿Crisis?

Si Actividades de crisis

IV. Invocación de una Respuesta a incidentes Criterios y procedimientos o

El plan de CN debería se activado si se cumplen uno o más de los criterios de activación

o

Si se cumple un criterio de activación, la autoridad designada debería activar el plan

o

Los criterios para la activación de interrupciones o las disrupciones en el sistema son único para cada o organización u deberían definirse

o

Los criterios pueden basarse en:  Magnitud de los daños al sistema (por ejemplo, físicos, operativos o costos)  Criticidad del sistema ala misión de la organización (p. ej. Activo de protección de infraestructuras críticas)  Duración prevista de la interrupción más larga que el RTO

V. Comunicación de respuesta a Incidentes

Comunicación de respuesta a incidentes

 Para ponerse en

personal

contacto con

de emergencia

 Para alertar a todas las partes interesadas potencialmente afectadas por un real o inminente perjudicial  Asegurar la inter operabilidad de múltiples organizaciones y personal de respuesta:

el

Métodos de notificación

o

Las notificaciones se pueden realizar a través de una variedad de métodos, ya sean automático o manual, entre los que se incluyen:  Teléfono  Correo electrónico:  Teléfono móvil  Visitar en persona el hogar, etc.

o

Los sistemas de notificación automática siguen protocolos y criterios establecidos y pueden incluir una rápida aceptación y autenticación y mensajería segura

o

Los sistemas de notificación automática requieren una inversión inicial y una curva de aprendizaje, pero pueden ser una manera eficaz para algunas organizaciones para garantizar la rapidez y precisión en la entrega

VI. Escalada de un Incidente Ejemplo de una escalada de incidentes

to

da

en Ev

la ca Es

Modo Incidente

OK

Modo Estándar

Modo Crisis

OK

Modo de desastres

da a l ca Es

VII. Documentación de un Incidente

Toda la información pertinente relacionada con el incidente debería ser registrada, Incluyendo: 1. 2. 3. 4. 5. 6. 7.

Descripción del evento Categoría y prioridad Fecha/hora del registro, escalada, decisión Los activos y procesos afectados Grupos o personas afectados por el incidente Actividades realizadas para resolver el incidente y sus resultados Las Decisiones tomadas

VIII. Revisión Pos-incidente

En el caso de un incidente que perturba las actividades prioritarias de la organización o que requiere una respuesta a incidentes, debería llevarse a cabo una revisión pos-incidente. Esto puede incluir: 1. Identificar la naturaleza y la causa del incidente 2. Evaluar la suficiencia de la respuesta de dirección 3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de tiempo de recuperación 4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la hora de preparar a los empleados en la previsión del incidente 5. Identificar las mejoras que se pueden introducir 6. Compara los impactos reales con los que se consideran en el análisis del impacto en el negocio 7. Obtener retro alimentación de las partes interesadas y de los que han participado en la respuesta

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 20 Plan de respuesta de emergencia a.

¿Qué es una emergencia?

b.

Objetivos de un plan de respuesta de emergencia

c.

Funciones y responsabilidades

d.

Procedimiento de evacuación

e.

Procedimiento de presentación de informes de emergencia

f.

Controles para limitar los impactos durante una emergencia

g.

Controles de detección y prevención

h.

Sensibilización, simulacro y capacitación

Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio Los procedimientos de respuesta deberán contener colectivamente: c) Detalles para gestionar las consecuencias inmediatas de una interrupción De una interrupción del negocio, teniendo en especial consideración: 1) 2) 3)

el bienestar de las personas las opciones estratégicas y operativas para responder a la interrupción; y la prevención de pérdidas adicionales o indisponibilidad de las actividades priorizadas

¿Qué es una Emergencia? ISO 22399, cláusula 3.6 o

Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere acción inmediata

o

Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen: 

 

        

Fuego Incidente de materiales peligrosos Inundaciones o riadas Huracán Tornado Tormenta de invierno Terremoto Fallo de las comunicaciones Accidente radiológico Disturbios Civiles Pérdida de proveedores o clientes principales Explosión, etc.

Objetivos de un Plan de Respuesta de Emergencia

1ª PRIORIDAD: PROTEGER LA VIDA

o La protección de la salud y la seguridad de todos en las instalaciones es la primera prioridad durante una emergencia o Las otras prioridades pueden ser:  Proteger el medio ambiente  Limitar la pérdida financiera

 Proteger la salud y la seguridad de los animales  Proteger registros,  Restaurar las operaciones, etc.

Plan de Respuesta ante Emergencias Elementos comunes que han de incluirse I.

Funciones y responsabilidades

II. Procedimiento de evacuación III. Procedimiento de presentación de informes de emergencia IV. Medidas inmediatas para limitar los impactos durante una situación de emergencia V . Procedimiento de apagado de instalaciones y sistemas VI. Medidas de detección y prevención VII. Sensibilización, simulacro y capacitación

I. Funciones y responsabilidades Coordinador de la Respuesta de Emergencia o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones o Él está al mando y en control de todos los aspectos de la situación de emergencia  Redacción de los procedimientos de respuesta de emergencia  Aplicar controles preventivos físicos  Ordenar la evacuación o el cierre de las instalaciones  Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación Mejores prácticas 1. 2.

3.

4. 5. 6.

7.

Determinar las condiciones bajo las cuales sería necesaria una evacuación Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local Redactar procedimientos de pos evacuación Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos Coordinar planes con la oficina local de gestión de emergencias

Las Vías y Salidas de Evacuación Elementos esenciales con procedimiento de evacuación 1.

Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles

2.

Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3.

Asegurarse de que las rutas de evacuación y salidas de emergencia son:   

Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales

III. Procedimiento de Presentación de Informes de Emergencia Listas de Llamadas de Emergencia o Las listas (del tamaño de una billetera si es posible) de todas las personas en y fuera de la planta que intervendrían para responder a una emergencia, sus responsabilidades y sus números de teléfono disponibles las 24 horas o Determinar requisitos locales y estatales para la presentación de informes sobre las emergencias y a incorporarlos en sus procedimientos 

Policía



Cuartel de Bomberos



Compañía de Gas



Los proveedores de telecomunicaciones, etc.

IV. Medidas Inmediatas para Limitar los Impactos Elementos a tener en cuenta durante una emergencia o

En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el control del acceso, pero nadie debería colocarse en peligro físico para realizar estas funciones

o

Las medidas de seguridad básicas incluyen:  Cierre las puertas o las ventanas  Establecer barreras provisorias con muebles después de que las personas han evacuado de forma segura  Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de materiales con fugas  Cerrar los armarios de archivo o los cajones de escritorios

o

Sólo personal capacitado debería poder realizar medidas de seguridad avanzada

o

El acceso a la planta debería estar limitado a las personas directamente implicadas en la respuesta

V. Cierre de Instalaciones y Sistemas Establecer los procedimientos de apagado/cierre o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones y daños a la propiedad o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre o Trabajar con los jefes de departamento para establecer los procedimientos apagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar:  Las condiciones que podrían exigir el cierre/apagado?  ¿Quién puede ordenar un cierre/apagado  Quién va a llevar a cabo los procedimientos de cierre/apagado  Cómo afectaría un cierre parcial a otras operaciones de las instalaciones  El tiempo necesario para apagar y reiniciar

VI. Controles de Prevención y Detección Algunos ejemplos de las medidas que se pueden aplicar ante una emergencia o

Sistema de protección contra incendios

o

Sistemas de protección contra rayos

o

Sistemas de vigilancia del nivel de agua

o

Dispositivos de detección de desbordamiento

o

Desconexión Automática

o

Sistemas de generación de energía eléctrica de emergencia

VII. Sensibilización, Simulacro y Capacitación 1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones 2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y confusión antes de llevar a cabo las actividades de capacitación más exigentes 3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo general más gente y es más profunda que la de un ejercicio de mesa 4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica, las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas problemáticas 5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas de escombros, humo en los pasillos. Los planes se modifican en consecuencia 6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la dirección de la empresa y organizaciones de respuesta de la comunidad

Ejercicio 10 Preparación de las pruebas de auditoría para el plan de respuesta ante emergencias

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 21 Plan de gestión de crisis a.

¿Qué es una crisis?

b.

Desarrollo del Plan Gestión de Crisis

c.

Contenidos del Plan Gestión de Crisis

Requisitos

o

Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un plan de crisis pueden ser incluidos en los planes)

o

El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de respuesta ante emergencias y el plan de comunicación en un único plan

Importante: Importante: El El plan plan yy los los procedimientos procedimientos desarrollados desarrollados deberían deberían permitir permitir responder responder al al mismo mismo tiempo tiempo de de una una forma forma coherente, coherente, integrada integrada yy complementaria complementaria

¿Qué es una crisis? ISO 22300, cláusula 2.1.12 Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y requiere medidas urgentes

Características de una Crisis

o

La crisis no siempre implican interrupciones de la actividad empresarial o amenazas a la vida, a la propiedad, los activos

o

Sin embargo, casi siempre son reto a la reputación de una organización y su marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y liderazgo efectivo

o

Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso escrutinio del público y de los medios

Plan de Gestión de Crisis Objetivos y elementos comunes incluidos El plan de gestión de crisis debería integrar procesos y procedimientos para:

I.

Las funciones, la rendición de cuentas, la responsabilidad y la autoridad

II. Procedimiento de Emergencia III. Notificación, invocación y escalada IV. Comité de Crisis y equipos de gestión de crisis V . Plan de comunicación de crisis

Gestión de Crisis Una responsabilidad de la alta dirección o

Las funciones de la gestión estratégica se amplifican durante una crisis

o

Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo largo de líneas que no se pueden prever

o

Incluso pueden incluir reposicionamiento estratégico de la organización en su conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección

o

Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a aplicar, conducir y dirigir la gestión de crisis

La Gestión de Crisis lidia con la Complejidad o

Una gran cantidad de incidentes que pudieran causar trastornos (tornado, terremoto, etc.) son predecibles y se pueden desarrollar respuestas prepreparadas

o

Las crisis, por otra parte, se producen a menudo por riesgos que no habían sido identificados, o por lo menos no se identificaron con la escala y la intensidad que han presentado

o

Una crisis también puede ser producto de una combinación imprevista de riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la respuesta por lo general requiere soluciones realmente creativas, en contraposición a las pre-preparadas,

o

La gestión de crisis debe ser capaz de hacer frente a problemas que no se pueden administrar por los procedimientos de GCN, sin importar qué tan bien desarrollados pueden estar

La Gestión de Crisis lidia con Dilemas

o

Las crisis están asociadas con problemas muy complejos, las consecuencias y la naturaleza de los cuales no ser clara en el momento. Cada solución posible puede tener graves consecuencias de una forma u otra

o

Los administradores pueden tener para elegir la solución “menos mala” y puede que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos fundamentales. Estos pueden significar que cada elección viene con una pena de algún tipo y que no existe una solución ideal

Comunicación Un factor clave de éxito Aun cuando la organización se considera que está mal, o censurable, la manifestación dela virtud, la integridad y la compasión pueden compensar, en cierta medida, el daño a su reputación y prestigio o

o La buena gestión de crisis puede demostrar las cualidades positivas de la organización y mejorar su reputación general

Ejercicio 11 Plan de pandemia

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 22 Plan de recuperación de TI a.

Objetivos del plan de recuperación de TI

b.

Activación del sitio de recuperación

c.

Traslado al centro de recuperación y logística

d.

Suministro de equipos

e.

Procedimiento financieros y administrativos

f.

Recuperación de telecomunicaciones

g.

Recuperación de datos y procedimientos de backup

h.

Recuperación de los servicios y sistemas por prioridad

i.

Procedimiento de recuperación para cada sistema

Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio

La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o reparará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán entender a las necesidades de las personas que van a utilizarlos

El Plan de Respuesta de TI Objetivos y elementos comunes incluidos El plan de recuperación de TI debería integrar los procesos y procedimientos para: I.

La activación del sitio de recuperación II. El traslado al centro de recuperación y logística III. El suministro de equipos IV. Los procedimientos financieros y administrativos V . Recuperación de telecomunicaciones VI. Recuperación de datos y procedimientos de backup. VII. Recuperación de los servicios y sistemas por prioridad VIII. Procedimiento de recuperación para cada sistema

Plan de Respuesta ante Emergencias Elementos comunes que han de incluirse I.

Funciones y responsabilidades

II. Procedimiento de evacuación III. Procedimiento de presentación de informes de emergencia IV. Medidas inmediatas para limitar los impactos durante una situación de emergencia V . Procedimiento de apagado de instalaciones y sistemas VI. Medidas de detección y prevención VII. Sensibilización, simulacro y capacitación

I. Funciones y responsabilidades Coordinador de la Respuesta de Emergencia o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones o Él está al mando y en control de todos los aspectos de la situación de emergencia  Redacción de los procedimientos de respuesta de emergencia  Aplicar controles preventivos físicos  Ordenar la evacuación o el cierre de las instalaciones  Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación Mejores prácticas 1. 2.

3.

4. 5. 6.

7.

Determinar las condiciones bajo las cuales sería necesaria una evacuación Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local Redactar procedimientos de pos evacuación Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos Coordinar planes con la oficina local de gestión de emergencias

Las Vías y Salidas de Evacuación Elementos esenciales con procedimiento de evacuación 1.

Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles

2.

Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3.

Asegurarse de que las rutas de evacuación y salidas de emergencia son:   

Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales

I. La Activación del Sitio de Recuperación

o

El equipo de recuperación debería llegar en primer lugar al sitio alternativo para hacer una evaluación rápida con el fin de preparar el traslado de los empleados

o

Con el uso de una lista de comprobación, se debería verificar y confirmar estado de los recursos en uso:  HVAC  Equipo y redes de TI  Telecomunicaciones  Copia de seguridad  Espacio de oficina

el

II. Traslado al Centro de Recuperación y Logística Logística o Transporte de personal y materiales o

Apoyo y bienestar del personal

o

Lista de los proveedores y contratos

o

Entorno de los trabajadores remotos

III. Suministro de Equipos

Existen tres estrategias básicas para garantizar una rápida situación de los equipos Suministro Suministro de Equipos Equipos

Acuerdos con los proveedores Inventario de Equipos

Equipos Compatibles Existentes

IV. Compatibilidad y Administración La organización debería desarrollar los procedimientos financieros y administrativos para apoyar las necesidades de la empresa antes, durante y después de un incidente o

Deberían establecerse procedimientos para garantizar que las decisiones financieras se puedan acelerar y deberían estar en conformidad con os niveles de autoridad y los principios de contabilidad o

o

Los procedimientos deberían incluir, pero no limitarse a, lo siguiente: Autoridad de finanzas, incluyendo sus relaciones de subordinación al coordinador del programa(s)  Acceso a fondos de emergencia  Procedimientos de contratación de programas  Nóminas  Sistemas de contabilidad para llevar un seguimiento y documentar los costos 

V. Recuperación de Telecomunicaciones

Métodos

Descripción

Redundancia

Consiste en proporcionar capacidad adicional con un plan para utilizar el exceso de capacidad si no se encuentra disponible la capacidad de transmisión principal normal

Ruta alternativa

Enrutamiento diverso Diversidad de Red larga distancia Sistemas de Comunicacione s de Emergencia

Información de enrutamiento a través de un medio alternativo como cables de cobre o fibra óptica Enrutamiento del tráfico mediante instalaciones de cable partido o de cable duplicado Muchos proveedores de instalaciones de recuperación han proporcionado diversas redes de larga distancia disponibles Con el fin de comunicarse entre los miembros del equipo, debería elegirse un sistema de comunicaciones de emergencia y otras alternativas

VI. Recuperación de Datos y Procedimientos de Backup Los componentes clave para restaurar la disponibilidad de la información o Los procedimientos de copia de seguridad es el componente clave para restaurar la disponibilidad de la información o Una organización debería asegurarse de que la integridad y la confidencialidad de los datos de la empresa se mantienen mientras se transfieren (ya se electrónica o físicamente) a y desde los centros de recuperación, sujeto a las obligaciones contractuales con organizaciones o Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los temas que una política y procedimientos de copias de seguridad deberían resolver están:  A qué datos hay que hacerles copia de seguridad  Cómo se caratula  durante cuánto tiempo se mantiene  Cómo se prueban las copias  Con qué frecuencia se realizan backups  Dónde se almacenan los medios  Que tan rápidamente pueden ser recuperados los medios  Quién está autorizado a recuperar los medios  Cómo se restablecen

Copia de seguridad Principales soluciones 1. 1. Red Red de de Área Área de de Almacenamiento Almacenamiento

2. 2. Duplicación Duplicación

••Gracias Gracias aa la la virtualización virtualización del del almacenamiento, almacenamiento, se combinan varios dispositivos de se combinan varios dispositivos de almacenamiento almacenamiento en en un un solo, solo, lógico, lógico, sistema sistema de de almacenamiento almacenamiento virtual virtual

•• Con Con la la duplicación duplicación de de los los discos discos oo las las imágenes imágenes de recuperación, se ha optimizado de recuperación, se ha optimizado la la recuperación. recuperación. Los Los datos datos se se escriben escriben en en dos dos discos discos yy proporciona proporciona una una alta alta disponibilidad disponibilidad

3. 3. Procesamiento Procesamiento distribuido distribuido

4. 4. Almacenamiento Almacenamiento electrónico electrónico

••Los Los servicios, servicios, que que se se encuentra encuentra en en la la misma misma oo en en múltiples múltiples ubicaciones, ubicaciones, se se configuran configuran con con equilibrio de carga y agrupamiento para procesar equilibrio de carga y agrupamiento para procesar las las solicitudes solicitudes yy los los datos datos de de intercambio intercambio

••Con Con el el almacenamiento almacenamiento electrónico, electrónico, se se realiza realiza una una copia copia de de seguridad seguridad de de los los datos datos aa las las unidades remotas que se encuentran fuera de las unidades remotas que se encuentran fuera de las instalaciones instalaciones mediante mediante enlaces enlaces de de comunicación comunicación de alta calidad de alta calidad

5. 5. Diario Diario Remoto Remoto

6. 6. Archivos Archivos de de medios medios

••Las Las publicaciones publicaciones remotas, remotas, las las transacciones transacciones oo archivos de diarios son transmitidos archivos de diarios son transmitidos periódicamente a las unidades remotas periódicamente a las unidades remotas que que se se encuentran encuentran fuera fuera del del sitio sitio

••Otro Otro es es grabar grabar archivos archivos aa medios medios de de copia copia de de seguridad y transportarlos, a una ubicación fuera seguridad y transportarlos, a una ubicación fuera del del sitio sitio

Alineación de la Estrategia de Copia de Seguridad Con RPO y RTO Propiedad

Descripción

Propiedad baja – algún tipo de interrupción con poco impacto, daño o perturbación de la organización

• Copia de seguridad: Copia de seguridad en cinta • Estrategia: Reubicar o sitio frío

Propiedad importante o moderada – cualquier sistema que, si perturbado, podría causar un problema moderado a la organización y posiblemente a otras redes o sistemas De importancia fundamental o prioridad alta- el daño o perturbación a estos sistemas puede provocar el mayor impacto sobre la organización, misión y otras redes y sistemas

• Copia de seguridad: Duplicidad seguridad óptica de WAN/VLAN

de

• Estrategia. Sitio Frío o Tibio

• Copia de seguridad: Sistemas reflejados y duplicación de discos • Estrategia: Sitio Caliente

Copia de seguridad Ubicación y almacenamiento

Copia de seguridad • Puede ser almacenada en varios lugares, cada uno cumpliendo un propósito diferente • Cuando son transportados, los medios deberían ser garantizados

VII. Recuperación de los Servicios y Sistemas por Prioridad

Sobre la base de las prioridades de las operaciones predeterminadas en el análisis de impacto, una organización debería priorizar los servicios y los sistemas a restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños en el equipo, la disponibilidad real de personal y los posibles avances de la recuperación

rity o i Pr ! hdna adjhu jhj na sticas Ckde erí caract

VIII. Procedimiento de recuperación para cada Sistema

o

En el plan de recuperación, debería estar disponible un procedimiento de recuperación para restaurar cada sistema en el ámbito del SGCN con:

 Una lista de la secuencia de operaciones a restaurar

 Requisitos del sistema para restaurar  Tiempo estimado para cada operación o

Se describen los procedimientos de recuperación por equipo se deberían realizar en la secuencia que se presenta para mantener un eficiente esfuerzo de recuperación

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 23 Plan de restauración a.

Los objetivos del plan de restauración

b.

Asegurar los sitios

c.

Evaluación de daños y seguros

d.

Plan de restauración y asignación de recursos

e.

Limpiar el sitio y restaurar la infraestructura

f.

Sistemas y recuperación de datos TI

g.

Pruebas y validación

h.

Traslado al sitio principal

i.

Recompensa y reconocimiento del personal

Requisitos ISO 22301, cláusula 8.4.5

No hay ningún requisito formal de la norma ISO 22301 Para establecer un plan de restauración

Plan de Respuesta ante Objetivos y elementos comunes incluidos El Plan de restauración debería integrar los procesos y procedimientos para: I.

Asegurar los sitios

II. Evaluación de daños y de seguros III. Plan de restauración y asignación de recursos IV. Limpiar el sitio y restaurar la infraestructura

V . Sistema y recuperación de datos de TI VI. Pruebas de validación VII. Traslado al sitio principal VIII. Recompensa y reconocimiento del personal

I. Asegurar los Sitios Primer paso En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes, saqueos, vandalismo, etc. o

o

Las obras de restauración deben ser protegidas para evitar acceso físico no autorizado

o

La planificación debería considerar cómo asignar o contratar guardias de seguridad

II. Evaluación de Daños y de Seguros

Evaluación de daños

Contacto con el seguro

III. Plan de Restauración y la Asignación de Recursos

Después de revisar la información sobre la magnitud de los daños y sus repercusiones en el funcionamiento, recolectados por los equipos de respuesta de emergencia y de continuidad, la alta dirección debería seleccionar las medidas que han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de recursos

IV. Limpiar el Sitio y Restaurar la Infraestructura

Limpiar el sitio

Reconstruir la instalación y Restaurar la infraestructura

V. Recuperación de los Sistemas de TI y de Datos

Restauración de la Infraestructura de TI

Restauración de datos

VI. Pruebas y Validación

Prueba y validación de datos

Las pruebas y la validación de datos es el proceso de prueba y validación de datos para asegurarse de que los archivos de datos o bases de datos se han recuperado completamente en la ubicación permanente

Pruebas y validación de la funcionalidad Pruebas de validación de la funcionalidad es el proceso de verificar que la funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los procedimientos de validación para asegurar que el sistema esté en funcionamiento

VII. Traslado al Sitio Principal

Restaurar Restaurar el el funcionamiento funcionamiento normal normal

Declaración Declaración de de fin fin del del incidente incidente oo crisis crisis

Cierre Cierre del del sitio sitio de de recuperación recuperación

Informes Informes de de comentarios comentarios yy de de pos-recuperación pos-recuperación

VIII. Recompensa y Reconocimiento del Personal

o

Cuando termina un incidente, es importante que el personal que participó en la respuesta a incidentes reciba cierto grado de recompensa o reconocimiento

o

Todo el personal afectado por el incidente tiene que saber que va a haber cambios como resultado del incidente, que ha habido aprendizaje para asegurarse de que no se repita o

Las personas que han trabajado más allá de sus horas de trabajo y que han tomado tareas adicionales deberían ver sus esfuerzos reconocidos de alguna manera o

Esto puede hacerse de manera informal o formal. Por lo general es muy positiva la participación de los gerentes y directores en un proceso formal de reconocimiento

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 24 Plan de comunicación a.

Principios de una eficaz estrategia de comunicación

b.

Proceso de Comunicación de CN

c.

Establecer objetivos de comunicación

d.

Identificar las partes interesadas

e.

Planificar las actividades de comunicación

f.

Planificar de la comunicación de una crisis

g.

Realizar una actividad de comunicación

h.

Evaluar la comunicación

2.6. Plan de Comunicación

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 7.4 y 8.4.3 7.4 Comunicación La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN incluyendo: a) Contenido de la comunicación. b) Cuando comunicar, y c) A quién se va a comunicar. La organización deberá establecer, implementar y mantener procedimiento(s) para : Comunicación interna entre las partes, interesadas y empleados dentro del a organización, Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras partes interesadas, incluidos los medios de comunicación, Recibir, documentar y responder a la comunicación de las partes interesadas. Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o equivalente a los efectos de la planificación y el uso operacional, cuando corresponda. Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo. Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter operabilidad de múltiples organizaciones y personal, cuando corresponda, y Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las comunicaciones normales.

2.5. Planes y Procedimientos de la Continuidad del Negocio Lista de actividades

5. Plan y procedimiento de la Continuidad del Negocio

2.6.4 Realizar una actividad de comunicación

2.6.1 2.6.1 Establecer Establecer objetivos objetivos de de Comunicación Comunicación

2.6.2 2.6.2 Identifica Identifica las Partes las Partes Interesadas Interesadas

2.6.5 Evaluar la comunicación

2.7 Capacitación y sensibilización

2.6.3 Planificar las actividades de comunicación

Principios de una Eficaz Estrategia de Comunicación

1

Transparencia Transparencia Hacer Hacer que que todos todos los los procesos, procesos, procedimientos, procedimientos, métodos, métodos, fuentes fuentes de de datos datos yy supuestos supuestos utilizados utilizados en en la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la confidencialidad confidencialidad de de la la información información según según se se requiera requiera

Idoneidad Idoneidad

2

Hacer Hacer que que la la información información proporcionada proporcionada en en las las partes partes interesadas interesadas sea sea pertinente, pertinente, utilizando utilizando formatos, formatos, el el idioma idioma yy los los medios medios que que cumplan cumplan con con sus sus intereses intereses yy necesidades, necesidades, para para que que puedan puedan participar plenamente participar plenamente

Credibilidad Credibilidad

3

Comunicar Comunicar con con una una conducta conducta honesta honesta yy justa, justa, yy proporcionar proporcionar información información que que sea sea veraz, veraz, exacta exacta yy sustantiva. sustantiva. Desarrollar Desarrollar la la información información yy datos datos con con métodos métodos ee indicadores indicadores reconocidos reconocidos yy reproducibles reproducibles

Respuesta Respuesta

55

Responder Responder aa las las preguntas preguntas yy preocupaciones preocupaciones de de las las partes partes interesadas interesadas de de forma forma plena plena yy oportuna. oportuna. Hacer Hacer conscientes conscientes aa las las partes partes interesadas interesadas de de cómo cómo se se han han abordado abordado sus sus preguntas preguntas ee inquietudes inquietudes

Claridad Claridad

4

Asegurar Asegurar que que los los métodos métodos de de comunicación comunicación yy el el lenguaje lenguaje son son comprensibles comprensibles para para las las partes partes interesadas para minimizar la ambigüedad interesadas para minimizar la ambigüedad

Proceso de Comunicación de la CN ORGANIZACIÓN Otros principios Corporativos, Políticas y estrategias

Política de comunicación de la continuidad del negocio

Estrategia de comunicación de la Continuidad del Negocio Establecer objetivos

Identificar las partes interesadas

Tener en cuenta las Cuestiones relativas a los recursos

Las actividades de comunicación de la continuidad del negocio Evaluar

Grupos objetivo

Planificar Realizar

Principios de la comunicación

Partes Interesadas

Política de continuidad del negocio

2.6.1. Establecer Objetivos de Comunicación Ejemplos o

Mejorar la credibilidad y la reputación de la organización

o Establecer diálogo constante sobre cuestiones de la continuidad del negocio con las partes interesadas o Cumplir con los requisitos legales aplicables y otros requisitos que la organización suscriba o

Influir en la política pública sobre problemas de continuidad del negocio

o

Proporcionar información y fomentar la comprensión de las partes interesadas acerca de las actividades de la continuidad del negocio

o

Cumplir con las expectativas de las partes interesadas sobre información de la continuidad del negocio

2.6.2. Identificar las Partes Interesadas Para adaptar el plan de comunicación

Medios de comunicación

Proveedores

Inversores Empleados

Comunidades

Clientes

2.6.3. Planificar las Actividades de Comunicación Claves para el éxito Una organización debería decidir qué es lo que pretende conseguir con una actividad de comunicación de la continuidad del negocio o

o Se deberían establecer objetivos compatibles con los objetivos de comunicación de la continuidad del negocio y que sean específicos, mensurables, alcanzables, realistas y con plazos o Esto permitirá que la organización evalúe la actividad de comunicación de la continuidad del negocio y determine si el objetivo se ha cumplido, o no o La organización debería prever problemas de continuidad de negocio interés para las partes interesadas

de

Planificar la Comunicación de una Crisis

o

Aunque la comunicación de la continuidad del negocio es importante en todo momento, es particularmente importante durante las crisis y las emergencias de continuidad del negocio

o La organización debería identificar las posibles crisis y emergencias, y planificar la adecuada comunicación de la continuidad del negocio o

La planificación debería abordar información pertinentemente para dar respuesta a las situaciones potenciales y reales de emergencia y crisis

2.6.4. Realizar una Actividad de Comunicación Métodos y herramientas de comunicación Sitio Web

Artículos de prensa

Visitas guiadas a la organización

Informes

Comunicados de prensa

Talleres Y Conferencias

Folletos & Boletines

Anuncios

Entrevistas con los Medios

Carteles

Reuniones Públicas

Presentación a los grupos

Correos electrónicos

Grupos de enfoque y encuestas

Medios sociales

Ejemplo de Actividades de Comunicación Invitación a visitas y medios de comunicación durante un ejercicio o

o

Los visitantes pueden tomar una función más o menos formal de “observador”

Se invita ocasionalmente a los medios de comunicación a informar sobre ejercicios (pero su presencia también puede ser peligrosa…)

2.6.5. Evaluar la comunicación o

Una organización debería permitir tiempo suficiente para que la comunicación de la continuidad del negocio sea eficaz

o

El tiempo necesario depende de la naturaleza de la comunicación, el número de partes interesadas y sus preocupaciones, y el tipo de soporte utilizando

o

La organización debería revisar y evaluar la eficacia de su comunicación de la continuidad del negocio

Comunicación y Reportes Ejemplo de un formulario Nombre del proyecto Responsable

Número de proyecto Nombre

Comunicación Enfoque de la comunicación Interés y temas principales Estado Actual (Partidario/ Natural/Oponente Apoyo deseado (Alto/Medio/Bajo) Funciones prevista en el Proyecto (si existe) Medidas previstas Avisos Necesarios Acciones y otros canales de comunicación

Nombre del interesado 1

Fecha

01.02.2015

Nombre del interesado 2

Nombre del interesado 3

Ejercicio 12 Comunicación de una crisis

Día 3

Implementador Líder Certificado en la ISO 22031

Curso de Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 25 Pruebas y ejercicios

a.

Definición

b.

Definición de la estrategia de ejercicios y pruebas

c.

Creación de un plan de ejercicios y pruebas

d.

Creación de escenarios de ejercicios y pruebas

e.

Programa de ejercicios y pruebas

f.

Determinar los objetivos de los ejercicios/pruebas

g.

Realizar una actividad de ejercicios y pruebas

h.

Evaluación de una actividad de ejercicios y de pruebas

i.

Informe de Ejercicios/Pruebas

2.7. Pruebas y ejercicios

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 8.5 Pruebas y ejercicios La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio. La organización deberá llevar a cabo ejercicios y pruebas que: a) Están en consonancia con el alcance y los objetivos del SGCN, b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos, c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas, d) Reducen al mínimo el riesgo de interrupción de las operaciones, e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras, f) Son revisados en el contexto de la promoción de la mejora continua y g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.

Pruebas y ejercicios Ejercicio • Proceso para capacitar, evaluar, practicar, y mejorar el rendimiento de una organización

Prueba • Único y ejercicio, elemento de aprobar dentro objetivos del previsto

particular tipo de que incorpora un expectativa de del objetivo o los ejercicio que está

Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes, procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales; aclarando y capacitando al personal en funciones y responsabilidades; mejorar la coordinación inter institucional, y las comunicaciones; identificar las deficiencias en materia de recursos; mejorar el desempeño individual; e identificar las oportunidades de mejora

¿Por qué Evaluar Planes de Continuidad del Negocio? Objetivos de los ejercicios y pruebas Capacitación Capacitación del del personal personal en en la la utilización utilización de de planes planes de de CN CN Ganar Ganar adeptos adeptos en en todas todas las las áreas áreas de de negocio negocio Probar Probar la la adecuación, adecuación, exactitud exactitud yy veracidad veracidad de de los los actuales actuales planes planes de de recuperación recuperación Probar Probar los los componentes componentes de de elementos elementos técnicos técnicos Mejorar Mejorar procedimientos procedimientos de de recuperación recuperación del del negocio negocio Capacitación Capacitación del del personal personal en en la la utilización utilización de de planes planes de de CN CN Asegurar Asegurar que que todos todos los los aspectos aspectos del del negocio negocio están están cubiertod cubiertod

2.7. Pruebas y ejercicios Lista de actividades

2.6 Comunicación

2.7.1 2.7.1 Definición Definición de la de la estrategia estrategia

2.7.4 Programa de ejercicios y pruebas

2.7.5 Selección De objetivos De ejercicio/prueba

2.7.8 2.7.8 Informe Informe de de Ejercicio/Prueba Ejercicio/Prueba

3.1 Supervisión, Medición, análisis y 3.1evaluación Supervisión, Medición, análisis y evaluación

2.7.2 2.7.2 Plan Plan de de ejercicios ejercicios && pruebas pruebas

2.7.3. 2.7.3. Creación Creación de de escenarios escenarios

27.6 Realizar una actividad de ejercicio/prueba

2.7.7 2.7.7 Evaluación Evaluación de una de una actividad actividad de de ejercicio/prueba ejercicio/prueba

3.2 Auditoria interna

3.3 Revisión por la Dirección

2.7.1. Definición de la Estrategia de Ejercicios y Pruebas Proceso Proceso de de revisión revisión

Simulación de recuperación

Componente Componente

Integrado Integrado

Operacional Operacional

Servicio En operaciones

Familiarización Familiarización

Comprobación Comprobación yy tutorial tutorial del del proceso proceso de de invocación invocación yy recuperación recuperación

Pruebas Pruebas // ejercicios ejercicios de de cada cada proceso proceso O O competen competen de de la la infraestructura infraestructura

Pruebas Pruebas // ejercicios ejercicios de de recuperación recuperación del del Servicio Servicio integral integral

Aumentar la confianza y la capacidad de recuperación

Servicios Servicios integrales integrales de de conmutación conmutación entre entre el el Sitio Sitio principal principal yy el el secundario secundario

2.7.2. Creación de un Plan de Ejercicios y Pruebas

El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la base para una auditoría, incluyendo: 1. Funciones y responsabilidades 2. Frecuencia de los ejercicios y pruebas 3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio, etc. 4. Los riesgos generales que se deben administrar 5. Los recursos necesarios para ser eficaz 6. La competencias delas personas que ejercen la actividad 7. Los informes sobre las actividades 8. La firma de la alta dirección

2.7.3. Creación de Escenarios de ejercicios y Pruebas

Tipo Tipo de de ejercicio ejercicio

¿Qué ¿Qué es? es?

Beneficio Beneficio

Desventajas Desventajas

Lista Lista de de control control

Distribuye Distribuye planes planes para para su su revisión revisión

Asegura Asegura que que el el plan plan aborda aborda todas las actividades todas las actividades

No No aborda aborda la la eficacia eficacia

Tutorial Tutorial estructurado estructurado

Examina Examina detenidamente detenidamente Cada Cada paso paso del del PCN PCN

Asegurar Asegurar que que las las actividades actividades Previstas se describen Previstas se describen con con exactitud exactitud en en el el PCN PCN

Bajo Bajo valor valor para para demostrar capacidad demostrar capacidad de de respuesta respuesta

Simulación Simulación

Escenario Escenario para para representar representar Procedimientos Procedimientos de de recuperación recuperación

Sesión Sesión de de práctica práctica

Cuando Cuando los los subconjuntos subconjuntos son son muy muy diferentes diferentes

Paralelo Paralelo

Prueba Prueba completa, completa, pero pero las las Operaciones no Operaciones no se se detienen detienen

Garantizar Garantizar un un alto alto nivel nivel de de Fiabilidad sin interrumpir Fiabilidad sin interrumpir las las Operaciones Operaciones normales normales

Caro, Caro, ya ya que que todo todo el el personal está personal está involucrado involucrado

Interrupción Interrupción total total

El El desastre desastre se se replica replica al al punto punto de que cesen las de que cesen las Operaciones Operaciones normales normales

Prueba Prueba más más fiable fiable del del PCN PCN

Arriesgada Arriesgada

Tipo de Escenarios de Prueba para el Sistema de TI Objetivo •• Valida Valida que que los los equipos equipos yy sistemas sistemas se se ajustan ajustan aa las las especificaciones y que especificaciones y que operan operan en en los los entornos entornos requeridos, y que requeridos, y que los los procedimientos procedimientos yy los los procesos procesos son son viables. viables.

Prueba

Prueba Estática

Prueba Funcional Prueba Dinámica

2.7.4. Programa de Ejercicios y Exámenes

Departamento/Proceso/Sistema Recursos humanos

Prueba Estática

Finanzas Adquisiciones Ventas CRM

Dinámica

Sistema de correo electrónico

Funcional

Lista de control

Tutorial

Simulación

Ejercicio Paralelo

Interrupción total

2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas Recomendaciones Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de prestación de servicios, el ejercicio debería ser cuidadosamente planeado para reducir al mínimo el riesgo de que ocurra un incidente como consecuencia directo del ejercicio o

o Los ejercicios deberían ser realistas y cuidadosamente planificados y acordados con las partes interesadas, de modo de que exista un mínimo riesgo de interrupción de los procesos empresariales La escala y la complejidad de los ejercicios deberían ser adecuadas a los objetivos de recuperación de la organización o

2.7.6. Realizar una Actividad de Ejercicio/Prueba El ejercicio debería realizarse en el momento oportuno que mejor responde a los objetivos del evento, y:  partes

Causa el nivel mínimo de perturbación a la organización y a las interesadas

 el

Cuando el número apropiado de participantes requeridos para apoyar ejercicio está disponible

 Cuando los lugares físicos, activos, equipos o instalaciones están disponibles para su uso en el ejercicio

Detener o Suspender el Ejercicio

Detener o Suspender • Hay ejercicios que se pueden detener o suspender, antes de la hora programada por una serie de razones, incluso cuando se plantea un incidente real • Esta decisión de detener o suspender el ejercicio debería ser adoptada por el coordinador del ejercicio, que debería estar en posesión del estado de las actividades desarrolladas en el ejercicio y poder decidir el momento más seguro para detener las actividades • Algunas organizaciones utilizan palabras clave para lograr esto

Documentación de Ejercicios/Pruebas

Lista estándar 1. Escenarios de Prueba 2. Razones par ala prueba 3. Objetivos de la prueba 4. Tipos de pruebas 5. Cronograma de pruebas 6. Duración de la prueba 7. Pasos específicos de la prueba 8. Quiénes serán los participantes 9. Las asignaciones de las tareas de la prueba 10. Los recursos y servicios necesarios 11. Medición del éxito o el fracaso de las pruebas

2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba Los informes pos ejercicios deberían cubrir:

Tiempo

Suma

Tiempo real de ejecución de las tareas previamente determinadas vs. El tiempo planificado

Suma del trabajo realizado vs. El trabajo planificado

Número

Cantidad de transacciones y registros realizados con éxito vs. La cantidad planificada

Recomendaciones

Precisión de la entrada de datos en la instalación de reserva comparada con la precisión normal vs. La planificad

Precisión Lecciones aprendidas

Identificación de errores y comisiones

Lo que hay que aplicar para mejorar el PCN

2.7.8. Informe de Ejercicios/ Pruebas Ejemplo Dificultades / Problemas Durante el ejercicio/prueba

Razones/Causas

Cogniciones (Lecciones Aprendidas)



























¿Qué ha funcionado Durante la prueba? ¿Qué no funcionó Durante la prueba?

Curso de Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 26 Supervisión, medición, análisis y evaluación a.

Proceso de supervisión, medición, análisis y evaluación

b.

Determinar los objetivos de la medición

c.

Objetivo de la supervisión y de la medición

d.

Determinación de la frecuencia y del método

e.

Presentación de los resultados

f.

Tablero del SGCN

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 9.1 9.1 Supervisión, medición, análisis y evaluación 9.1.1 Generalidades La organización deberá determinar: a) Lo que debe ser medio controlado b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para asegurar resultados válidos; c) Cuándo el seguimiento y la medición deberán ser llevados a cabo; d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los resultados de las mediciones. La organización deberá conservar la información apropiada documentada como evidencia de los resultados. La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN. Además la organización deberá: - Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados antes de que se produzcan una no conformidad Conservar la información apropiada documentada como evidencia de los resultados -

Definiciones según la ISO 22301 Supervisión (3.29) •Determinar el estado de un sistema, un proceso o actividad

Medida (3.27) •Proceso para determinar un valor

Evaluación del Rendimiento (3.36) •Proceso de determinar resultados mensurables

Proceso de Supervisión, Medición, Análisis y Evaluación El objetivo principal es la mejora del SGCN Objetivo A Objetivo B Objetivo C

REVISIÓN Y MEJORA

OBJETIVO DE MEDICIÓN

TABLERO

Atributo A

Indicador de rendimiento A

Atributo B

Indicador de rendimiento B

Atributo C

Indicador de rendimiento C

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN Lista de Actividades

2. Implementación del SGCN (Hacer)

3.1.4 Creación de paneles 3.1.4 Creación de paneles

3.1.1 3.1.1 Objetivos Objetivos de medición de medición

3.2 Auditoria Interna 3.2 Auditoria Interna

3.1.2 3.1.2 Objetivos Objetivos de de Supervisión Supervisión yy Medición Medición

3.3 Revisión por la Dirección 3.3 Revisión por la Dirección

3.1.3 3.1.3 Creación Creación de indicadores de indicadores

3.1.1. Determinación de los Objetivos de medición

Objetivos de la Medición  La norma no indica lo que debe ser objetivo de supervisión o medición  Corresponde a la empresa determinar qué es lo que necesita ser2. controlado y medido Función de Asesoramiento •

dentro de la organización para la mejora continua Es una mejor práctica centrarse en la vigilancia

y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de continuidad • Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante

3.1.2. Objetivo de la Supervisión y Medición ¿Qué mínimamente necesita ser supervisado y medido?

1. La medida en que se cumplen la continuidad del negocio, política, objetivos y metas de la organización

2. Los procesos, procedimientos y funciones que protegen sus actividades prioritarias

5. Los datos y los resultados de la supervisión y medición suficientes para facilitar el posterior análisis de las acciones correctivas y preventivas

3. Evidencia histórica de los resultados deficientes del SGCN, por ejemplo, no conformidad, conatos, falsas alarmas 4. El cumplimiento de las exigencias legales y nominativas, las mejores prácticas del sector y de la conformidad con su propia gestión de la política y objetivos de la continuidad del negocio

Indicadores de Rendimiento Ejemplos • % de falsas alarmas con detección de eventos • Costo promedio de un incidente

Incidentes

• % del personal que ha recibido capacitación y calificaciones de CN • Número de horas de capacitación de los empleados

Capacitación

• • % de planes probados • Número de ejercicios realizados en el último año

• % de no conformidades no cerradas en la demora fijada • Número de días en promedio para cerrar una no conformidad

Ejercicios

No conformidades

3.1.3. Determinación de la Frecuencia y el Método de Supervisión y Medición ¿Cómo y cuándo se debe controlar y medir?

Objetivos de la Medición COM O

 La norma no indica, ni cómo ni la frecuencia con que debe realizarse o evaluarse la supervisión o la medición  Es ala organización quien determina cómo controlar, medir y con qué frecuencia • Es la mejor práctica utilizar tableros para registrar y notificar las actividades de medición y supervisión con indicadores de rendimiento • Los tableros deberían indicar los resultados obtenidos frente a los objetivos de rendimiento

3.1.4. Presentación de los resultados Ejemplo de Tablero

Ejecución – Operativo Presenta a los actores de la continuidad operacional la realidad de los controles implementados

Gestión – Táctico Mide el progreso hacia el logro delos objetivos tácticos

Alta Dirección – Estratégico Hace posible el progreso de la estrategia de continuidad

I. Tablero Operativo Ejemplo

II. Tablero Táctico Ejemplo Evaluación de los procedimientos Nro.

Procedimiento evaluado

1

Procedimiento de control de documentos

2

Procedimiento de control de registros

3

Procedimiento de competencia, sensibilización y capacitación

4

Procedimiento de auditorias interna

5

Procedimiento de acciones correctivas

6 8

Procedimiento de acciones correctivas Procedimiento de revisión por la dirección Procedimiento de supervisión y medición

9

Procedimiento de gestión de recursos

1 0

Procedimiento de compra

7

Evaluación global

Notas a la debilidad Y la fuerza

Nivel de cumplimiento 1

2

3

4

5

6

7

8

III. Tablero Estratégico Ejemplo Indicador 1

80 70 60 50 40 30 20 10 0

Indicador 2

Serie 1 65 49

19

Serie 2

61

48

28

18

Indicador 4

71

39

27

Indicador 3

29

36

41

50

2004 2005 2006 2007 2008 2009 2010 Descripción A

Descripción B

Descripción C

Descripción D

Descripción E

Ejercicio 13 Supervisión, medición, análisis y evaluación

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 27 Auditoria Interna a.

Las diferencias entre las Auditorías Internas y Externas

b.

Rol de la Función de la Auditoria Interna

c.

Independencia, objetividad e imparcialidad

d.

Planificación de las actividades de auditoria

e.

La gestión y la asignación de recursos

f.

Crear un procedimiento de auditoría

g.

Actividades de seguimiento de no conformidades

3.2. Auditoría Interna

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 9.2 9.2 Auditoría interna 9.1.1 Generalidades La organización deberá llevar a cabo auditorías internas a intervalos planificados para proporcionar información a fin de prestar asistencia en la determinación de si el SGCN: a) cumple:

b)

1) Las necesidades propias de la organización para su SGCN, 2) Los requisitos de esta norma Internacional. se aplica y es manteniendo de forma afectiva.

La organización deberá: - Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia, métodos, - responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías (s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores, - Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria, - La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad del proceso de auditoría. - Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la auditoría.

¿Qué es una Auditoría? ISO 19011, cláusula 3.1 Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla para determinar en qué medida cumple los criterios de auditoría

En resumen: Auditoría significa preguntar al auditado Lo que hace, y comprobar si lo hace

Tipos de Auditorías Externa Auditoría de Segunda Parte Nuestro cliente audita nuestra organización

Interna Auditoría de primera Parte

Auditoria de Segunda Parte Nuestra organización audita a nuestro proveedor

Nuestra organización audita sus propios sistemas

Cliente

Auditoría de Tercera parte La organización es auditada por una organización independiente

Proveedor

Organización

Las Diferencias entre las Auditorías Internas y Externas Principales características

Auditoría Interna 1. Es independiente de las actividades auditadas (no de la organización) 2. Considera la eficacia y la eficiencia del sistema de gestión 3. Función de Asesoramiento dentro de la organización para la mejora continua 4. Puede llevarse a cabo en el curso de las operaciones

Auditoría Externa 1. Totalmente independiente de la organización auditada y sus actividades 2. Sólo considera la eficacia del sistema de gestión 3. No tiene función de asesoramiento a la organización (sólo recomendaciones generales) 4. La actividad de la auditoría siempre e planifica de manera oportuna

Principales Servicios y Actividades de la Auditoría Interna

1. Evaluación de los objetivos del sistema de gestión

8. Coordinación entre las auditorias internas y externas

7. Evaluación de la mejora continua

2. Evaluación general del Funcionamiento del sistema de gestión

Objetivos principal es 3. Evaluación de la gestión de riesgos en curso

6. Evaluación de la medición y la revisión del sistema de gestión

5. 4 Evaluación de la eficacia y la eficiencia de la gestión del ciclo de vida del mismo sistema de gestión

4. Evaluación de la eficacia y la eficiencia de los procesos y medidas

ISO 19011 Guía de auditoría para los sistemas de gestión

o Las definiciones de los conceptos de auditoría de sistemas de gestión o Descripción de las características y principios básicos de la auditoría y la profesión de auditor

INTERNATIONAL ISO STANDARD 19011                 

o Descripción de todos los elementos clave del proceso de auditoría

______________________________________ Societal security- Business continuity Management Systems –Requirements

o Descripción de los aspectos fundamentales de un programa de auditoría

       

o Directrices sobre las calificaciones de los auditores

  ______________________________________

2.7. Pruebas y ejercicios Lista de actividades

3.1 Supervisión, medición, análisis y evaluación

3.2.4 Planificar actividades de auditoria

3.2.8 3.2.8 Seguimiento Seguimiento de de No No conformidades conformidades

3.2.1 3.2.1 Crear Crear el el programa programa de de auditoría auditoría interna interna

3.2.2 3.2.2 Designar Designar una una Persona Persona Responsable Responsable

3.2.3 3.2.3 Establecer Establecer Independencia, Independencia, objetividad objetividad ee Imparcialidad Imparcialidad

3.2.5 Asignar y administrar los recursos

3.2.6 Crear procedimiento de auditoría

3.2.7 3.2.7 Realizar Realizar actividades actividades de de auditoría auditoría

3.3 Revisión por la Dirección 3.3 Revisión por la Dirección

3.2.1. Crear el Programa de Auditoria Interna

Establecer el programa de auditoría (5.2) - Objetivos y alcance – Roles y responsabilidades - Competencia - riesgo del programad e auditoría Procedimientos - Recursos

Revisar y mejorar programa de auditoría (5.5)

-Definir cada objetivo, alcance y criterios de la auditoría -Determinar el método (s) de auditoría -Asignar responsabilidades a los auditores -Gestionar y mantener registros del programa de auditoria

Supervisión del programa de auditoria (5.4) -Revisar y aprobar los informes de auditoría -Determinar la necesidad de una auditoria de seguimiento -Evaluar el desempeño delos miembros del equipo de auditoria y retro alimentación por parte de todos los interesados

Competencia y evaluaciones de los auditores (cláusula 7) Actividades de Auditoria (cláusula 6)

Verificar

Actuar

Aplicación del programa de auditoría (5.3)

Hacer

Planificar

ISO 19011, cláusula 5

3.2.2. Designar una Persona Responsable Funciones y responsabilidades 1. Desarrollar un programa de auditoría interna (funciones y responsabilidades, procedimientos, documentos de trabajo, formación de auditores, etc.) 2. Planificar las actividades de auditoría 3. Administrar los recursos 4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con estos criterios 5. Escribir informes de auditoría 6. Asegurar que se siguen las mejores prácticas y que se aplican los procedimientos de auditoría durante la realización de la auditoría. 7. Implementar un programa de evaluación continua de los auditores 8. Realizar el seguimiento de las no conformidades y las recomendaciones de auditorías anteriores

Principales Servicios y Actividades de la Auditoría Interna

Preparar, conducir y cerrar una auditoria, comunicación oral y escrita de las conclusiones

Principios de auditoría

Evaluación y gestión de los riesgos de auditoría y aquellos relacionados a la operación de un sistema de gestión

Sistema de gestión

Riesgos de auditoría Aspectos legales

Principales procesos presentes en todas las organizaciones (RRHH, Finanzas, Producción, etc.)

Operación de un sistema de gestión e interacción entre sistemas

Proceso organizacional

Principales leyes y reglamentos, cláusulas de contrato

3.2.3.Establecer la Independencia, Objetividad e Imparcialidad

Carta de auditoría Definición normal del propósito y actividades de la auditoría interna

Definición formal del alcance y la extensión de la auditoría interna

Estructura del estatuto (carta) de auditoría

Definición de las responsabilidades y los servicios que serán proporcionados por la auditoría interna

Definición formal de la autorización de acceso de Auditores internos

El establecimiento de la independencia de la auditoría interna

El Acceso y la Independencia

El acceso a los recursos y la colaboración

1

• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados, oficinas, información, explicaciones y la documentación necesaria para el buen desarrollo de la auditoría para el buen desarrollo de la auditoría • Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de auditoría

Independiente

2

• Los auditores internos deben ser independientes de los procesos auditados, y esto generalmente se garantiza si el auditor informa a la Comisión de cuentas de la organización en lugar de directamente a la alta dirección • Esta necesidad de independencia debería reflejarse en el organigrama

3.2.4. Planificación de las Actividades Planificación a corto y largo plazo

Una planificación de auditoría d alto nivel para tres años • Esta planificación debe tener en cuenta que el sistema general de gestión debería ser auditado cada tres años Una planificación anual más detallada • Esta planificación debe tener en cuenta que no hay ningún requisito para que el auditor audite todos los procesos y controles del sistema de gestión durante ese año

3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría ISO 19011, cláusula 5.3.6

Recursos financieros

Políticas y procedimientos de auditoría

Recursos humanos

Herramientas

Logística

3.2.6. Crear Procedimientos de Auditoría ISO 19011, cláusula 5.3.5 Los procedimientos de auditoría deberían incluir información sobre cómo: 1. Planificar y programar las auditorias teniendo en cuenta los riesgos de auditoría 2. Administrar la seguridad de la información y la confidencialidad y gestionar los riesgos de auditoría 3. Garantizar la competencia de los auditores y los lideres de los equipos

4. Seleccionar equipos de auditoria apropiados y asignar sus roles y responsabilidades

7. Informar de los resultados del programa de auditoría al cliente de auditoría

5. Realizar auditorias incluyendo el uso de métodos de muestreo apropiados

8. Mantener registros programa de auditoría

6. Realizar el seguimiento de la auditoría, si procede

9. Monitorear la operación, los riesgos y eficacia del programa de auditoría

del

Para las organizaciones pequeñas, las actividades mencionadas arriba pueden ser cubiertas por un solo procedimiento

3.2.7. Realizar Actividades de Auditoría

Fuente de información

Uso de Procedimientos de auditoría Incluyendo el muestreo Evidencia de la auditoría Evaluación frente a los Criterios de auditoria Hallazgo de la auditoría Revisión Conclusiones de la auditoría

No conformidad Definición o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad es el “no cumplimiento de un requisito” o Hay dos tipos de no conformidades  No conformidad menor

 No conformidad mayor

3.2.8. Seguimiento de no conformidades Directrices El auditor interno debería seguir los planes de acción presentados en respuesta a las no conformidades (como resultado de las autoridades internas externas) o

o

y

La persona a cargo del SGCN debe informar al auditor interno de la marcha de las acciones correctivas

El papel del auditor interno se limita a validar los planes de acción y las acciones correctivas o

o No todas las medidas correctivas tiene que ponerse en práctica inmediatamente Basado Basado en en su su experiencia experiencia yy conocimiento, conocimiento, el el auditor auditor interno interno debería debería ejercer ejercer buen buen criterio criterio yy evaluar evaluar si si los los planes planes de de acción acción apropiados apropiados yy pueden pueden abordar abordar las las causas causas intrínsecas intrínsecas de de las las conformidades conformidades

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 29 Tratamiento de problemas y no conformidades a.

Proceso de análisis de la causa raíz

b.

Herramienta de análisis de la causa raíz

c.

Procedimiento de acciones correctivas

d.

Procedimiento de acciones preventivas

3.3. Revisión por la Dirección

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 9.3 Revisión por la Dirección La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia La revisión por la dirección deberá incluir la consideración de : a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección; b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema de gestión de la continuidad del negocio; c) Información sobre el desempeño de la continuidad del negocio, incluyendo las tendencias en : 1) No conformidades y acciones correctivas. 2) Los resultados de la evaluación del seguimiento y la medición; 3) Resultados de la auditoría; y d) Oportunidades para la mejora continua.

Revisión por la Dirección Definición Una revisión periódica de la eficacia del Sistema de Gestión realizada por la alta dirección para analizar su conveniencia, adecuación y eficacia continuas

Término

Concepto

Idoneidad

Los resultados se logran de la mejor manera posible

Adecuación

Las salidas cumplen con los criterios establecidos

Eficacia

El sistema cumple con las necesidades de la organización

3.3. Revisión por la Dirección Lista de actividades

1.2 Implementación del SGCN

3.1 Supervisión Medición, análisis y evaluación

3.3.2 Realizar la Revisión 3.3.2 por la Realizar Dirección la Revisión por la Dirección

3.3.3 Cierre de la Revisión 3.3.3 de por la Cierre Dirección la Revisión por la Dirección

3.2 Auditoría Interna

3.3.4 Seguimiento de la Revisión 3.3.4 por laSeguimiento Dirección de la Revisión por la Dirección

3.3.1 3.3.1 Preparar Preparar la Revisión la Revisión por por la la Dirección Dirección

4. Mejora Continua 4. Mejora Continua

3.3.1. Preparación de la Revisión por la Dirección

o

La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados (por lo menos una vez al año)

o

La revisión por la Dirección se puede incluir en una reunión de Dirección y ser uno de los temas del orden del día

o

Es una buena práctica enviar al comité de gestión toda la documentación relacionada (informe de auditoría, resultados de las revisiones, planes de acción…) antes de la revisión

Requisitos ISO 22301, cláusula 8.5 Pruebas y ejercicios La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio. La organización deberá llevar a cabo ejercicios y pruebas que: a) Están en consonancia con el alcance y los objetivos del SGCN, b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos, c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas, d) Reducen al mínimo el riesgo de interrupción de las operaciones, e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras, f) Son revisados en el contexto de la promoción de la mejora continua y. g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.

3.3.2. Realizar una Revisión por la Dirección Temas que figuraran en el programa La entrada de una revisión por la Dirección debería incluir información sobre: 1. 2.

Los resultados de auditorías del SGCN y sus revisiones Las técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el rendimiento y la eficacia del SGCN 3. Estado de las acciones preventivas y correctivas 4. Los resultados de ejercicios y pruebas 5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo anterior 6. Los resultados de las mediciones de la eficiencia 7. Las acciones de seguimiento de revisiones por la Dirección anteriores 8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos 9. Adecuación de la política 10. Recomendaciones para la mejora 11. Las enseñanzas derivadas de incidentes 12. Buenas prácticas y guías emergentes

3.3.3. Resultados de la Revisión Decisiones y resoluciones El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones relacionadas con lo siguiente: 1. Variaciones al alcance del SGCN; 2. Mejora de la efectividad del SGCN; 3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante incidentes y procedimientos de respuesta; 4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los cambios en:  Requisitos empresariales y de funcionamiento  Reducción de riesgos y requisitos de seguridad  Procesos de las conducciones de funcionamiento del negocio que inciden en los requisitos operativos existentes;  Los requisitos reglamentarios o legales  Las obligaciones contractuales  Los niveles de riesgo y/o criterios para la aceptación de riesgos;  Necesidades de recursos  Los requisitos económicos y presupuestarios  Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles

3.3.4. Seguimiento de la revisión por la Dirección

o

Las revisiones por la Dirección deben ser documentadas

o

La organización debería presentar informes sobre la revisión por la Dirección a todos los que forman parte de ella

o El coordinador del SGCN y el quipo de auditoría interna tiene la responsabilidad de garantizar que los planes de acción de seguimiento sean aprobados Dirección

Follow

Up!

4.1. Tratamiento de Problemas y No Conformidades

1. 1. Planificar Planificar

1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 10.1 10 Mejora 10.1 No conformidad y acción correctiva La organización deberá: a) Identificar no conformidad(es); b) Reaccionar a la falta de conformidad y, en su caso 1) Adoptar medidas para controlar, contener y corregirla, 2) Hacer frente a las consecuencias. c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad, con el fin de que no se repita o se de en cualquier otra parte d) Implementar las medidas necesarias e) Examen de la eficacia de las medidas correctivas adoptadas, f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a los efectos de las no conformidades encontradas g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.

Definiciones ISO 9000

Mejora continua

Actividad recurrente para aumentar la capacidad de cumplir con los requisitos (ISO 9000, 3.2.13)

Corrección

Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)

Acción Correctiva

Acción para eliminar la causa de una no conformidad detectada u otra situación indeseada (ISO 9000,3.6.5)

Acción Preventiva

Medidas para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable (ISO 9000, 3.6.4)

4.1. Tratamiento de Problemas y No Conformidades Lista de actividades

2 Implementación del SGCN

3.1 Medición del SGCN

4.1.2. Procedimiento d 4.1.2. acciones Procedimiento correctivas d acciones correctivas

4.1.3. Procedimiento de 4.1.3. acciones Procedimiento correctivas de acciones correctivas

3.2 Auditoría Interna

4.1.4. Planes de acción 4.1.4. Planes de acción

4.1.1 4.1.1 Proceso Proceso de resolver de resolver problemas problemas yy no no conformidades conformidades

4.2. Mejora Continua 4.2. Mejora Continua

4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas

Inicio

Definir y Verificar Causa(s)

4

Face de Planificación

0

Identificar el Problema

1

Establecer el Equipo/ Utilizar un enfoque de Equipo

2

Describir el Problema

3

Desarrollar Plan Provisional de Contención

Seleccionar las causas Probables

No

¿Es la Causa Una Causa Raíz?

Elegir/ Comprobar las Acciones Correctivas Permanentes (ACP)

5

Validar y Aplicar las ACP

6

Prevenir la recurrencia

7

Facilitar a su Equipo

8

S i Desarrollar Soluciones posibles(s)

Finalizar

Herramienta de Análisis de la Causa Raíz Diagramas de causa y efecto

Evaluaciones

El personal de TI no mide el rendimiento del prestador del servicio del sitio de la red.

No hay un procedimiento Para gestionarlo No hay formación en la sensibilización Ningún proceso establecido para tratar con sitio de la red Cuando se descompone

Gestión de

Recursos

Recursos No se siguen adecuadamente los procedimientos de actualización de la página web

Proveedor externo inadecuado Equipos Obsoleto

El personal de TI no está apropiadamente capacitado para gestionar el sitio de la red. El Sitio de la Red no funciona con frecuencia

No hay capacitación de gestión del sitio de red para sus empleados Insuficiencia de recursos para gestionar el sitio de la Red

Procedimientos

Causas Prioritarias

Haciendo las preguntas correctas Necesarias para el análisis de cualquier problema Situación Situación actual actual

Interrogatorio Interrogatorio

Seguimiento Seguimiento de de la la solución solución

Opción Opción (es) (es)

¿Qué ¿Qué se se ha ha hecho? hecho?

¿Por ¿Por qué qué es es necesario? necesario?

¿Qué ¿Qué otra otra cosa cosa podríamos podríamos hacer? hacer?

¿Qué ¿Qué se se hará? hará?

¿Cómo ¿Cómo se se hace? hace?

¿Por ¿Por qué qué se se hace hace de de esta esta manera? manera?

¿Cómo ¿Cómo hacerlo hacerlo de de manera manera diferente? diferente?

¿Cómo ¿Cómo se se hará hará esto? esto?

¿Quién ¿Quién lo lo hizo? hizo?

¿Por ¿Por qué qué esta esta persona? persona?

¿Quién ¿Quién más más podría podría hacerlo? hacerlo?

¿¿ Quién Quién lo lo hará? hará?

¿Dónde ¿Dónde se se hace? hace?

¿Por ¿Por qué qué se se hace hace en en este este lugar? lugar?

¿Dónde ¿Dónde más más podríamos podríamos hacerlo? hacerlo?

¿Cómo ¿Cómo se se hará hará esto? esto?

¿Cuándo ¿Cuándo se se hace? hace?

¿Por ¿Por qué qué se se hace hace en en este este momento? momento?

¿Podríamos ¿Podríamos hacerlo hacerlo en en otro otro momento? momento?

¿Cuándo ¿Cuándo se se va va aa hacer? hacer?

4.1.2. Procedimiento de Acciones Correctivas

Mejora Continua

Acción correctiva

Análisis situacional

Identificación de la no conformidad

Revisión y seguimiento de acciones tomadas

Implementación de soluciones y registros de las medidas tomadas

Análisis de las causas raíz

Evaluación de las opciones

Selección de soluciones

Identificación y documentación de la no conformidad

4.1.3. Procedimiento de Acciones Preventivas

La organización deberá determinar las acciones para eliminar las causas potenciales de no conformidad, de conformidad con los requisito del SGCN

Costos

Eficacia

Acciones preventivas

Acciones correctiva

4.1.1. Elaboración de Planes de Acción

Se Se puede puede escribir escribir en en forma forma resumida resumida

Deben Deben permitir permitir que que sea sea corregida corregida la la no no conformidad conformidad

Deberían Deberían basarse basarse en en un un enfoque enfoque preventivo preventivo yy correctivo correctivo

Deben Deben incluir incluir un un plazo plazo de de ejecución ejecución

Deben Deben permitir permitir la la obtención obtención de de resultados resultados verificados verificados

Presentación de los Planes de Acción tras una Auditoría

o

Se deberá presentar un plan de acción global por cada no conformidad, no un plan de acción para todas las no conformidades

o

Los planes de acción deben ser aprobados por la dirección

o El auditor analizará las causas y evaluará si la corrección especifica y las medidas correctivas adoptadas o previstas, permitirán eliminar no conformidades detectadas, dentro de un tiempo definido

Planes de Acción Ejemplo

1

Almacenar datos archivados y correos electrónicos en un servidor de archivos más fiable (2º trimestre 2008)

2

Una nueva versión de la política de CN debe ser publicada para incluir un marco para establecer objetivos (en el plazo de 2 meses)

3

Los nombres de las personas de contacto en caso de desastre deben ser explícitamente mencionados en el plan de continuidad del negocio (inmediatamente) y los procedimientos para contactar a estas personas deben ser documentados y comunicados (Tema incluido en el plan de concientización del 2009)

Ejercicio 14 Planes de acciones correctivas

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 30 Mejora continua a.

Proceso de seguimiento continuo de factores de cambio

b.

Mantenimiento y mejora del SGCN

c.

Actualización continua de la documentación y registros

d.

Documentar las mejoras

4.2. Mejora Continua

1. 1. Planificar Planificar 1.1. Planificar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación

2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)

3.1 Supervisión, medición, análisis y evaluación

2.2 Evaluación del Riesgo

4. 4. Actuar Actuar

4.1 No conformidades y acción correctiva

2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación

1.6 Política de CN

2.5 Plan y procedimientos de la

1.7 Estructura organizativa

continuidad del negocio

1.8 Información documentada

2.6 Comunicación

1.9 Competencia y sensibilización

3. 3. Verificar Verificar

2.7 Ejercicio y pruebas

3.2 Auditoría interna 4.2 Mejora continua

3.3 Revisión por la Dirección

Requisitos ISO 22301, cláusula 10 10 Mejora 10.2 Mejora Continua La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del SGCN NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación y evaluación del desempeño, para lograr mejoras.

Mejora Continua

La mejora continua es un proceso de aumento de la eficacia y la eficiencia de la organización para cumplir con sus políticas y objetivos.

En pequeños pero certeros pasos

4.2. Mejora Continua Lista de Actividades

2. Implementación del SGCN (Hacer)

3. Verificar

4.2.2. Mantenimiento y 4.2.2. mejoras Mantenimiento y mejoras

4.2.3. Actualización de la 4.2.3. Actualización documentación de la documentación

4.1. Tratamiento De problemas y no conformidades

4.2.4. Documentar las mejoras 4.2.4. Documentar las mejoras

4.2.1. 4.2.1. Supervisión Supervisión de factores de factores de de cambio cambio

Auditoría de Certificación Auditoría de Certificación

4.2.1. Proceso de Seguimiento continuo de los Factores de Cambio

Los cambios en la organización • • • •

Misión Objetivos de la empresa Presupuesto y recursos Cambios en el personal

Cambios por el SGNC

Cambios en las tecnologías

• Política de continuidad del negocio • Nuevos escenarios de riesgo • Los cambios de los procedimientos • Resultado de las pruebas y ejercicios • Resultado de la auditoría

• Hardware • Software • Los procedimientos de TI • Los procesos de TI

Los Cambios externos • Leyes y reglamentos: • Necesidades y preocupaciones de los clientes y proveedores • Proveedores de SLA • Los cambios en el entorno por ej.: los competidores

4.2.2. Mantenimiento y mejora del SGNC



El SGNC debe ser mantenido y actualizado periódicamente.

Mejora

Mantenimiento Implementación

• Las mejoras acordadas en el proceso y las acciones necesarias para mejorar el proceso deberían ser notificadas a los directores más apropiados para asegurar que ningún riesgo es pasado por alto ni subestimado antes de la aplicación de los cambios.

4.2.3. Actualización Continua de la Documentación y Registros Cambio continuo Documentación del SGCN • • • • • • • •

Política del SGCN Análisis de riesgos Estrategia Continuidad del Negocio y planes de reanudación Programa de sensibilización Programas de Educación Planificación de las actividades y los resultados. Los niveles de servicio acordados

Ejercicio • • • • • • • • • •

Evolución organizacional Nuevas reglas Cambios en el alcance del negocio Incidentes Funcionamiento defectuoso Fallos Informes de la Gestión de Riesgos Resultados de las pruebas Auditorías Internas Auditorías Externas

Revisar y adaptar

4.2.4. Documentar las Mejoras Por lo general, mediante el procedimiento de gestión del cambio Record of Changes

Page #

Change Comment

Date of Change

Signature

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 31 Preparación para la auditoría de certificación a.

Selección de la entidad de certificación

b.

Preparación para la auditoría de certificación

c.

Etapa 1 de la auditoría

d.

Etapa 2 de la auditoría

e.

Auditoría de seguimiento

f.

Decisión sobre la certificación

g.

Auditoría de vigilancia

Requisitos

ISO 22301, cláusula 4.4 Sistema de gestión de continuidad del negocio La organización deberá establecer, implementar, mantener y mejorar continuamente un SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de esta Norma Internacional.

Organismo de Certificación ISO 17021 Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión. Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas.

Lista de Actividades

Seguimiento de de Seguimiento la Auditoría la Auditoría

Auditoría Inicial Inicial Auditoría

Antes de de la la Antes Auditoría Auditoría

Proceso de Certificación

Informe de auditoría interna Revisión por la Dirección

1. Seleccionar un Organismo de 1. Certificación: Seleccionar un Organismo de Certificación:

2. Preparación de la auditoría

3. Etapa 1 de la auditoría

4. Etapa 2 de la auditoría (auditoría in situ)

5. Auditoría de seguimiento (si es necesario)

6. Decisión de Certificación

Implementación del SGCN

Mejora Continua y Auditoría de Vigilancia

Antes de la Auditoría o

Antes de ser auditado, un SGNC debe estar en funcionamiento durante un tiempo determinado

o

Por lo general, se requiere un plazo mínimo de tres meses.

o

Como mínimo, se debe haber realizado por lo menos una auditoría interna, así como una revisión por la dirección.

1. Selección de un Organismo de Certificación Principales criterios

1

Notoriedad y credibilidad

2

Presencia geográfica

3

Las referencias en su sector

4

Posibilidad de una auditoría combinada

5

Habilidades y experiencia del equipo auditor

6

Precio

El Rechazo de un Auditor

o

o

Es posible solicitar la sustitución de los miembros del equipo de auditoría por razones válidas. El equipo de auditoría podría retirarse si considera que las razones mencionadas no son válidas.

e razones d lo p m je E válidas: en encuentra e s r o it d u e • El a conflicto d e d n ió c a u una sit cial) al o poten e (r s ré te in o a mostrad h r o it d u a o • El conducta n te n e rm o ri ante l profesiona no tiene la r o it d u a l E • rida por la e u q e r n ió habilitac ditada. entidad au

2. Preparándonos para la Auditoría de Certificación Recomendaciones

Preparación para la auditoría

3. Auditoría de práctica. 3. Auditoría de práctica.

1. La Auto

evaluación 1. La Auto evaluación

2.Preparar al personal 2.Preparar al personal

3. Etapa de la auditoría

1. Visita al sitio

• Evaluación de la ubicación del cliente y las condiciones específicas del lugar. • Reunión/contacto con el personal auditado. • Observación general de las operaciones del SGCN

2.2. Entrevistas con actores claves

• Validación del alcance, así de cómo las limitaciones legales, reglamentarias y contractuales aplicables • Validación de que se han realizado las auditorías internas y las revisiones por la Dirección. • Preparación de la etapa 2 de la auditoría.

3. Revisión de documentos

• Comprensión general del funcionamiento del sistema de gestión. • Evaluación del diseño del sistema de gestión, así como de los procesos y controles relacionados.

Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.

4. Etapa 2 de la auditoría Auditoría in situ

OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA Asegurar que el SGCN: -

Cumple con todos los requisitos de la norma ISO 22301 Está eficazmente aplicado Permite que la organización logre sus objetivos de continuidad del negocio

Recomendación de Certificación

Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes relativas a la certificación: 1. Recomendación para la certificación. 2. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas sin visita previa. 3. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas con visita previa. 4. Recomendación desfavorable.

5. Realización de una Auditoría de Seguimiento ISO 17021, cláusula 9.1.12-13



Basado en las conclusiones de la auditoría, el auditor puede tener que llevar

a cabo una auditoría de seguimiento antes de que la organización sea recomendada para la certificación. •

La verificación de los planes de acción y las medidas correctivas relacionadas con las no conformidades identificadas en el informe de auditoría.

Una no conformidad mayor debería generalmente implicar una auditoría de seguimiento.

6. Decisión sobre la Certificación ISO 17021, cláusula 7.5.2 y 9.2.5.1

El organismo de certificación debe tomar la decisión de certificación basado en:  Una evaluación de los resultados y conclusiones de la auditoría.  Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)

Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.

6. Decisión sobre la Certificación ISO 17021, cláusula 7.5.2 y 9.2.5.1

El organismo de certificación debe tomar la decisión de certificación basado en:  Una evaluación de los resultados y conclusiones de la auditoría.  Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)

Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.

Elementos a Auditar durante una Auditoría de Vigilancia ISO 17021, cláusula 9.3.2

Gestión del Cambio

Planes de Acción

Auditoría Interna

Revisión por la Dirección

La auditoría se centra principalmente en la mejora continua, y en el seguimiento de los planes de acción.

La auditoría de vigilancia tiene por objeto garantizar que el SGCN sigue siendo implementado y está mejorando.

Mejora Continua

Reclamos Y Sugerencias

Control de las Operaciones

Efectividad y métricas

Utilización de marcas registradas

Auditoría de Re Certificación ISO 17021, cláusula 9.4



Una auditoría de re certificación deberá ser planificada y realizada para evaluar el cumplimiento continuo de todos los requisitos cada tres años.



La auditoría de re certificación tendrá en cuenta el rendimiento del sistema de gestión durante el periodo de certificación, y deberá incluir la revisión de los anteriores informes de auditoría de vigilancia.



La duración de una auditoría de re certificación debería ser de 2/3 del tiempo dedicado a la auditoría inicial

Uso de los Órganos de Certificación y las Marcas Registradas ISO ISO 17021, cláusula 8.4.1.



Una organización certificada está autorizada para exhibir públicamente su certificación y para su uso con fines de comercialización



La certificación no se puede mostrar directamente en un producto o de una manera que conduzca a creer que el producto está certificado.



El organismo de control proporcionará a la entidad auditada un logotipo que se puede utilizar para la comercialización.

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 32 Competencia y evaluación de un Implementador Líder

a.

Las competencias de un implantador

b.

Esquema de certificación de PECB

c.

Solicitud de auditoría

d.

Mejora continua de las competencias

Definiciones de Competencia ISO 9000, cláusula 3.1.6 Contexto

 Capacidad Capacidad demostrada demostrada

para para aplicar aplicar conocimientos conocimientos yy habilidades habilidades

Habilidades de conducta a tic ac r P

nte

Conocimientos de

Competencia

Competente

Conocimiento De se m

to ex nt Co

Habilidades

pe ño

xto e t n Co

Habilidades de Conducta

Habilidades de Conducta Habilidades de Conducta 1. Integridad

5. Perceptivo

10. Responsable

2. Mente abierta

6. Versátil

11. Abierto a la mejora

3. Diplomático 4. Observador

Describe en detalle cómo se llevan a 7. Tenaz Cabo las tarea y actividades

12. Culturalmente sensible

8. Decisivo 9. Auto suficiente Proporciona la evidencia objetiva del Cumplimiento de los requisitos de la norma

13. Colaborador

Esquema de Certificación de PECB para la ISO 22301 Resumen de requisitos

Examen ISO 22301 Fundamentos

ISO 22301 Auditor Líder

ISO 22301 Implementador Líder

AL ISO 22301 + IL ISO 22301

Credencial Profesional

Experiencia Profesional

Experiencia auditoría de SGCN

Experiencia Proyecto de SGCN

ISO 22301 Fundamentos

---------------

-------------

-------------

ISO 22301 Auditor Provisional

--------------

------------

-------------

2 Años (1 en continuidad del negocio)

200 horas

ISO 22301 Auditor Líder

5 Años (2 en continuidad del negocio)

300 horas

------------

Implementador Provisional ISO 22301

------------

------------

------------

ISO 22301 Implementador

2 Años (1 en continuidad del negocio)

------------

200 horas

ISO 22301 Implementador Líder

5 Años (2 en continuidad del negocio)

------------

ISO 22301 Master

10 años (6 en continuidad del negocio)

500 horas

ISO 22301 Auditor

------------

300 horas 500 horas

Proceso de la Certificación de PCEB

1. Examen PECB

2. Certificado CPD

1. Examen PECB

2. Certificado CPD

5. Evaluación de su solicitud 5. Evaluación de su solicitud

6. Certificación 6. Certificación

3. Resultados del examen 3. Resultados del examen

7. Mantenimiento de la certificación 7. Mantenimiento de la certificación

4. 4. Solicitud Solicitud de de certificación certificación

GRACIAS

Docente: Ing. Manuel Castillo Fernández 453

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF