iso22301
Short Description
Download iso22301...
Description
NORMAS ISO/IEC 22301 2016 Docente: Ing. Manuel Castillo Fernández 1
Agenda de la Semana
Día Día 1 1
Introducción a a la la norma norma ISO ISO 22301 22301 y y el el Introducción inicio inicio De un un SGCN SGCN De Planificar la la implementación implementación del del SGCN SGCN Planificar
Día Día 2 2
Día 3 3 Día
Despliegue del del SGCN SGCN Despliegue Monitoreo del del SGCN, SGCN, mejora mejora continúa continúa y y Monitoreo Preparación para para la la auditoría auditoría de de Preparación certificación certificación Examen final final Examen
Capacitación del Implementador Líder Certificado en la norma ISO 22301 Sección 2 Estándar y marco normativo
a. b. c. d. e.
¿Qué es la ISO? Principios fundamentales de la ISO Normas de sistemas de gestión Sistema de gestión integrado Normas de Continuidad del Negocio f. ISO 22301 e ISO 27001 g. Ventajas de la ISO 22301
¿Qué es ISO?
•
ISO es una red de organismos nacionales de estandarización de más de 160 países
•
Los resultados finales de los trabajos publicados como normas internacionales
•
Se han publicado más de 19000 normas desde 1947
realizados
por ISO son
Principios Básicos – Normas ISO
1.
1. Representación igualitaria: 1 voto por
país 2. Adhesión voluntaria: ISO no tiene la autoridad PRINCIPI para forzar la adopción de sus normas OS Básicos 3. Orientación al negocio: ISO sólo de desarrolla normas para existe demanda del mercado las Normasa 4. Enfoque de consenso: busca un amplio ISO consenso entre las distintas partes interesadas 5. Cooperación internacional: más de 160 países además de organismos de enlace
Los Ocho Principios de Gestión de la ISO
Enfoque en el
cliente Liderazgo Enfoque del Sistema para la gestión
Participación de Las personas Enfoque en los procesos
Mejora continua Enfoque basado en hechos para la Toma de decisiones
Relaciones Mutuamente Beneficiosas con el proveedor
Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar certificada ISO 9001 Calidad
ISO 22000 Sanidad Alimentaria
OHSAS 18001
ISO 14001 Medioambiente
Salud y Seguridad en
el trabajo
ISO 22301
ISO 27001
Continuidad del Negocio
Seguridad de la
Información
ISO 20000 Servicios de TI
ISO 28000 Seguridad de la Cadena de
Suministro
Sistema de Gestión Integrado Estructura típica de las normas ISO ISO 9001:2008
ISO 14001:2004
ISO 20000:2011
ISO 22301:2012
ISO 27001:2005
5.4.1
4.3.3
4.5.2
6.2
4.2.1
Política del sistema de gestión
5.3
4.2
4.1.2
5.3
4.2.1
Compromiso de la Dirección
5.1
4.4.1
4.1
5.2
5
Requisitos de Documentación
4.2
4.4
4.3
7.5
4.3
Auditoria interna
8.2.2
4.5.5
4.5.4.2
9.2
6
Mejora continua
8.5.1
4.5.3
4.5.5
10
8
Revisión por la Dirección
5.6
4.6
4.5.4.3
9.3
7
Requisitos
Objetivos del sistema de gestión
ISO 22301
• Especifica los requisitos de gestión de un SGCN • Los requisitos (cláusulas) son escritos utilizando el verbo “deberán” en imperativo • Integrar el modelo PDCA (PLAN, DO, CHECK Y Act) • Auditable • La organización puede ser certificada en esta norma
INTERNATIONAL ISO STANDARD 22301 _______________________________________________ Societal security- Business continuity Management Systems –Requirements
_________________________________________________
ISO 22301 Contenido Sección 1
Ámbito de aplicación
Sección 2
Referencias normativas
Sección 3
Términos y definiciones
Sección 4
Contexto de la organización
Sección 5
Liderazgo
Sección 6
Planificación
Sección 7
Apoyo
Sección
Funcionamiento
ISO 22313
• Guía para el código de buenas prácticas para implementar, mejorar un Sistema de Gestión de la Continuidad de los Negocios (Documento de referencia). • Cláusula escrita utilizando el verbo “debería” a fin de proporcionar orientación en materia de aplicación. • La organización no puede ser certificada en esta norma
INTERNATIONAL ISO STANDARD 22313 _______________________________________________ Societal security-Business continuit Management Systems –Gidance _________________________________________________
Historia de la norma ISO 22301 1988 – 2013 2013 2012 2007 2006 2003 2002 1984
1988
Creación del DRI Internacional conocido originalmente como Disaster Recovery Institute (Instituto de Recuperación ante Desastres)en los EEUU
Creación del Business Continuity Institute (BCI) en el Reino Unido
Publicación de la norma BS 25999-1 Publicación de PAS 56
BCI publica Guías de Buenas Prácticas de la GCN
Publicac ión de la norma BS 25999-2
ISO publicó la primera versión de la norma ISO 22301
ISO publica la primera versión de la norma ISO 22313
Otras Normas sobre Continuidad del Negocio Ejemplos
ISO 24762
NIST 800-34
ISO 27031
Norma NFPA 1600
El Contenido y la Relación entre ISO 22301 e ISO 27001 ISO 27001, A. 14: Gestión de Continuidad del Negocio A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna Control
A.14.1.1
Incluir seguridad de l Información en el proceso de Gestión de la continuidad del negocio
Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.
ISO 22301 Requisitos Continuidad del negocio 4.4 sistema de gestión
8.2 AIN y la Evaluación de los riesgo
Control
A.14.1.2
Continuidad del negocio y evaluación del riesgo
Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Control
A.14.1.3
Desarrollo e implementar Planes de continuidad Incluyendo seguridad de la información
Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falta en los procesos de negocios críticos.
8.4 Procedimientos de la continuidad del negocio
6 Planificación del
SGCN
Control
A.14.1.4
Marco referencial para la Planeación de la continuidad Del negocio
Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar las prioridades de pruebas y mantenimiento. Control
A.14.4.5
Prueba mantenimiento
8.5
Ejercicio y pruebas
Ejercicio 1 Mitos y Realidades – Continuidad del Negocio
Continuidad del Negocio Ventajas Previsible y eficaz respuesta a las crisis
Protección de las personas
Mantenimiento de las actividades esenciales de la organización
Mejor comprensión de la organización
Reducción de costos:
Respeto de las partes interesadas
Protección dela reputación y la marca
Confianza de los clientes
Ventaja competitiva
El cumplimiento de los requisitos legales
Cumplimiento de normativas
Cumplimiento de los contratos
Capacitación del Implementador Líder Certificado en la norma ISO 22301 Sección 3 Sistema de Gestión de la Continuidad del Negocio (SGCN)
a. b. c. d.
Definición de un SGCN Enfoque en los procesos Visión general – Cláusulas 4 a 10 Los componentes claves de un SGCN
¿Qué es la Continuidad del Negocio? Proceso impulsado por el negocio que establece un marco Estratégico y táctico de ajuste a los objetivos que:
1
Mejora la organización pro activa de resistencia contra la interrupción de su capacidad de lograr sus objetivos clave
2
Proporciona un método ensayado para restaurar la capacidad de una organización para garantizar el suministro de sus productos y servicios clave después de una interrupción
3
Proporciona una capacidad demostrada para gestionar una interrupción del negocio y proteger la reputación de la organización y de la marca
Gestión de Continuidad del Negocio ISO 22301, cláusula 3.4: Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación de valor
Nota: Nota: El El sistema sistema de de gestión gestión incluye incluye la la estructura, estructura, las las políticas, políticas, las las actividades de planificación, las responsabilidades, actividades de planificación, las responsabilidades, Las Las prácticas, prácticas, los los procedimientos, procedimientos, Los Los procesos procesos yy los los recursos recursos de de la la organización organización
Los componentes claves de un SGCN
ISO 22301, Introducción Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales : 1. Una política 2. Personas con responsabilidades definidas; 3. Procesos de gestión asociados con: - Política - Planificación - Implementación y operación - Evaluación del rendimiento - Revisión por la Dirección - Mejora 4. Documentación que provea pruebas auditables 5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización
El ciclo Planificar – Hacer – Verificar – Actuar (PHVA) ISO 22301, Introducción
Establecer un SGCN
Actuar Requerimientos expectativas de la Continuidad del Negocio
Partes Interesadas
Planificar
Partes Interesadas
Hacer
Mantener y Mejorar el SGCN
Implement ar El SGCN Supervisar y Revisar el SGCN
Verificar
Continuidad del Negocio Gestionada
Requisitos generales ISO 22301
En resumen La organización deberá establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimien to de la organización y su entorno
2. Determinar las necesidade sy requisitos
3. Implementar y Administrar un SGCN
Contexto de la organización ISO 22301, cláusula 4
Conocimiento de la Organización y su entorno
Comprensión de las Necesidades y Expectativas de las Partes interesadas
Determinar el Alcance del SGCN
•Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas. •Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas •El apetito de la organización por el riesgo •Las necesidades de las partes interesadas que son pertinentes para el SGCN •Los requisitos de estas partes interesadas •Requisitos jurídicos y normativos
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance •A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y externas y los requisitos
Liderazgo y Compromiso de la Dirección ISO 22301, cláusula 5.1 y 5.2 Orientación estratégica • Asegurarse de que el SGCN es compatible con la orientación estratégica de la organización • Integrar los requisitos del SGCN en los procesos de negocio de una organización
Hacer que los recursos estén disponibles • La Dirección deberá determinar y proporcionar los Recursos necesarios para el SGCN
Comunicación • Dirección deberá comunicar la importancia de una buena Gestión de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN
Política de Continuidad del Negocio ISO 22301, cláusula 5.3: La alta dirección debe establecer una política de continuidad del negocio que: •
- Sea apropiada para los fines de la organización - Proporcione un marco para establecer objetivos de continuidad del negocio - Incluya un compromiso de cumplir los requisitos aplicables - Incluya un compromiso de mejora continua del SGCN
• La política del SGCN deberá: -
Estar disponible como información documentada Ser comunicada dentro de todas las partes interesadas, según corresponda Ser revisada para su adecuación continuada a intervalos definidos y cuando se reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades ISO 22301, cláusula 5.4: La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización. •
• La alta gerencia deberá asignar la responsabilidad y autoridad para: -Garantizar que el sistema de gestión se ejecuta en conformidad con los los requisitos de la norma ISO 22301. -Informar sobre la eficacia de la gestión a la alta dirección.
Los Objetivos y los Planes para Alcanzarlos ISO 22301, cláusula 6.2: • La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organización • Los objetivos deberán: a) Ser coherentes con la política de continuidad del negocio b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar sus objetivos c) Ser mensurables d) Tener en cuenta los requisitos aplicables e) Ser monitoreados y actualizados según proceda
Apoyo ISO 22301, cláusula 7: La organización deberá determinar y proporcionar los recurso necesarios para el SGCN
Recursos
Compete ncia La organización Deberá asegurar Tener personas Competentes para realizar las tareas relacionadas con el SGCN
Las personas que realizan Trabajo en el marco del Control de a organización Deberán ser conscientes De la política de la CN, Sus funciones en el SGCN Y los requisitos para la organización
Sensibilizaci ón
El SGCN de la Organización deberá Incluir información Documentada requerida Por la ISO 22301 y Registros para demostrar La eficacia del SGCN
Comunicaci ón
La organización deberá Establecer, implementar y mantener mecanismos De comunicación con las partes interesadas internas y externas
Documenta ción
Información documentada •
ISO 22301, cláusula 7.5:
9. Disposición 1. Creación 8. Archivado
7. Uso adecuado
2. Identificación
3. Clasificación
6. Distribución 4. Modificación 5. Aprobación Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Análisis del impacto en el Negocio y Evaluación de los Riesgos ISO 22301, cláusula 3.50 y 8.2
Proceso de análisis de las funciones del negocio y del efecto que una interrupción del negocio podría tener sobre dichas funciones
Análisis de Impacto en el Negocio
Evaluación de riesgo
Proceso general de identificación, Análisis y Evaluación de riesgos
Estrategia de Continuidad del Negocio ISO 22301, cláusula 8.3 La organización deberá determinar las opciones apropiadas de continuidad para:
A) Proteger las actividades prioritarias
C) Mitigar, responder a los impactos y gestionarlos
B) Estabilizar, continuar, reanudar y recuperar actividades prioritarias
Establecer y Aplicar Procedimientos de Continuidad del Negocio ISO 22301, CLÁUSULA 8.4.1 La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial os en Cas a t s e u La resp rgencia y la de Eme de Crisis n Gestió
Contingencia
Recuperación y Restauración
Protecció n
y mitigac ión
Ca y pac ita Co ció n ón ncie nc iac i
Generalidades Generalidades ••La La organización organización deberá deberá establecer, implementar establecer, implementar yy mantener mantener procedimientos procedimientos de de continuidad continuidad del del negocio negocio para para gestionar un incidente gestionar un incidente perjudicial perjudicial yy continuar continuar sus sus actividades sobre la base actividades sobre la base de de objetivos objetivos de de recuperación recuperación identificados identificados en en el el análisis análisis del impacto en el negocio del impacto en el negocio
Ejercicios y Pruebas ISO 22301, cláusula 8.5
La organización deberá ejercitar y Probar sus Procedimientos de Continuidad del negocio para garantizar que son Coherentes con sus Objetivos de Continuidad del negocio
Evaluación del desempeño ISO 22301, cláusula 9
1.
2.
Revisión del ejercicio y la prueba de los procedimientos de continuidad, después de los informes sobre incidentes.
Revisión periódica de la eficacia del SGCN teniendo en cuenta las proposiciones y sugerencias de los interesados.
6.
Revisión de la gestión y actualización de los planes de continuidad del Negocio y de los Procedimientos.
5. Realización de las auditorias internas.
Monitoreo y revisión del SGCN
3.
Medición de la eficacia de los procedimientos
4. Revisión de las evaluaciones De riesgo y del AIN.
Nota: Cada una de estas acciones debe ser documentada y registrada.
Mejora ISO 22301, cláusula 10 •
La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.
•
La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño, para lograr la mejora.
Capacitación Implementador Líder Certificado en la norma ISO 22 301 Sección 4 Principios fundamentales de la continuidad del negocio a.
Continuidad de negocio y recuperación de desastres
b.
Evento: de un incidente a una emergencia
c.
Organización y actividades prioritarias
d.
Procesos y recursos
e.
Probabilidad, consecuencia e Impacto
f.
Interesados (partes interesadas)
g.
Resiliencia
Continuidad del Negocio y Recuperación ante Desastres Diferencias Continuidad del Negocio Asegurar que el negocio Pueda continuar durante Una emergencia Los Objetivos son: •En primer lugar, el capital Humano de la empresa •Entrega de productos o prestación de servicios a los clientes de la empresa •Funciones críticas del negocio en la empresa
Recuperación ante desastres Recuperar la “tecnología” Lo más rápidamente posible. Se incluyen: • Los Datos, el hardware y el software necesarios para reanudar las operaciones Críticas de la empresa •Un plan de recuperación ante desastres (DRP) también incluye la elaboración de planes para hacer frente a la inesperada o repentina pérdida de personal clave •En un PCN, es uno de los aspectos del plan
COMUNICACIONES & RRPP
SEGURIDAD
RECURSOS HUMANOS
GESTIÓN DE CRISIS
SALUD Y SEGURIDAD
GESTIÓN DEL MEDIO AMBIENTE
GESTIÓN DE CALIDAD
GESTIÓN DE LA CADENA DE SUMINISTRO
ADMINISTRACIÓN DE LAS INSTALACIONES
RECUPERACIÓN DE TI ANTE DESASTRE
GESTIÓN ANTE UNA EMERGENCIA
GESTIÓN DE RIESGO
Participación de todos los elementos de la organización
La Gestión de Continuidad del Negocio Está en relación con:
Evento: de incidente a una Emergencia Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399 Evento (ISO 22301, 3.17)
Interrupción (ISO 22399. 3.4
• Ocurrencia de un conjunto particular de circunstancias.
• Evento que pudiera constituir o pudiera redundar en una interrupción del negocio, en una pérdida, emergencia o crisis.
Incidente (ISO 22301, 3.19)
• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
Crisis (ISO 22399, 3.3)
• Cualquier incidente(s), causado por los humanos o causas naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
Desastre (ISO 22300, 2.
•Situación en la que se han producido amplias pérdidas humanas, materiales, económicas o ambientales que superaron la capacidad de la organización, la comunidad y la sociedad afectadas para responder y recuperarse utilizando sus propios recursos.
Emergencia (ISO 22399, 3.6)
• Suceso o evento repentino, urgente, generalmente inesperado que requiere acción inmediata.
Organización y Actividades ISO 22301, CLÁUSULA 3.1,3.33 y 3.42 Organización (3.33) (3.33) Organización Persona Persona oo grupo grupo de de personas personas que que tiene tiene sus sus propias propias funciones funciones con con responsabilidades, responsabilidades, autoridades autoridadesyyrelaciones relaciones para para lograr lograrsus sus objetivos. objetivos.
Actividad (3.1) (3.1) Actividad Proceso Proceso oo conjunto conjunto de de procesos procesos acometidos acometidos por por una una organización organización (o (o en en su su nombre) nombre) que que producen producen oo dan danapoyo apoyo aauno unooo más más productos productos yyservicios. servicios.
Actividades Prioritarias Prioritarias (3.42) (3.42) Actividades Las Las actividades actividades aa las las que que deben deben darse darse prioridad prioridad tras trasun unincidente incidente con con el el fin finde demitigar mitigarlos losimpactos. impactos.
Proceso ISO 22301, cláusula 3.40 Conjunto de actividades mutuamente relacionadas o que interactúan, que transforman elementos de entrada en resultados.
Entrada
Actividades
Salida
Recurso ISO 22301, CLÁUSULA 3.47
Recursos ••Todos Todos los los archivos, archivos, personal, personal, habilidades, información, habilidades, información, tecnología tecnología (incluyendo (incluyendo maquimaquinaria y equipos), locales, yy naria y equipos), locales, suministros suministros ee información información (ya (ya sea electrónica o no) que una sea electrónica o no) que una organización organización debe debe tener tener dispodisponibles para uso, cuando nibles para uso, cuando sea sea necesario, para operar yy necesario, para operar cumplir cumplir sus sus objetivos. objetivos.
Las Personas
Activos
Información Información
Locales
Tecnologías
Suministros
Locales
Tecnologías
Suministros
Riesgo ISO 22301 Riesgo Riesgo (3.48) (3.48) Efecto Efecto de de incertidumbre incertidumbre sobre sobre los los objetivos objetivos
Apetito por por el el riesgo riesgo (3,49) (3,49) Apetito Cantidad Cantidadde de riesgo riesgo que que una una organización organización está está Dispuesta Dispuesta aa conseguir conseguiroo conservar conservar
Evaluación de de Riesgo Riesgo (3.50) (3.50) Evaluación Proceso Procesogeneral generalde de identificación, identificación, análisis análisis yy Evaluación Evaluación de de riesgos. riesgos.
Gestión del del riesgo riesgo (3.51) (3.51) Gestión Actividades Actividades coordinadas coordinadas para para dirigir dirigiryycontrolar controlar Una Unaorganización organizacióncon con respecto respecto al alriesgo riesgo
R I S K K
Probabilidad, Consecuencia e Impacto ISO 22399 Probabilidad Probabilidad (3.28) (3.28) Grado Grado al al que que es es probable probable que que se se produzca produzca un un evento evento
Consecuencia Consecuencia (3.2) (3.2) Resultado Resultado de de un un evento evento
Impacto Impacto (3.10) (3.10) Consecuencia Consecuencia evaluada evaluada de de un un resultado resultado en en particular particular
Parte interesada (interesados) ISO 22301, CLÁUSULA 3.21: Persona u organización que puede afectar, pueden verse afectados por, o se consideran afectados por una decisión o actividad Instituciones financieras
Proveedores
Consejo de Administraci ón
Clientes
Grupos Interesados
Equipo de Gestión Organizaci ón
Empleado s
Regulador
Medios
Sindicatos
Público
Accionistas
Resilencia ISO 22300, cláusula 2.1.17
Resilen cia
Capacidad de adaptación de una organización en un ambiente complejo y cambiante
Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 5 Iniciando la implementación del SGCN
a.
Enfoque para la implementación del SGCN
b.
Metodología de implementación del SGCN
c.
Alimentación con las mejores prácticas
Requisitos ISO 22301, cláusula 5.4:
5.4 Funciones organizativas, responsabilidades y autoridades La alta gerencia deberá asigna la responsabilidad y autoridad para : Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional
1.1. Iniciando la Implementación del SGCN Lista de actividades
Intención de Implementar Intención de un SGCN Implementar un SGCN
1.1.1 Definición del 1.1.1 enfoque para Definición del la enfoque para implementació la n implementació n
1.1.2. Selección de un1.1.2. marco Selección de metodológico un marco metodológico
1.1.3. Alineación Con las mejores Prácticas
1.2. Comprensión 1.2. De la Comprensión organización De la organización
1.1.1. Definición del Enfoque de Aplicación del SGCN Posibles Enfoques 2. Nivel de madurez de los Procesos en uso
3. Expectativas y alcance
1. Velocidad de implementación
Enfoque Propuesto Directrices 1. Enfoque del negocio Se integra en el contexto de las actividades comerciales a través de la organización
2. Enfoque de sistemas La aplicación general del proceso de SGCN, no mediante al aislamiento de los procesos
5. Método iterativo La rápida Implementación del SGCN respetando lo Requisitos mínimos y Cambiar a mejora Continua a partir de entonces
Directrices
3. Enfoque Sistemático
4. Enfoque Integrado Integración del SGCN o armonizarlo con los demás requisitos de la organización
Aplicar las mejores prácticas en gestión de proyectos
Las Directrices de Aplicación Recomendaciones 1. 2. 3. 4. 5. 6.
Evitar la integración de nuevas tecnologías Integrar el DGCN en los procesos existentes Aplicar los principios de mejora continua Involucrar a los participantes en la organización Obtener el apoyo de la Dirección Identificar y formalmente nombrar a un Director del proyecto del SGCN
1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de Implementación del SGCN
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto al Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del negocio
1.4 Alcance 1.5 Liderazgo y planificación
2.3 Estrategia de Continuidad del Negocio
1.6 Política de CN
2.4 Medidas de Presentación & Mitigación
1.7 Estructura de la organización
2.5 plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia & sensibilización
2.7 Ejercicio y pruebas
3.1 Seguimiento, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Metodología de Implementación Integrada para los Sistemas de Gestión y las Normas (IMS) Metodología de PECB para la aplicación del SGCN 4 FASES
Planificar
Proyecto Del SGCN
Hacer
Verificar
Actuar
21 Pasos
101 actividades
Tareas sin definir
Enfoque y Metodología Basado en las mejores prácticas
ISO 10006 Directrices para la gestión de calidad en proyectos
PMBOK Conjunto de Conocimientos de la gestión de Proyectos (PMBOK en idioma inglés
22313 Orientación para la Implementación del sistema de gestión de Continuidad del Negocio
1.1.3. Alineación con las Mejores Prácticas Uso de las normas ISO
ISO 22301
ISO 27031
ISO 24762
ISO 223
01
ISO 22313
ISO 27001 ISO XXXX X
Ejercicio 2 Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN
Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 6 Comprensión de la organización
a. b. c. d.
Comprensión de la organización Identificación y análisis de las partes interesadas Identificación y análisis de los requisitos y expectativas Definición preliminar del alcance
1.2. Comprensión de la organización
1. Planificar
2. Hacer
3. Verificar
4. Actuar
3.1 Seguimiento, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
1.1. Inicio del SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto al Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del negocio
1.4 Alcance 1.5 Liderazgo y planificación
2.3 Estrategia de Continuidad del Negocio
1.6 Política de CN
2.4 Medidas de Presentación & Mitigación
1.7 Estructura de la organización
2.5 plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia & sensibilización
2.7 Ejercicio y pruebas
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos ISO 22301, cláusula 4.1: Comprensión de la organización y su entorno La organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que afectan su capacidad de alcanzar los resultados esperados de su SGCN. Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN. La organización deberá identificar y documentar lo siguiente: a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial; b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas incluyendo su estrategia global de gestión de riesgos. c) El apetito por el riesgo de la organización. Para establecer el contexto, la organización deberá: 1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio, 2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo. 3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y 4) Definir el objetivo del SGCN.
1.2. Comprensión de la organización Lista de actividades 1.2 Comprensión de la organización
1.1 1.1 Iniciar Iniciar el el SGCN SGCN
1.2.1 1.2.1 Misión Misión objetivos, objetivos, valores valores estrategias estrategias
1.2.2 1.2.2 Entorno Entorno externo externo
1.2.3 1.2.3 Entorno Entorno interno interno
1.2.4 1.2.4 proceso proceso yy actividades actividades
1.2.5 1.2.5 Infraestructura Infraestructura
1.2.6 1.2.6 Partes Partes interesadas interesadas
1.2.7 1.2.7 Requisitos Requisitos del negocio del negocio
1.2.8 1.2.8 Apetito Apetito por por el riesgo y el riesgo y criterios criterios de de riesgo riesgo
1.2.9 1.2.9 Alcance Alcance Preliminar Preliminar
1.3 1.3 Análisis Análisis de brechas de brechas
1.4 1.4 Alcance Alcance
1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias
Misión Misión
Valores Valores
Estrategias Alineamient o
Estratégico
Los Los objetivos objetivos De De Continuidad Continuidad del del Negocio Negocio
Objetivos
Políticas Corporativas
Políticas de Continuidad del Negocio
1.2.2. Análisis del Ambiente Externo
Consejos Consejos Prácticos Prácticos Fortalezas
Debilidades
••La La ISO ISO 22301 22301 no no ofrece ofrece enfoques enfoques prácticos prácticos para para analizar analizar el el contexto contexto de de una una organización organización ••Existen Existen varias varias metodologías metodologías para para entender entender cómo cómo funciona funciona una una organización organización
Oportunidades
Amenazas
••Lo Lo importante importante es es identificar identificar las las características características de de los los factores factores ambientales ambientales internos internos yy externos externos que que influyen influyen en en la la gestión gestión de de la la continuidad continuidad del del negocio: negocio: misión, misión, actividades actividades principales, principales, organización organización interna, interna, partes partesinteresadas, interesadas, ttc. ttc.
1.2.3. Análisis del Entorno Interno Estructura organizativa y actores claves
Comprender Comprender la la estructura estructura yy los los principales actores de la principales actores de la organización organización relacionados relacionados con con el el ámbito ámbito de de aplicación aplicación en en los los planos: planos: Estratégico Estratégico (¿Quién (¿Quién establece establece las las orientaciones orientaciones estratégicas?) estratégicas?) Gobierno Gobierno (¿Quién (¿Quién coordina coordina yy gestiona gestiona las las operaciones?) operaciones?) Operacional Operacional (¿Quién (¿Quién participa participa en en las las actividades actividades de de producción producción yy apoyo?) apoyo?)
1.2.4. identificación de los Principales Procesos y Actividades
1. 3. Activos de Información Claves ¿Cuáles son los Activos de información Claves de la Organización?
Oferta de Productos y servicios
¿Cuáles son los bienes y Servicios producidos por la organización?
2. Procesos de Negocios ¿Cuáles so los Procesos claves que Permiten a la Organización cumplir Con su misión?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni un inventario detallado de activos, sino sólo establecer una lista general
1.2.5. Identificación de la Infraestructura ISO 22301, cláusula 3.20 Infraestructura: Sistema de instalaciones, equipos y servicios Necesarios para el funcionamiento de una organización Categoría
Ejemplos
(Ejemplo)
Sitios Utilidades Equipo industrial Servicio Transporte
Oficinas, centro de datos, residenciad e los empleados, áreas seguras, Sitio de fabricación, etc. Electricidad, gas, aire acondicionado, control de humedad, etc. Almacenamiento y manejo de equipos, cintas transportadoras, robots industriales, Contabilidad, recursos humanos, compras, logística, etc. Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.
telecomunicaciones
Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnología de la información
Servidor, ordenador portátil, red, sistema operativo, software de contabilidad, etc.
1.2.6. Identificación y Análisis de las Partes Interesadas Análisis de sus necesidades y expectativas
1. Identificar las Necesidades y expectativas
•• Identificar Identificar las las necesidades necesidades
yy expectativas expectativas de de todas todas las las partes partes interesadas interesadas •• Las Las necesidades necesidades yy expectativas expectativas puedes puedes ser ser implícitas implícitas oo explícitas explícitas •• Ejemplo: Ejemplo: la la tasa tasa de de disponibilidad disponibilidad del del servicio servicio del 99,5% del 99,5%
2. Validar las necesidades y expectativa ••Analizar Analizar las las necesidades necesidades de de seguridad si seguridad yy confirmar confirmar si responde a las responde a las preocupaciones de preocupaciones de la la organización en este momento organización en este momento •• Se Se puede puede hacer hacer mediante mediante el el envío de un cuestionario, envío de un cuestionario, realizando realizando entrevistas entrevistas oo facilitar facilitar grupos grupos de de enfoque enfoque
3. Identificar roles y responsabilidades
•• Definir Definir lo lo que que se se espera espera de de las las diferentes diferentes partes partes interesadas interesadas en el proyecto: las en el proyecto: las ff unciones, unciones, las las responsabilidades responsabilidades yy los los niveles de participación que niveles de participación que se se necesita necesita •• Establecer Establecer un un consenso consenso con con ellos ellos durante durante la la etapa etapa de de planificación de su planificación de su participación participación
Partes Interesadas Influencia positiva y negativa Partes Partes interesadas interesadas negativas negativas ••Por Por estas, estas, el el SGCN SGCN podría podría tener tener un un impacto impacto •• negativo negativo ••Ejemplo: Ejemplo: un un departamento departamento de de recursos recursos humanos humanos involucrado involucrado en en la la implementación implementación del del SGCN SGCN sufrirá sufrirá una una pesada pesada carga carga con con la la documentación documentación de de los los expedientes expedientes de de los los empleados empleados
Partes Partes interesadas interesadas negativas negativas •• Los Los que que se se beneficiarían beneficiarían del del SGCN SGCN •• Ejemplo: Ejemplo: los los clientes clientes de de una una empresa empresa de de servicios de TI servicios de TI
Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN
Legal y Regulatorio Todas las leyes y reglamentos con los debe cumplir la organización
Externos
1.2.7. Identificación y Análisis de los Requisitos del Negocio
Obligatorios
Voluntarios
Políticas Internas
Internos
Mercado Todas las obligaciones contractuales que la organización ha firmado con sus partes interesadas
Estándares Las normas internacionales Y códigos de prácticas relacionados con el sector, que son voluntariamente Implementados por la organización
Todos los requisitos dentro de la organización: las políticas internas, el código de ética, normas de trabajo, etc.
Cumplimiento de los Requisitos Legales
• La organización debe cumplir con las leyes y reglamentos aplicables • En la mayoría de los países, la aplicación de una norma ISO es una decisión voluntaria de la organización, no una condición jurídica • Las organizaciones que operan en varios lugares a menudo tienen que satisfacer las necesidades de las diferentes jurisdicciones • En todos los casos, las leyes tienen precedencia sobre las normas
22301 a O S I d La utiliza r e s e Pued umplir con Para c leyes y Varias aciones riz regula
Leyes y Reglamentos
Requisitos Requisitos para para los los registros registros electrónicos electrónicos
Requiere Requiere que que los los bancos bancos tengan tengan planes de CN y RD para garantizar planes de CN y RD para garantizar el el funcionamiento funcionamiento continuo continuo yy con con el el fin de limitar las pérdidas fin de limitar las pérdidas Requiere Requiere que que los los planes planes de de Continuidad del Negocio (PCN) Continuidad del Negocio (PCN) se se actualicen y prueben para actualicen y prueben para incorporar incorporar los los riesgos riesgos detectados detectados
Gobierno
Requiere Requiere plan plan de de copia copia de de seguridad seguridad de de datos, datos, plan plan de de recuperación ante desastres recuperación ante desastres yy un un plan plan de de operación operación en en el el modo modo de de emergencia emergencia
Utilidades
Finanzas Finanzas
Asistencia sanitaria
Los cuatro sectores de la industria más afectados
Requiere Requiere plan plan de de copia copia de de seguridad seguridad de de datos, datos, plan plan de de recuperación ante desastres y un recuperación ante desastres y un plan plan de de operación operación en en el el modo modo de de emergencia emergencia Requisitos Requisitos para para los los registros registros electrónicos electrónicos
Requiere Requiere un un PCN PCN para para garantizar garantizar que la continúa misión que la continúa misión de de la la agencia durante una crisis agencia durante una crisis Se Se requieren requieren planes planes de de restauración restauración de de emergencia emergencia como como condición condición para servicios continuados para servicios continuados
1.2.8. Determinación del Apetito por el Riesgo y los Criterios de Riesgo ISO 22301, cláusula 3.49 y 4.1 80
5. Hambriento
70 Apetito Apetito por por el el Riesgo Riesgo Definición: Definición: Cantidad Cantidad yy tipo tipo de de que una organización está que una organización está dispuesta dispuesta aa conseguir conseguir oo conservar conservar Es Es el el nivel nivel de de riesgo riesgo que que una una organización está dispuesta organización está dispuesta aa aceptar, aceptar, antes antes de de que que la la acción acción es es considerada para considerada necesaria necesaria para reducirlo reducirlo Representa Representa un un equilibrio equilibrio entre entre los los beneficios de la beneficios potenciales potenciales de la innovación innovación yy las las amenazas amenazas que que el el cambio inevitablemente trae consigo cambio inevitablemente trae consigo
60
4. Abierto
50 40
3. Prudente
30 20 10
2. Mínimo
1. Aversión
0
Ejemplo de escala de apetito por el riesgo
Criterios de Riesgo ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5 1 Evaluación de riesgo
Criterio s 2 Impactos
3 Aceptación del riesgo
Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados se definirán durante la evaluación del riesgo.
1.2.9. Definición Preliminar del Alcance El alcance preliminar del SGCN debería incluir:
Las principales características dela organización
Procesos de negocio que podrían estar dentro del ámbito
Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito del aplicación propuesto
Lista de ubicaciones geográficas en las que se aplicaría el SGCN
Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3 Comprensión de la organización
Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 7 Análisis del sistema de gestión existente a. Recopilación de la Información b. Realización de una Entrevista c. Análisis de Brechas
1.3. Análisis del Sistema de Gestión Existente
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto al Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del negocio
1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura de la organización
2.3 Estrategia de Continuidad del Negocio
3.1 Seguimiento, medición, análisis y evaluación
3.2 Auditoría interna
2.4 Medidas de Presentación & Mitigación 2.5 plan y procedimientos de la continuidad del negocio
Hacer Hacer
1.8 Información documentada
2.6 Comunicación
1.9 Competencia & sensibilización
2.7 Ejercicio y pruebas
4.1 No conformidades y acción correctiva
3.3 Revisión por la Dirección
4.2 Mejora continua
Lista de las actividades Análisis del sistema de gestión existente
1.2 1.2 Comprensión Comprensión de la de la organización organización
1.4 Liderazgo y planificación 1.4 Liderazgo y planificación
1.3.1 1.3.1 Recolección Recolección de información de información
1.3.2 1.3.2 Análisis Análisis de brechas de brechas
1.3.3. 1.3.3. Objetivos Objetivos ee informe informe del del análisis análisis de brechas de brechas
1.3.1. Recopilación de la Información Técnicas
Cuestionarios Cuestionarios Encuestas Encuestas
Entrevistas Entrevistas
Revisión de la documentación Revisión de la documentación
El envío de cuestionarios a una muestra de personas que representan a las partes interesadas
Las entrevistas con personas la claves en diferentes niveles jerárquicos dentro de la organización
Lectura y análisis de la documentación pertinente, las políticas internas, procedimientos, informes de auditorías previas, dictámenes jurídicos, contratos, etc.
Entrevista Individual y Grupal Las entrevistas individuales sueles Proporcionar información más precisa y detallada y permiten tener una evaluación del riesgo más correcta
Individual Individual
Entrevista Entrevista
Grupal Grupal
Las entrevistas grupales son efectivas para comprender rápidamente las operaciones de un proceso desde perspectiva global
Realización de una Entrevista
Utilice Utilice preguntas preguntas abiertas abiertas yy evite evite las las preguntas preguntas cerradas cerradas oo guiadas guiadas
A Asegúrese segúrese de de cubrir cubrir todos todos los los temas, temas, mientras mientras controla controla el el tiempo tiempo
Tome Tome notas notas durante durante la la entrevista entrevista
Realice Realice preguntas preguntas para para clarificar clarificar una una respuesta respuesta oo situación situación
1.3.2. Análisis de Brechas
Análisis de Brechas Técnica Técnica para para determinar determinar los los pasos pasos para para pasar pasar de de la la situación situación actual actual aa un un estado estado futuro futuro deseado. deseado. 1. 1. Comparación Comparación del del rendimiento rendimiento actual actual del del sistema sistema de de continuidad continuidad del del negocio negocio con con los los requisitos requisitos de de la la ISO ISO 22301 22301 2. Identificación 2. Identificación de de las las necesidades necesidades de de mejora mejora 3. 3. Bases Bases para para la la elaboración elaboración del del plan plan del del proyecto proyecto del del SGCN SGCN
Determinar el Estado Actual El análisis de brechas y el nivel de madurez Las preguntas típicas: 1.
¿El proceso está presente en la organización? ¿Está estandarizado?
2. ¿Es el proceso seguido por los usuarios relevantes? 3. ¿Está el proceso documentado? ¿Cómo? 4. ¿hay un responsable designado para la eficacia del proceso? ¿Están determinadas las funciones y responsabilidades? 5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay capacitación disponible? 6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido? 7. ¿El proceso está automatizado? ¿Se utilizan herramientas? 8. ¿Existe un proceso para actualizar el proceso? 9. ¿El rendimiento del proceso se compara con las prácticas de la industria?
1.3.3. Establecimiento de Objetivos y la Publicación de un Informe de Análisis de Brechas
0 No existe
1 Inicial 1
2
3
Gestionado
Definido
Inicial
4 Gestionado 4 cuantitativamente Gestionado
cuantitativamente
Situación actual
Objetivo
5 Optimizado
Establecimiento de Objetivos El análisis de brechas y el nivel de madurez Usted puede fijar las metas para los procesos según el nivel de madurez
Procesos optimizados
Procesos monitoreados y medidos Los procesos están documentados y comunicados No hay procesos estándar vigentes
Ausencia total de Procesos identificables
0. Inexistentes
Hay implementación de proceso caso por caso sin ningún método
1. Iníciales
2. Gestionadas
3. Definidos
4. Cuantitativa Mente gestionados
5. Optimizados
Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 8 Alcance del SGCN
a. Límites de la organización b. Los límites de las líneas de negocio c. Límites Físicos d. Ámbito de aplicación
1.4. Alcance del SGCN
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto en el Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del negocio
nn1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura de la organización
3.1 Seguimiento, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
2.3 Estrategia de Continuidad del Negocio 2.4 Medidas de Presentación & Mitigación
3.2 Auditoría interna 4.2 Mejora continua
2.5 plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia & sensibilización
2.7 Ejercicio y pruebas
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 4.3.2 Alcance del SGCN La organización deberá: a) b)
c) d)
e)
Establecer las partes de la organización que se incluirán en el SGCN Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las responsabilidades legales y reglamentarias. Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN. Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus necesidades, expectativas e intereses (según corresponda), y Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado de complejidad de la organización. En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales exclusiones no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos aplicables.
Ámbito de la aplicación Importancia Una clara definición del alcance, centrándose en actividades clave de la organización, es un factor de éxito importante para la implementación del SGCN. Esto hará que sea más fácil: 1. Conseguir el apoyo de la dirección 2. Movilizar a los interesados por el proyecto 3. Justificar un valor agregado a las partes interesadas
Nota Nota importante: importante: la la extensión extensión del del ámbito ámbito de de aplicación aplicación es es el el primer primer factor factor que que determina determina la la cantidad cantidad de de esfuerzo esfuerzo requerido requerido por por el el proyecto. proyecto.
1.4. Ámbito de Aplicación del SGCN Lista de actividades
1.2 1.2 Comprensión Comprensión de la de la organización organización
1.4.3 Los límites físicos 1.4.3 Los límites físicos
1.3 1.3 Analiza Analiza el el Sistema existente Sistema existente
1.4.4 Ámbito de aplicación 1.4.4 Ámbito de aplicación
1.4.1 1.4.1 Límites Límites Organizacionales Organizacionales
1.5 Liderazgo & planificación 1.5 Liderazgo & planificación
1.4.2 1.4.2 Límites Límites de de las las Líneas de negocio Líneas de negocio
1.6 Política de CN 1.6 Política de CN
Límites del SGCN
i on ac
La sl íne
al
as fís i
ni z ga Or
ca s
Las 3 dimensiones a considerar
del negocio
1.4.1 Definiendo los Límites Organizacionales del Alcance
Un proceso clave Un departamento La organización como un todo La organización y sus partes interesadas
Nota: Donde una parte de una organización, queda excluida del ámbito de aplicación de su SGCN, la organización debería documentar y explicar la exclusión
1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de Aplicación
• La organización debe identificar los productos y servicios en el ámbito • Ejemplo: Un hospital podría incluir sólo los servicios de emergencia en el ámbito de aplicación La oficina de correos podría incluir todos los servicios en el ámbito de aplicación con la exclusión de la entrega de paquetes/ encomiendas Una fábrica podría mantener sólo la producción de un producto. Etc.
1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación • Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como externos incluidos en el SGCN • Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del alcance y los medios físicos necesarios para que funcionen • En el caso de los sitios físicos subcontratados, tienen que ser consideradas las interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el Ámbito de Aplicación del SGCN
El documento de definición del ámbito de aplicación debería incluir: 1. Las principales características de la organización 2. Los procesos de negocios cubiertos por el SGCN 3. La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN 4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.) 5. La lista de ubicaciones geográficas 6. Los detalles y motivos para las exclusiones
Declaración del Ámbito de Aplicación Ejemplo • La declaración del alcance es pública y, en general, está disponible en el
sitio web del organismo de certificación que haya expedido el certificado • Esta declaración resumida estará escrita en el certificado. Deberá ser: 1. Tan simple como sea posible 2. Comprensible para alguien externo a la organización 3. Lo suficientemente precisa para expresar lo que está cubierto por la certificación
Ejemplo: Ejemplo: Este Este sistema sistema de de gestión gestión de de la la continuidad continuidad del del negocio negocio Se Se aplica aplica al al centro centro de de distribución distribución global global proveyendo proveyendo Servicios Servicios de de tercerización tercerización yy contacto contacto con con el el cliente cliente Y Y externalización externalización de de ABC ABC S.A. S.A.
Cambios en el Ámbito de Aplicación
Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado
Extensión del Ámbito de Aplicación ISO 17021, cláusula 9.5.1 • Varias empresas auditadas prefieren definir un alcance reducido para una certificación inicial y complementar una solicitud de extensión en los años siguientes •
La auditoría de extensión se puede realizar durante una auditoría de control
•
Si no se concede la certificación de extensión, la organización no pierde su certificado actual
Ejercicio 4 Definición del ámbito de aplicación
Día 2
Implementador Líder Certificado en la ISO 22031
Capacitación Implementador Líder ISO 22301 Sección 9 Liderazgo y planificación a. b. c. d. e. f.
Caso de negocios del SGCN Equipo del proyecto Objetivos del SGCN Plan del proyecto Plan de comunicación para el proyecto SGCN Aprobación de la Dirección
1.5. Liderazgo y Planificación
1. 1. Planificar Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
4.1 No conformidades y acción correctiva
2.3 Estrategia de la
Continuidad del Negocio Negocio Negocio
1.6 Política de CN
2.4 Medidas de Protección & Mitigación
1.7 Estructura organizativa
2.5 Plan y procedimientos de la
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3.1 Supervisión, medición, análisis y evaluación
continuidad del negocio
2.7 Ejercicio y pruebas
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2 5.1 Liderazgo y compromiso Las personas en los niveles superiores de la administración y otras en funciones de gestión en toda la organización beberán demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la Dirección La alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de : - Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la - continuidad del negocio y que sean compatibles con la dirección estratégica de la organización. Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio - Comunicar la importancia de una buena gestión de la continuidad del negocio y de conformidad con los requisitos del SGCN - Asegurar que el SGCN logre el resultado (s) esperados(s) - Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN - Promover la mejora continua: y - Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso en lo que aplica sus áreas de responsabilidad
7.1 Recursos La organización deberá determinar y proporcionar los recursos necesarios para el SGCN
1.5. Liderazgo y Planificación Lista de actividades
1.4 Alcance (ámbito de aplicación) del SGCN
1.5.1 1.5.1 Caso Caso de de negocio negocio
1.5.2 1.5.2 equipo equipo de de proyecto proyecto del del SGCN SGCN
1.5.5 Plan del proyecto del SGCN 1.5.5 Plan del proyecto del SGCN
1.5.6 Plan de comunicación 1.5.6 Plan de comunicación
1.5.3 1.5.3 Determinación Determinación de de los los objetivos objetivos
1.5.7 Aprobación Por la Dirección 1.5.7 Aprobación Por la Dirección
1.5.4 1.5.4 Requisitos Requisitos de de los los recursos recursos
1.6 Política de CN 1.6 Política de CN
1.5.1. Crear y Presentar un Caso de Negocio Un caso de negocio es: 1. Una herramienta de apoyo de apoyo de la Dirección para la toma de decisiones
2.
Un documento que se utiliza para promover el proyecto del SGCN
3.
Una primera estructuración del proyecto
Contenido del Caso de Negocios PMBOK
1. Medioambiente
2. Finalidad y objetivos
3. Resumen Del proyecto
4. Beneficios esperados
5. Alcance preliminar
6. Factores Críticos de éxito
7. Anteproyecto
8. Plazos e hitos
9. Funciones y Responsabilidades
10. Recursos necesarios
11. Presupuesto
12. Restricciones
Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Defensor Del Proyecto Del SGCN Gerente del SGCN Director del proyecto Equipo de Gestión del Proyecto
Equipo del Proyecto Partes Interesadas
Director del Proyecto SGCN Competencias requeridas El director del proyecto SGCN debe tener los conocimientos y habilidades en las siguientes áreas: 1. Conocimiento y habilidades en Gestión de Proyectos 2. Conocimiento de la organización y su entorno 3. Conocimiento de gestión de la continuidad del negocio 4. Habilidades interpersonales (comunicación efectiva, negación, resolución de problemas, habilidades de liderazgo, etc..)
Comité Directivo Durante el proyecto SGCN
Objetivo
Asegurar la planificación y el seguimiento del SGCN
Misiones
1. Planificar la implementación del SGCN 2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos por la Dirección 3. Definir las funciones y responsabilidades para el proyecto SGCN 4. Definir las funciones y responsabilidades relacionadas con las operaciones y el mantenimiento del SGCN (después de la aplicación) 5. Seleccionar el método de análisis de riesgo y el AIN 6. Gestionar los recursos 7. Realizar revisiones de los proyectos de la aplicación del SGCN
Miembros
Director del Proyecto SGCN, responsables de los servicios claves que participan en los siguientes dominios de aplicación (TI, auditoría, legales, finanzas, recursos humanos, seguridad física etc.)
Frecuencia de las reuniones
Mensuales
1.5.3. Determinación de los objetivos del SGCN ISO 22301, cláusula 3.32 y 6.2 Determinar los objetivos
1 Una mayor flexibilidad (resilencia) de la Empresa • ¿Puede el SGCN mejorar la resilencia de la organización en caso de un incidente perjudicial?
3 2
Gestión de continuidad del negocio eficiente • ¿Puede el SGCN mejorar la eficacia de la gestión de continuidad del negocio?
Ventaja del negocio • ¿L a implementación de un SGCN puede proporcionar ventajas competitivas
Determinar los Objetivos Ejemplos Los objetivos relacionados con la aplicación del SGCN pueden ser: Velar por el cumplimiento de las obligaciones legales, reglamentarias y contractuales de la organización Demostrar la debida diligencia y el cuidado debido de la gestión Inspirar confianza de las partes interesadas de la organización Proteger la disponibilidad de las actividades fundamentales de la organización Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores prácticas Mejorar el tiempo de respuesta a incidentes y desastres Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la entrega de un servicio o producto, etc.
1.5.4. Determinación de los Requisitos de Recursos para el Proyecto SGCN ISO 22301, cláusula 8.3.2 • Los recursos son los medios que se utilizan para alcanzar los objetivos del proyecto • El recurso principal es evidentemente, las personas con habilidades y competencias aplicables • El resto de las principales agrupaciones de recursos que se necesitan son el capital, las instalaciones, los equipos, los materiales y la información • Generalmente hay un desfase entre el tope de la inversión de un proyecto y las demandas del proyecto…
1.5.5. Elaboración del Plan del Proyecto SGCN PMBOK
Un método iterativo
Recursos
Costos
Contenido Del Proyecto
Plan del proyecto
Retrasos
Riesgos
Contenido del plan del proyecto SGCN PMBOK Un plan de proyecto incluye lo siguiente: 1. Carta del Proyecto 2. Descripción del enfoque o estrategia de gestión de proyectos 3. Formulación del contenido del proyecto, con resultados y objetivos del proyecto 4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”) 5. Costos estimados, fecha de inicio prevista, y la asignación de responsabilidad 6. Referencias; medición de costos y el tiempo de funcionamiento 7. Hitos principales con su fecha provisional 8. Personal clave o necesario 9. Riesgos claves, con las limitaciones y supuestos, y las respuestas propuestas 10. Problemas corrientes y decisiones pendientes
Revisión y Presentación del Plan del Proyecto SGCN PMBOK Revisión Revisión de de los los objetivos objetivos del del proyecto proyecto yy los los factores factores de de éxito éxito Revisar Revisar el el método método propuesto propuesto Destacar Destacar los los riesgos riesgos ee incertidumbres incertidumbres inherentes inherentes en en el el proyecto proyecto Estimación Estimación de de los los recursos recursos internos internos necesarios necesarios Definición Definición de de la la planificación planificación yy sucesivas sucesivas fases fases de de ejecución ejecución Revisión Revisión de de las las presentaciones presentaciones que que deben deben proveerse proveerse Revisión Revisión de de las las funciones funciones Revisión Revisión de de los los documentos documentos del del proyecto proyecto Definición Definición de de la la frecuencia frecuencia yy el el contenido contenido de de las las reuniones reuniones de de progreso progreso
1.5.6. Plan de Comunicación para el Proyecto SGCN Norma ISO 22301, cláusula 7.4 •
Cuando se establece el SGCN, la organización necesita tener comunicación efectiva y procedimientos de consulta para el intercambio de información con las partes interesadas
•
La organización debería disponer de una comunicación eficaz como parte de su programa de sensibilización
•
El plan de comunicación será detallado en el Día 3
1.5.7. Aprobación por la Dirección del Proyecto SGCN Norma ISO 22301, cláusula 5.2
••Mayor Mayor conocimiento conocimiento de de las las leyes leyes •• óptima asignación de recursos óptima asignación de recursos •• Identificación Identificación de de los los activos activos críticos críticos •• Procesos y plan de la continuidad Procesos y plan de la continuidad del del negocio negocio controlados controlados yy medidos medidos
SGCN Ap r La oba Di ció re n cc po ió r n
Beneficios Beneficios Claves Claves del del Compromiso Compromiso de de la la Dirección Dirección
Funciones de la Dirección Durante el proyecto SGCN Objetivo
Alinear el SGCN con los objetivos y estrategia de negocio
Misiones
1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la organización 2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales 3. Validar las funciones y responsabilidades de las principales partes interesadas en el proyecto 4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del riesgo 5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en conformidad con los requisitos SGCN 6. Proveer de recursos suficientes para la implementación del SGCN 7. Asegurar que se llevan a cabo auditorias internas 8. Hacer revisión del SGCN por la dirección 9. Prestar apoyo al mejoramiento del SGCN
Miembros
Alta Dirección (CEO, CIO, CFO…)
Frecuencia de las reuniones
Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis de riesgo e informe del AIN, revisión por la dirección, etc.
Ejercicio 5 Roles y responsabilidades de las partes interesadas
Capacitación Implementador Líder ISO 22301 Sección 10 Política de la continuidad del negocio a. Crear modelos de política b. Proceso de redacción de política c. Aprobación por la Dirección d. Publicación e. Capacitación, comunicación y sensibilización f.
Control, evaluación y revisión
1.6. Política de la Continuidad del Negocio
1. 1. Planificar Planificar
2. Hacer
3. 3. Verificar Verificar
4. 4. Actuar Actuar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo
3.1 Supervisión, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
3.2 Auditoría interna 4.2 Mejora continua
2.5 Plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
2.7 Ejercicio y pruebas
3.3 Revisión por la Dirección
Requisitos Norma ISO 22301, cláusula 5.3 Política La alta dirección deberá establecer una política de continuidad del negocio que: a) Sea apropiada para los fines de la organización b) Proporciones un marco para establecer objetivos de continuidad del negocio c) Incluya un compromiso de cumplir los requisitos aplicables d) Incluya un compromiso de mejora continua del SGCN La política del SGCN deberá: -) Estar disponible como información documentada -) Ser comunicada dentro de la organización -) Estar a disposición de todas las partes interesadas, según corresponda -) Ser revisada para su adecuación continuada a intervalos definidos y cuando se produzcan cambios significativos La organización deberá retener información De continuidad del negocio.
documentada sobre la
política
Definición de Política de la Continuidad del Negocio Norma ISO 22399, cláusula 3.19 Las intenciones generales y la dirección de la organización, relacionadas con su preparación ante incidencias y continuidad operacional, tal y como ha sido expresado por la alta dirección
1.6. Política de la Continuidad del Negocio Lista de actividades 1.6 Política de C. N. 1.5 Liderazgo & planificación
1.6.4 Publicación 1.6.4 Publicación
1.6.1 1.6.1 Proceso Proceso de de redacción redacción de de la la Política Política
1.6.2 1.6.2 Redacción Redacción de de la la Política Política
1.6.5 Capacitación, comunicación y 1.6.5 Capacitación, sensibilización comunicación y sensibilización
1.6.6 Control, evaluación y 1.6.6 Control, revisión evaluación y revisión
1.6.3 1.6.3 Aprobación Aprobación por por la la Dirección Dirección
1.7 Estructura organizativa 1.7 Estructura organizativa
1.6.1. Definición del Proceso de Redacción de la Política Proceso General
1. Designar una 1. Persona Designar una Responsable Persona Responsable
2. Definir los 2. componentes Definir los de la política componentes de la política
3. Redactar 3. las Redactar Secciones las Secciones
4. Validación 4. de los Validación contenidos y de los el formato contenidos y el formato
5. Aprobación 5. por las Aprobación Partes por las Interesadas Partes Interesadas
Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación
1.6.2. Redacción de la Política de Continuidad del Negocio Temas que suelen incluirse en la política 1. Un marco que permite definir objetivos y establecer una dirección y directrices de política para la gestión de Continuidad del Negocio 2. Una consideración de las obligaciones legales y reglamentarias impuestas a la organización, así como otros compromisos 3. La alineación de la gestión de continuidad del negocio con los objetivos estratégicos de la organización 4. Atribución de las funciones y responsabilidades 5. Aprobación oficial de los anteriores por la Dirección
1.6.3. Aprobación por la Dirección
La política del SGCN debe: Demostrar el compromiso de la dirección Ser aprobada por la Dirección La política debe ser firmada por una persona (a menudo el director general), pero el proceso de aprobación puede pertenecer a un comité: Junto de Directores Consejo de Administración
1.6.4. Publicación de la Política de Continuidad del Negocio Principales modos de comunicación
Intranet
Distribución de Copias en papel
Reunión
Sesión de orientación de nuevos empleados
1.6.5. Capacitación, Comunicación y Sensibilización Plan Plan de de comunicación comunicación Público Público de de destino destino
Difusión Difusión (reuniones, (reuniones, intranet, intranet, extranet, documentos…) extranet, documentos…)
Comunicación Proceso recurrente
Sensibilización
No
Capacitación
¿Objetivo alcanzado?
Si Control, evaluación y revisión
Nota: Esta temática se discutirá durante el Día 3
1.6.6. Control, Evaluación y Revisión
•
• Asegurar
Revisión Control conformidad Evaluación
Mantener
• Medir el grado de conformidad
Capacitación Implementador Líder en la ISO 22301 Sección 11 Estructura Organizativa a. Estructura de gestión b. Estructura Orgánica para la gestión de la continuidad del negocio c. Designación de un coordinación de la continuidad del negocio d. Roles y responsabilidades de las partes interesadas e. Roles y responsabilidades de los comités clave f.
Equipos de la continuidad del negocio
g. Proceso de decisión y de control
1.7. Estructura Organizativa
1. 1. Planificar Planificar
2. 2. Hace Hace
3. 3. Verificar Verificar
1.2 Comprensión de la organización
2.1 Análisis del Impacto en el Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del riesgo
3.1 Supervisión, medición, análisis y evaluación
4. 4. Actuar Actuar
1.1. Iniciar el SGCN
1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
3.2 Auditoría interna
2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación 2.7 Ejercicio y pruebas
4.1 No conformidades y acción correctiva
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos Norma ISO 22301, cláusula 5.4 Funciones, responsabilidades y autoridades organizativas La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización. La alta gerencia deberá asignar la responsabilidad y autoridad para : a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional; e
b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección
Estructura organizativa Principios •
Para ser eficaz, un programa de continuidad empresarial debería ser un proceso integrado de gestión impulsado desde las altas esferas de la organización, apoyado y promovido por los principales directores y ejecutivos
•
Debería ser administrado en los niveles operativos y de la organización
•
Puede requerirse una serie de profesionales y personal de otras disciplinas relacionadas con la gestión y los servicios necesarios para apoyar y gestionar el programa
•
La continuidad de recursos necesarios, dependerá del tamaño y la diversidad de la organización
1.7. Estructura Organizativa Lista de actividades 1.7 Estructura organizativa 1.6 Política de continuidad del negocio
1.7.4 Roles y Responsabilidades 1.7.4 y de los Roles comités Responsabilidades principales de los comités principales
1.7.1 1.7.1 Estructura Estructura de de gobierno gobierno yy organización organización
1.7.2 1.7.2 Coordinador Coordinador de de la la continuidad continuidad del del negocio negocio
1.7.5 Equipos de la continuidad 1.7.5del Equipos negociode la continuidad del negocio
1.7.6 Proceso de decisión y control 1.7.6 Proceso de decisión y control
1.7.3 1.7.3 Roles Roles yy Responsabilidades Responsabilidades de de las las partes partes interesadas interesadas
1.8 Información documentada 1.8 Información documentada
1.7.1. Definición de la Gestión de Gobierno y de la Estructura Orgánica para la Gestión de Continuidad del Negocio Estructura de gobierno Junta de Directores
Comité de Crisis Comité de Continuidad del negocio
CEO
Operaciones Operaciones
Recursos humanos Recursos humanos
Auditoría Interna Auditoría Interna
Servicios Administrativos Servicios Administrativos
Tecnología de la información (TI) de Tecnología la información (TI)
Ventas & Marketing Ventas & Marketing
Continuidad del Negocio Continuidad del Negocio
Partes Involucradas Actores Principales
Medios de
Alta Dirección
Comité de Crisis
Director de la Continuidad del Negocio Comité de Continuidad del Negocio
Medios de comunicación
Organismos Externos Seguridad pública
Plan de Continuidad del Negocio
Autoridades del Gobierno CERT
Unidad de negocio 1
Unidad de negocio 2
Director del Sitio Coordinador de gestión de CN del Sitio
Plan de Continuidad del Negocio adaptado Para la unidad
Los Procedimientos locales
Gestión de TI
Director del Sitio
Director del Sitio
Coordinador de gestión De CN del Sitio
Coordinador de Recuperación de TI
Plan de Planes de Continuidad del Recuperación y Negocio adaptadoRestauración de TI para la unidad
Procesos de Negocios
Planes de Recuperación y Restauración de TI
Los Procedimientos de TI
Gestión de Instalaciones Gerente de las Instalaciones Coordinador de la Respuesta de Emergencia
Planes de Procedimientos Respuesta de De emergencia Emergencia
Procesos de Soporte
1.7.2. Designación de un Coordinador de la Continuidad del Negocio Funciones y responsabilidades • El Coordinador de la continuidad del negocio tiene la responsabilidad general de la concepción, el desarrollo, la coordinación, ejecución, administración, capacitación, programas de sensibilización, y el mantenimiento del Plan de continuidad de Negocios y el SGCN • El CCN debería estar en una función de nivel de dirección • Es responsable de la cooperación y colaboración en la Continuidad del Negocio de los gerentes, usuarios, administradores de sistemas, auditores, personal de seguridad, y habilidades de especialistas en áreas como los seguros, las cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos
1.7.3. Definir las Funciones y Responsabilidades de las Partes Interesadas
Consejo legal
Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI
Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones
Encargado de Seguridad de la Información
Coordinar las actividades relativas a la gestión de seguridad de la información
Encargado de RRHH
Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación
Encargado de Patrimonio
Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección contra incendios, mantenimiento eléctrico, etc.)
Encargado del centro De servicios / ”Help Desk”
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso, gestión de incidencias, etc.)
Oficial de RRPP
Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes interesadas externas
Auditor interno
Validación del Cumplimiento del SGCN
Responsable de la Gestión de documentos
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación de las pruebas
1.7.4. Definición de la Funciones y Responsabilidades de los Comités Claves
1. Comité Ejecutivo y Comité de Crisis
2. Comité de Continuidad del Negocio
3. Comités Operativos y Comité Local de CN
1.7.5. Creación de los Equipos Necesarios de Continuidad del Negocio Ejemplo Líder del Equipo de Gestión de Crisis (Director Ejecutivo)
Gerente de Evaluación de Riesgo
Equipo de Respuesta de Emergencia
Equipo de Evaluación de Daños
Coordinar de la Continuidad del Negocio
Equipo de Relaciones Públicas
Representantes de La unidad de Negocio
Equipo de Recuperación
Equipo de Restauración
TI/RR.HH./ Legales/ Finanzas
Equipo de Telecomunicaciones
Equipo de Obtención de Recursos y Logística
Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisión y Control Modelo de la estructura de comando y control
Nivel 1 Estratégico
on tro l
Es ca la
da
lC de
Nivel 2 Táctico
Nivel 3 Operativo
Capacitación Implementador Líder ISO 22301 Sección 12 Información documentada a. b. c. d. e.
Requisitos de la información documentada Valor de la documentación Creación de plantillas Gestión de la documentación Implementación de un sistema de gestión de documentos f. Redacción de la información documentada de l SGCN g. Control de los registros
1.8. Información documentada
1. 1. Planificar Planificar
2. 2. Hacer Hacer
3. 3. Verificar Verificar
4. 4. Actuar Actuar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto en el Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del riesgo
1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización
2.3 Estrategia de la Continuidad del Negocio
3.1 Supervisión, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
3.2 Auditoría interna
2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación 2.7 Ejercicio y pruebas
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos Norma ISO 22301, cláusula 7.5 7.5 Información documentada 7.5.1 Generalidades El SGCN de la organización incluirá: - La información documentada requerida por esta norma internacional - Información documentada determinada por la organización como necesaria para la eficacia del SGCN
7.5.2 Creación y actualización Al crear y actualizar la información documentada, la organización deberá garantizar la adecuada: a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia), b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por ejemplo, papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.
Requisitos Norma ISO 22301, cláusula 7.5 7.5.3 Control de la información documentada La información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para asegurar que: a) Está disponible y apta para su uso, cuándo y dónde sea necesario, b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida de integridad). Para el control de la información documentada, la organización deberá abordar las siguientes actividades, según corresponda: Distribución, acceso, recuperación y uso, Almacenamiento y conservación, incluida la conservación de la legibilidad, Control de los cambios (p. ej., control de versiones). Retención y disposición Recuperación y uso, Preservación de la legibilidad (es decir lo suficientemente claro para leer), y Prevención del uso no intencionado de información obsoleta. La información documentada de origen externo determinada por la organización como necesaria para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y controlada. Cuando se establece el control de la información documentada, la organización deberá asegurarse de que exista una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la modificación no autorizada o la eliminación).
Requisitos de Información Documentada Resumen
Contenido
Formato
Ciclo de Vida del Documento
Documentación del Sistema de Gestión Tipos de información documentada
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Descripciones Del Marco de Gestión
Políticas, el alcance, revisión por la dirección, y otros documentos estratégicos
Describe los procesos, Procedimientos y controles (quién, qué, cuándo, cómo, Dónde y por qué)
Descripción del proceso, actividades, controles y procedimientos
Describe en detalle cómo se llevan a Cabo las tareas y actividades
Proporciona la evidencia objetiva del Cumplimiento de los requisitos de la norma
Hojas de cálculo, formularios listas de control, etc.
Registros
Valor de la Documentación Notas importantes • En muchas organizaciones, la creación de la documentación está desproporcionada • La preparación de los documentos no debería ser un objetivo en sí mismo. Esta debe ser actividad de valor añadido, soporte del SGCN • La documentación que es demasiado es difícil de manejar, a menudo no es comprendida por los usuarios, por lo tanto, no se utiliza… • Cada organización determina la extensión de la documentación necesaria y los medios de comunicación a utilizar
1.8 Información documentada Lista de actividades 1.8 Información documentada 1.7 Estructura organizativa
1.8.4 Establecer la Documentación 1.8.4del Establecer SGCN la Documentación del SGCN
1.8.1 1.8.1 Creación Creación de de plantillas plantillas
1.8.5 Control de
los registros
1.8.5 Control de
los registros
1.8.2 1.8.2 Control Control de de los documentos los documentos
1.9 Competencia y sensibilización 1.9 Competencia y sensibilización
1.8.3 1.8.3 Sistema Sistema de de gestión gestión de documentos de documentos
1.8.1. Creación de Plantillas Tipo de documentos Tipo
Objetivos
Política
Intenciones y directrices generales de una organización formalmente expresadas por la Dirección
Procedimiento
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las directrices y las normas de apoyo se aplicarán realmente en un entorno operativo
Directrices
Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas prácticas a seguir
Plan de Continuidad del Negocio Carta
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en el caso de una crisis
Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios empleados, proveedores o prestadores de servicios
Esquema de proceso
Esquema que ilustra el trabajo de un proceso
Normativa de proceso
Explicación detallada de funcionamiento de un proceso como una descripción
Formulario Guía Hoja de datos
Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)
Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestión de la documentación El desarrollo de un proceso de gestión de la documentación y redacción de un procedimiento b) Identificación
a) Creación
c) Clasificación, indexado y seguridad
i) Eliminación
d) Modificación h) Conservación y archivado
g) Uso adecuado
e) Aprobación
f) Distribución
1.8.3. Implementación de un Sistema de Gestión de Documentos
•
Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su
•
información Custodiar el ciclo de visa complement0 de los documentos
•
Garantizar la trazabilidad
•
Garantizar el acceso a los documentos
Optimizar búsqueda y actualización
1.8.4. Redacción de la Información Documentada Requerida del SGCN Como mínimo, el SGCN debería contener la siguiente documentación: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
El contexto de la organización Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2) El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2) Política de la continuidad del negocio (5.3) Objetivos de continuidad del negocio (6.2) Competencia (7.2) Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2) Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia consideradas Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4) Informes pos-ejercicio (8.5) Monitoreo del SGCN (9.1) Auditorías Internas (9.2) Revisión por la dirección (9.3) No Conformidades y acciones correctivas (10.1)
Información Documentada que puede ser Requerida Además puede ser requerida la información documentada que abarca la siguiente información necesaria para asegurar la eficacia del SGCN: No el v a m n a n en ua l
1. Los contratos con clientes y los niveles de servicio 2. Resultados de los análisis de impacto en el negocio 3. Resultados de las evaluaciones de riesgo 4. Determinación y selección de las estrategias de continuidad del negocio 5. Resumen de respuesta ante incidentes 6. Programa de sensibilización 7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas 8. Programas de capacitación para la organización y los individuos. 9. Calendario de ejercicios 10. Contratos y acuerdos de nivel de servicio con los proveedores 11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta 12. Las pruebas de inspección, mantenimiento y calibración 13. Después de los incidentes los informes de incidentes y casi incidentes 14. Acta de la reunión de la revisión del SGCN
Crear una Lista Maestra de Documentos Buenas prácticas Es una buena práctica crear una lista única de todos los documentos relacionados con el SGCN con información básica tal como:
El identificador único Título El tipo de documento Los nombres, funciones y servicios de los autores (y / o los propietarios) El nombre del responsable y la fecha de la aprobación Fecha de emisión Fecha de la versión y de la revisión Numeración de páginas Nivel de clasificación
1.8.5. Control de los Registros o Los controles para garantizar la identificación, almacenamiento, protección, disponibilidad, tiempo de conservación y eliminación de registros deben estar documentados e implementados o Los registros deben ser identificables y accesibles o Ejemplos de registros:
protegidos, permanecen
Las actas de reunión Certificados de capacitación Enviar cartas a las partes interesadas Los informes de auditoría Informe de resultados de pruebas
legibles,
fácilmente
Lista Maestra de Documentos Ejemplo Identificación
Almacenamiento
Responsabilidad
Duración de la conservación
Clasificación
Registro de capacitación
Departamento de Recursos Humanos
Director de Recursos Humanos
3 años
Uso interno
Hoja de informe De incidentes
Centro de Servicios
Centro de Servicios Director
2 años
Confidencial
Ejercicios y Registros de las Pruebas del SGCN
Departamento de Gestión de Riesgos
5 años
Muy confidencial
Revisión por la Dirección
Comité Ejecutivo
7 años
Muy confidencial
Director de CN
Secretario del Comité Ejecutivo
Gestión de la documentación Problemas más comunes Problema
Causa potencial
Dificultad para encontrar o gestionar un documento
Cantidad demasiado grande de documentos mal clasificados y no catalogados
Incapacidad para extraer rápidamente información útil de un documento
Documento voluminoso, demasiado literario, a menudo con varios anexos
Actualizaciones de carácter tedioso
Los procesos de gestión de documentos no están establecidos o poco explotados
Diferencia entre los registros y procesos de negocio reales
Los empleados relacionados con las operaciones no han participado en la redacción de documentos
Textos o gráficos ambiguos / incomprensibles
No hay validación con los usuarios, la falta de formación y sensibilización, editor incompetente
Proliferación de versiones de los documentos
Ningún sistema de gestión de documentos en uso
Ejercicio 6 Lista maestra de documentos
Capacitación Implementador Líder en la ISO 22301 Sección 13 Competencia y sensibilización a. b. c. d. e. f.
Diferencia entre capacitación, sensibilización y comunicación Definición de un programa de desarrollo de competencias Evaluación de las competencias requeridas Definición de un programa de capacitación Definición de un programa de sensibilización Evaluación y mejora continua del programa de desarrollo de competencias
1.9. Competencia y Sensibilización
1. 1. Planificar Planificar
2. 2. Hacer Hacer
3. 3. Verificar Verificar
4. 4. Actuar Actuar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo 2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
3.1 Supervisión, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos ISO 22301, cláusula 7.2 y 7.3 7.2 Competencia La organización deberá: a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su rendimiento. b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y experiencia. c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las medidas adoptadas, y d) Mantener adecuada información documentada como evidencia de su competencia. e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la reasignación de los empleados; o la contratación o subcontratación de personas competentes.
7.3 Conciencia Las personas que realizan trabajos en el control de la organización deberán tener en cuenta: f) La política de continuidad del negocio, g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad del negocio, h) Las consecuencias de no conformidad con los requisitos del SGCN i) Su papel durante los incidentes disruptivos.
Competencia y Capacitación Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2 Contexto
Capacidad Capacidad demostrada demostrada
para para aplicar aplicar conocimientos conocimientos yy habilidades habilidades
Habilidades de conducta a tic ac r P
Capacitación proporcionar proporcionar yy desarrollar desarrollar los los conocimientos, conocimientos, las las habilidades habilidades yy las las conducta conducta para para cumplir cumplir con con los los requisitos requisitos
to ex nt Co
Proceso Proceso para para
nte
Conocimientos de
Competencia
Competente
Conocimiento De se m
Habilidades
pe ño
xto e t n Co
Capacitación, Sensibilización y Comunicación
Diferencias
Capacitación
Sensibilización
Comunicación
Adquisición de habilidades
Cambio de hábitos
Estar informado
Dirigida al intelecto
Dirigida principalmente a las emociones y el comportamiento
Dirigida al intelecto
¿Qué habilidades Tienen que adquirir?
¿Qué comportamiento queremos reforzar o cambiar?
¿Qué mensajes enviamos?
1.9. Competencia y Sensibilización Lista de actividades
1.7 Estructura organizativa
1.9.3 1.9.3 Definir Definir un un programa programa de de capacitación capacitación
1.8 Información documentada
1.9.4 1.9.4 Definir Definir un un programa programa de de sensibilización sensibilización
1.9.1 1.9.1 Definir Definir un un programa programa de de desarrollo desarrollo de de competencias competencias
1.9.5 1.9.5 Evaluación Evaluación yy mejora mejora continua continua
1.8.2 1.8.2 Evaluación Evaluación de de las las competencias competencias necesarias necesarias
2.1 AIN
1.9.1. Definición de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 cláusula 7.2 La organización debería desarrollar un programa de desarrollo de competencias que incluya: La evaluación de competencias para las función (es) que se llevarán a cabo Creación de un programa de desarrollo personal que identifica capacitación, supervisión, etc. Servicios de capacitación y tutoría incluyendo la selección de métodos y materiales adecuados Intercambio de Conocimientos Trabajo compartido Contratación de una persona o personas competentes Evaluación y mejora continua del programa
1.9.2. Evaluación de las Competencias Requeridas Ejemplo
Funciones
Políticas
Función A
A
Función B
C
Función C
Crisis
AIN
Auditorias
A B
B
C
Función D
R A
C
Función E
A
B
Experiencia
A
Legales
Conocimiento
B
C
B A
Nivel de Sensibilización
1.9.3. Definición de un Programa de Capacitación Tipos de programa y sus objetivos
Obtener información sobre temas específicos
Mantenimiento de las habilidades y adquisición de habilidades especificas
Adquisición de habilidades generales
Sesión de Iniciación
Educación continua
Educación Básica (Universidad)
Principales Métodos de Capacitación Norma ISO 10015, cláusula 4.3
Curso en el sitio o fuera del sitio
Aprendizaje
Taller
Métodos de capacitación
Instrucción en el puesto de trabajo
Aprendizaje a distancia
Auto capacitación
Cuando se selecciona una solución de capacitación para cerrar las brechas de competencia, deberían ser especificadas y documentadas las necesidades de capacitación Deberían enumerarse los posibles métodos de capacitación a fin de satisfacer las necesidades de formación. La forma adecuada de capacitación dependerá de los recursos enumerados, las limitaciones y objetivos
1.9.4. Definición de un Programa de Sensibilización Temas principales Las personas que realizan trabajos en el control de la organización deberán tener en cuenta: La La política política de de continuidad continuidad del del negocio, negocio,
Su Su contribución contribución al al SGCN SGCN prevista prevista
Los Los beneficios beneficios de de la la continuidad continuidad del del negocio negocio
Su Su papel papel durante durante los los incidentes incidentes Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio de la organización es un Proceso en curso
1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de Competencias
El objetivo de la evaluación es confirmar que se han cumplido los objetivos de ambas competencias de la organización y las individuales, es decir, el programa de desarrollo ha sido efectivo
Capacitación Implementador Líder Certificado en la ISO 22301 Sección 14 Análisis de Impacto en el Negocio (AIN) a. Propósito de un AIN b. Planificación de un AIN c. La recopilación de datos d. Análisis de los datos e. Validación de los datos f.
Presentación del informe del AIN
2.1. Análisis del Impacto en el Negocio (AIN)
1. 1. Planificar Planificar
2. 2. Hacer Hacer
3. 3. Verificar Verificar
4. 4. Actuar Actuar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa 1.8 Información documentada 1.9 Competencia y sensibilización
2.1 Análisis del Impacto en el Negocio (AIN)
2.2 Evaluación del riesgo 2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación 2.5 Plan y procedimientos de la continuidad del negocio
2.6 Comunicación
2.7 Ejercicio y pruebas
3.1 Supervisión, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Requisitos ISO 22301, cláusula 8.2.2 Análisis del impacto en el negocio La organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para determinar las prioridades, objetivos y metas de continuidad y recuperación. Este proceso deberá incluir la evaluación del impacto de interrumpir las actividades que apoyan las actividades de productos y servicios de la organización. El análisis del impacto en el negocio deberá incluir lo siguiente: a) Identificación de las actividades que favorezcan la presentación de los productos y servicios; b) Evaluar el impacto en el tiempo de no realizar estas actividades; c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas serían inaceptables; e d) Identificar las dependencias y recursos de soporte para estas actividades, e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios Propósito de un AIN Obtener una comprensión de los productos y servicios clave de la organización y la actividades que los ofrecen Determinar las prioridades y los plazos para reanudar actividades Identificar los principales recursos que puedan ser necesarios para la continuidad y recuperación Identificar las dependencias (tanto internas como externas)
2.1. Análisis del Impacto en el Negocio (AIN) Lista de actividades
1.9 Competencia y capacitación
2.1.4 Validación de los datos 2.1.4 Validación de los datos
2.1.1 2.1.1 Planificación Planificación del del AIN AIN
2.1.5 Presentación del Informe del AIN 2.1.5 Presentación del Informe del AIN
2.1.2 2.1.2 Recolección Recolección de los de los datos datos
2.2 Evaluación del Riesgo 2.2 Evaluación del Riesgo
2.1.3 2.1.3 Análisis Análisis de de los datos los datos
2.1.1. Planificación de un AIN Actividades
1
Determinación del enfoque y el método de recolección de datos
2
Identificación de las actividades que soportan los productos y servicios clave
3
Selección de los impactos que se van a analizar
4
Preparación de las herramientas del AIN
1. Determinación del Enfoque y el Método de Recolección de Datos
Determinación Determinación del del enfoque enfoque El El enfoque enfoque puede puede ser ser cuantitativo cuantitativo (con (con cálculo cálculo de de consecuencias consecuencias financieras) financieras) y/o y/o cualitativo (evaluación de impactos no financieros como la reputación, el servicio cualitativo (evaluación de impactos no financieros como la reputación, el servicio de de atención atención al al cliente, cliente, etc.) etc.) Determinación Determinación del del método método La La recopilación recopilación de de datos datos del del AIN AIN puede puede hacerse hacerse con con una una combinación combinación de de métodos métodos como como taller, taller, entrevistas entrevistas yy cuestionario cuestionario Identificación de los participantes Crear Crear un un equipo equipo de de AIN AIN ee identificar identificar aa quienes quienes van van aa responder responder las las entrevistas entrevistas (de (de las las funciones funciones de de negocio negocio yy las las funciones funciones de de apoyo) apoyo)
II. Identificar la Actividades que dan Apoyo a sus Productos y Servicios Principales
NADA
Las Las actividades actividades aa considerar considerar •• Las Las que que apoyan apoyan la la misión misión de de la la organización organización yy que que son son vitales vitales para para sus logros sus logros •• Relacionadas Relacionadas con con obligaciones obligaciones legales legales y/o y/o contractuales contractuales
Principales Actividades de Negocio Ejemplo basado en la cadena de valor de Porter Gestión Gestión de de Infraestructuras Infraestructuras Gestión Gestión de de Recursos Recursos Humanos Humanos Finanzas Finanzas yy contabilidad contabilidad I+D
Marketing
Diseño
Ventas
Producción
Distribución
Atención al cliente
Suministros Embalaje
Investigación Y Desarrollo
Transformación Exportación Fabricación Marketing
Diseño Control de calidad
Servicios Pos venta
III. Selección de los Impactos a Analizar PÉRDIDA DE INGRESOS • Pérdida Directa
SANCIONES • Contractuales
• Regulatorias • Legales
GASTOS ADICIONALES • • • • • •
Costo de la Recuperación Gastos Extras Mayor Riesgo de Fraude Una Mayor Tasa de Error Los Gastos de Viaje Los Empleados Temporales
Las interrupciones
• Pagos Compensatorios • Ingresos Futuros Perdidos • Pérdida de Inversión
DAÑOS A LA REPUTACIÓN • Clientes, Proveedores,
Socios, Bancos Mercados Financieros • Calificaciones de Crédito
IMPACTOS
RECAUDACIONES RETRASADAS • Las Pérdidas de Facturación • Descuentos Perdidos
IMPACTO AMBIENTALES PÉRDIDA DE PRODUCTIVEDAD • Número de Empleados afectados • Número de horas perdidas • % de Capacidad perdida
IMPACTOS EN SEGURIDAD • La pérdida de vida o lesiones • Irritación de las vías respiratorias • Enfermedad
• • • •
Contaminación del suelo Contaminación del aire Contaminación del agua Devastación de la flora y la fauna
IV. Preparación de las Herramientas del AIN Principales herramientas o
“Peor de los casos”
o Cuestionario o Guía para al responder a los cuestionarios o Guía para facilitadores y entrevistadores de talleres o El Programa y la presentación de un taller o Presentación de lanzamiento o El software del AIN
2.1.2. La Recopilación de Datos
Durante el análisis del impacto en el negocio, es recomendable recoger datos a través de cuestionarios, entrevistas, o talleres o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero estos datos se deberían recopilar sólo para respaldar o complementar los datos a través del contacto directo con expertos en la materia o Durante la fase de recolección de datos, la siguiente información debería ser recopilada: Evaluación de los impactos Identificación de los objetivos de continuidad del negocio, como RTO, RTP y MBCO Documentación de actividades prioritarias
I. Evaluación de los Impactos Ejemplo Umbrales de Impacto 1 Limitado
2 Importante
3 Grave
4 Critico
Riesgo Financiero
Riesgo Financiero
Riesgo Financiero
Riesgo Financiero
Riesgo Financiero
Impacto a la Funcionalidad
Sin más retraso después de 1 semana
Sin más retraso después de 2 semanas
Sin más retraso después de 1 mes
Sin más retraso después de 3 meses
Impacto en la Imagen Pública
Limitada Divulgación de Incidentes
Significativo Cambio de Imagen Pública
Importante Cambio de Imagen Pública
Cambio Permanente de la Imagen Pública
Compromiso de Responsabilidad
Quejas de los Clientes
Cuestionamiento de los Contratos Actuales
Cancelación de los Contratos Actuales
Destitución del Director General /o miembros de la Dirección
Impacto Económico, Humano y Social Riesgo Financiero
Pérdida Financiera Limitada
Pérdidas Financieras Importantes
Deudas Financieras
Quiebra
II. Identificación de los Principales Recursos y Dependencias Vinculados a los Procesos Críticos Ejemplo con un proceso de producción
III. Identificación de los Objetivos de Continuidad del Negocio RPO y RTO
Objetivo de punto de recuperación (RPO, por sus siglas en inglés) • Punto en que la información utilizada por una de las actividades debe ser restaurada para que la actividad pueda funcionar tras la reanudación.
Objetivo de tiempo de Recuperación (RTO) • Periodo de tiempo después de un incidente en el que: el producto o servicio deben reanudarse; o la actividad debe reanudarse; o los recursos deben ser recuperados.
RPO y RTO Ejemplo Objetivo de Tiempo de Recuperación (TTO)
Objetivo de punto de Recuperación (RPO)
El tiempo máximo aceptable
(Máxima pérdida de datos aceptable
Desastre Desastre
Tiempo 0:00 Copia de seguridad en cintas (7 Días)
Copia de seguridad de la red (24 H)
Sistema de espejos (1 Minuto)
Crítico (1 H)
Muy Importante (12 h)
Importante (72 H)
Identificación de los Objetivos de Continuidad del Negocio OMCN (MBCO) Objetivo Objetivo Mínimo Mínimo de de Continuidad Continuidad del del Negocio Negocio OMCN OMCN (MBCO) (MBCO) •• Nivel Nivel mínimo mínimo de de los los servicios servicios y/o y/o productos productos que que es es aceptable aceptable para para la la organización organización para para alcanzar alcanzar sus sus objetivos objetivos de de negocio negocio durante durante una una interrupción interrupción
100 %
Nivel de servicio normal
40 % 0%
Objetivo Mínimo de Continuidad del Negocio (MBCO)
IV. Documentación de las Actividades Prioritarias Resumen basado en las mejores prácticas
1
Descripción de la Función Empresarial
2
Las Actividades críticas
3
Las Dependencias
4
Impacto del Flujo de Trabajo
5
Consecuencias de No Procesar
2.1.3. Análisis de los Datos
Transcribir en minutas de entrevistas o síntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado Comprobar que los objetivos de continuidad de la empresa se justifican por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar
Identificar incoherencias
? ? ? ? ? ? ? ?
2.1.4. Validación de Datos
Validación Validación de de datos datos Validar con: Validar o con: Gerente de la función de negocio o o Gerente de del la función de negocio Director Departamento o Director del Departamento Cualquier cambio en los datos Cualquier cambio en los datos recopilados recopilados debe estar documentado y aprobado debe estar documentado y aprobado En la parte final de esta fase, asegúrese En de la parte fase, asegúrese que final toda de la esta información recopilada de está que toda la información recopilada completada, es precisa y está completada, es precisa y está está acordada por las personas implicadas acordada por las personas implicadas
2.1.5. Presentación del Informe del AIN
El El informe informe del del AIN AIN No hay formato normalizado para un informe del AIN y al igual que con muchos otros procesos, documento es probable que siga el formato estándar de la organización Como mínimo, el informe del AIN debe incluir: La lista de actividades que Apoyan a los principales productos y servicios. Las evaluaciones de impacto El RTO y las prioridades de la empresa para la recuperación Importantes dependencias y recursos de soporte
Resumen de Objetivos de Recuperación
Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés
Objetivo de Tiempo de Recuperación (RTO)
Corte máximo aceptable (MAO)
Plan de protección y de Medidas de mitigación
Plan de capacitación y sensibilización
Desastre 100% 40%
Nivel de servicio normal
Objetivo Mínimo de Continuidad del Negocio (MBCO)
Horas
Día
Semana
Mes
Tiempo
0%
Última copia de seguridad
Llegar al punto de los Servicios mínimos a recuperar
Volver a Normal
Análisis de Impacto en el Negocio (AIN) Resumen con un ejemplo
APORTACIONES DE LAS PARTES APORTACIONES INTERESADAS DE LAS PARTES INTERESADAS
Proceso de Negocio
Impactos Potenciales
Máximo de Inactividad Tolerable
Procesar Factura Procesar Factura
Operaciones más de 1.000 Empleados afectados
72 Horas
Reputación –medios de Comunicación anuncian preocupaciones
30 Horas
Reputación –visión del congreso
36 Horas
Servicio de atención al Cliente -más de 500 quejas de los clientes
36 Horas
Elaborar factura Elaborar factura Procesar Factura Procesar Factura Procesar Factura Procesar Factura
Componentes del Sistema
Objetivo de Tiempo de Recuperación
Servidor de Aplicaciones
36 Horas
Servidor Web
24 Horas
Servidor de Base de datos
12 Horas
Los ordenadores de escritorio
30 Horas
Interdependencias
Ejercicio 7 Análisis del Impacto en el Negocio (AIN)
Capacitación Implementador Líder Certificado en la ISO 22301 Sección 15 Evaluación de riesgos
a.
Identificación de riesgos
b.
Análisis de riesgos
c. Estimación de riesgos
2.2. Evaluación de Riesgos
1. 1. Planificar Planificar
1. 1. Planificar Planificar
1. 1. Planificar Planificar
2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación 1.6 Política de CN 1.7 Estructura organizativa
2.2 Evaluación del Riesgo
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
3.2 Auditoría interna 4.2 Mejora continua
2.5 Plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
2.7 Ejercicio y pruebas
3.3 Revisión por la Dirección
Proceso de Gestión de Riesgo (ISO 31000) Evaluación de riesgos
Diseño del marco de trabajo de la Gestión de riesgos (4.3)
Mejora continua Del marco De trabajo (4.6)
Implementación De la gestión De riesgos (4.4)
Seguimiento y Revisión del marco De trabajo (4.5)
Marco (cláusula 4)
Identificación de Riesgos (5.4.2)
Análisis de Riesgos (5.4.3)
Evaluación de Riesgos (5.4..4)
Tratamiento Tratamiento del del Riesgo Riesgo (cláusula (cláusula 5.5): 5.5):
Proceso (cláusula 5)
Seguimiento y revisión (5.6)
Establecer Establecer el el contexto contexto (5.3) (5.3)
Mandato y compromiso (4.2)
Comunicación y consulta (5.2)
a. Crear valor b. Parte integral de los procesos de la organización c. Parte de la toma de decisiones d. Aborda explícitamente la incertidumbre e. Sistemática, estructurada y oportuna f. Sobre la base de la mejor información disponible g. Adaptada h. Toma en cuenta los factores humanos y culturales i. Transparente e inclusiva j. Dinámica, interactiva y sensible a los cambios k. Facilita la mejora continua y la optimización de la organización de la organización Principios (cláusula 3)
Herramientas y Métodos para la Evaluación de Riesgos Presentados en la Norma ISO 31010 Tormenta Tormenta de de ideas ideas
Análisis Análisis de de la la causa causa raíz raíz
Mantenimiento Mantenimiento centrado centrado en en la la fiabilidad fiabilidad
Entrevistas Entrevistas estructuradas estructuradas oo semi-estructuradas semi-estructuradas
Modo Modo de de Falla Falla Análisis de Análisis de los los efectos efectos
Análisis Análisis furtivo furtivo de de circuitos circuitos
Análisis Análisis de de árbol árbol de de fallos fallos
Delphi Delphi
Análisis Análisis Markov Markov
Lista Lista de de verificación verificación
Análisis Análisis de de árboles árboles de de sucesos sucesos
Simulación Simulación de de Monte Monte Carlo Carlo
Análisis Análisis de de riesgo riesgo primario primario
Análisis Análisis de de causas causas yy consecuencia consecuencia
Estadísticas Estadísticas Bayesianas Bayesianas yy Bayes Bayes
Estudios Estudios de de peligros peligros yy Operabilidad Operabilidad (HAZOP) (HAZOP)
Análisis Análisis de de causa causa yyefecto efecto
Curvas Curvas FN FN
Análisis Análisis de de Peligros Peligros yy Puntos Puntos de Control Críticos de Control Críticos ((APPCC) ((APPCC)
Análisis Análisis de de protección protección de de la capa la capa (LOPA) (LOPA)
Índices Índices de de Riesgo Riesgo
Evaluación Evaluación de de riesgos riesgos medioambientales medioambientales
Árbol Árbol de de decisión decisión
Matrices Matrices de de probabilidad probabilidad // consecuencia consecuencia
Estructura Estructura “¿Y “¿Ysi?” si?” >>
(SWIFT) (SWIFT)
Análisis Análisis de de fiabilidad fiabilidad humana humana
Análisis Análisis de de la la relación relación coste/beneficio coste/beneficio
Análisis Análisis de de escenarios escenarios
Análisis Análisis de de lazo lazo
Análisis Análisis de de decisión decisión por por multi-criterios multi-criterios (MCDA) (MCDA)
Análisis Análisis del del impacto impacto en en el el negocio negocio
2.2. Evaluación de Riesgos Lista de actividades 2.2 Evaluación de Riesgos 2.1 AIN
2.2.1 2.2.1 Identificación Identificación del del riesgo riesgo
2.2.2 2.2.2 Análisis Análisis del del riesgo riesgo
2.2.3 2.2.3 Evaluación Evaluación del del riesgo riesgo
2.3 Política de CN 2.3 Política de CN
2.2.1. Identificación de Riesgos ISO 31000, cláusula 5.4.2 Las organizaciones deberían:
Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus causas Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias La organización debería aplicar herramientas y técnicas de identificación del riesgo que se adapten a sus objetivos y aptitudes, así como a los que está expuesta
Enfoque y Métodos de Identificación de Riesgos Norma ISO 31010, cláusula 5.2 o
Los métodos de identificación de riesgo pueden incluir: Métodos basados en la evidencia, ejemplos de los cuales son las listas de verificación y los comentarios de datos Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso sistemático para identificar los riesgos por medio de un conjunto estructurado de mensajes o preguntas Técnicas de razonamiento inductivo como HAZOP
o
Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi
1 HAZOP
= estudios de Peligros y Operabilidad
Identificación de Riesgos
Principales elementos incluidos en los Métodos de Evaluación de Riesgos
1.
Determinación de los criterios de aceptación de riesgos y la determinación de los niveles de riesgo aceptables 2. Identificación de los activos 3. Identificación de las amenazas a las que se enfrentan los activos 4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas 5. Identificación de los impactos 6. Análisis y evaluación del impacto 7. Análisis y evaluación de la probabilidad 8. Evaluación de los niveles de riesgo 9. Determinación de umbrales aceptables sobre la base de riesgos establecidos 10. Identificación y evaluación de opciones de tratamiento del riesgo 11. Selección de las medidas y controles para tratar los riesgos
2.2.2. Análisis de Riesgos ISO 31000, cláusula 5.4.3 El Análisis de riesgos se define como el análisis de un entorno de riesgos Cada riesgo se evalúa de acuerdo con:
Las pérdidas que pueden ocasionar La probabilidad de ocurrencia El costo de las contra medidas para mitigar el riesgo y La pérdida probable si esas contra medidas fueron aplicadas
Enfoque y Métodos de Análisis del Riesgo ISO 31010, cláusula 5.3.1 Análisis Cualitativo: Define la consecuencia, la probabilidad y el niel de riesgo por niveles significación, como “alta”, “medio” y “bajo”, puede combinar consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante los criterios cualitativos
de la de
Análisis Cuantitativo: Estima los valores estimados para las consecuencias prácticas y sus probabilidades, y produce los valores del nivel de riesgo en las unidades especificas definidas en el desarrollo del contexto. Un completo análisis cuantitativo puede no ser siempre posible o deseable debido a información insuficiente
Análisis de Escenarios de Riesgo Las categorías habituales
1
Escenarios Escenarios con con edificios edificios
2
Escenarios Escenarios de de utilidades utilidades
3
Escenarios Escenarios en en los los sistemas sistemas de de comunicación comunicación
44
Escenarios Escenarios de de sistemas sistemas informáticos informáticos
5
Escenarios Escenarios de de consumibles consumibles
6
Escenarios Escenarios que que involucran involucran personas personas
7
Escenarios Escenarios de de información información oo datos datos
Análisis de Escenarios de Riesgo Ejemplo
Escenario 1
No disponibilidad del edificio
Posibles Causas /Amenazas Fuego Inundación Amenaza de bomba Huelga Manifestación Fuga de gas
Consecuencias Se ha detenido la producción Incapacidad para garantizar la logística de entrega Incapacidad de facturar bienes entregados
Impacto
3 Probabilidad
2 Nivel de Riesgo
Huracán Terremoto
6
Comentarios: Comentarios: En En los los últimos últimos 10 10 años, años, la la organización organización ha ha perdido perdido 99 días días debido debido aa la la no no disponibilidad disponibilidad del del edificio edificio (una (una huelga huelga de de 77 días, días, 11 día día por por una una alerta, alerta, 11 por por un un fuga fuga de de gas) gas)
Cálculo de la Determinación de Riesgo Ejemplo de un cálculo del riesgo Posibilidad de ocurrencia - Amenaza Baja
Valor de los activos
Mediana
Alta
Nivel de Vulnerabilidad B
M
A
B
M
A
B
M
A
0
0
1
2
1
2
3
2
3
4
1
1
2
3
2
3
4
3
4
5
2
2
3
4
3
4
5
4
5
6
3
3
4
5
4
5
6
5
6
7
4
4
5
6
5
6
7
6
7
8
2.2.3. Evaluación de Riesgos ISO 31000, cláusula 5.4.4 o
La evaluación de los riesgos es la comparación de los niveles de riesgo estimados con los criterios de evaluación y los criterios de aceptación de riesgos y priorizarlos
o
La estimación de riesgos es necesaria antes de tomar una decisión sobre las posibles opciones para el tratamiento de riesgos incluyendo:
Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado
A cuáles riesgos se les dará prioridad
Decisión como resultado de la evaluación de Riesgos Norma ISO 31010, cláusula 5.4 Las decisiones pueden incluir:
Si un riesgo necesita tratamiento
Prioridades de tratamiento
Si una actividad debe llevarse a cabo
Cuál, de una cantidad de caminos debería seguirse
Nota: Nota: La La decisión decisión sobre sobre las las medidas medidas aa tomar tomar después después de de la la evaluación evaluación del del riesgo riesgo se se verá verá influida influida por por el el nivel nivel de de apetito apetito por por el el riesgo riesgo de de la la organización organización
Ejemplo de una Matriz de Evaluación de Riesgos
Amenaza
Valor de consecuencia (activo)
Probabilidad de ocurrencia de la amenaza
Nivel de riesgo
Orden de prioridad de la amenaza
Escenario A
5
2
10
22
Escenario B
2
4
8
33
Escenario C
3
5
15
11
Escenario D
1
3
3
55
Escenario E
4
1
4
44
Escenario Escenario F F
2 2
4 4
8 8
3 33
Evaluación de Riesgos Selección de medidas de protección y mitigación o
Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las medidas de gestión apropiadas y las prioridades de gestión de los riesgos y para aplicar las medidas de protección y mitigación para proteger contra estos riesgos
o
Las medidas pueden ser seleccionadas a partir de varias normas o pueden diseñarse nuevos controles para satisfacer las necesidades especificas de la organización
o
La selección de medidas de protección y mitigación se detallan en el Día 3
Día 3
Implementador Líder Certificado en la ISO 22031
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 16 Estrategia de continuidad del negocio a.
Análisis de las opciones de la estrategia de CN
b.
Selección de la estrategia de protección de actividades prioritarias
c.
Selección dela estrategia para estabilizar, continuar reanudar y recuperar actividades prioritarias
d.
Selección de la estrategia para la mitigación, respuesta y manejo de los impactos
e.
Evaluación de las capacidades de continuidad del negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 8.3.1 8.3 Estrategia de continuidad del negocio 8.3.1 Determinación y selección La determinación y selección de la estrategia deberá basarse en los resultados de los análisis de impacto en el negocio y la evaluación de los riesgos. La organización deberá determinar una adecuada estrategia de continuidad del negocio para: a) Proteger las actividades prioritarias, b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus dependencias y recursos de soporte, y c) Mitigar, responder al impacto y gestionarlo. La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la Reanudación de las actividades. La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del Negocio de los proveedores
Estrategia de Continuidad del Negocio
o
El objeto de la Selección de la Estrategia es colaborar en la definición de las necesarias para proteger a la organización y para seleccionar las soluciones para la recuperación más adecuada para las funciones críticas de la empresa y los recursos de soporte
o
La estrategia debe encarar los resultados del AIN y la evaluación del riesgo
o
La estrategia de continuidad del negocio es la base para los Planes de Continuidad del Negocio
EGY T A STR
2.3. Estrategia de Continuidad del Negocio Lista de las actividades 2.3 Estrategia de C.N. 2.1 AIN
2.3.3 Estrategia para Estabilizar, continuar, 2.3.3 Estrategia para Reanudar y recuperar Estabilizar, continuar, Reanudar y recuperar
2.2 Análisis de riesgos
2.3.4 Estrategia para mitigar, 2.3.4 Estrategia responder ay para mitigar, gestionar impactos responder a y gestionar impactos
2.3.1 2.3.1 Análisis Análisis && Selección Selección de de Una Una estrategia estrategia
2.3.5 Evaluación de las capacidades de 2.3.5 los Evaluación proveedoresde las capacidades de los proveedores
2.3.2 2.3.2 Estrategia Estrategia para para proteger proteger las las actividades actividades prioritaria prioritaria
2.4 Medidas de Protección & 2.4 mitigación Medidas de Protección & mitigación
2.3.1 Análisis de las Opciones de la Estrategia de CN
La organización debería determinar las opciones de estrategia para:
Proteger Proteger actividades actividades prioritarias prioritarias
Estabilizar, Estabilizar, continuar, continuar, reanudar reanudar yy recuperar recuperar actividades actividades prioritarias prioritarias
Mitigar, Mitigar, responder responder al al impacto impacto yy gestionarlo gestionarlo
2.3.2 Selección de la Estrategia para la Protección de Actividades Prioritarias
La protección de actividades Prioritarias puede ser dirigida a:
1
3 2
• Reducir el riesgo de la actividad
• transferir la actividad a un tercero (aunque la responsabilidad sigue siendo de la organización
• Cesar o modifica la actividad si existen alternativas viables
2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar y recuperar actividades prioritarias La organización debería determinar las opciones apropiadas de terminar las opciones apropiadas de estrategia para:
1
Traslado Traslado de de la la actividad actividad
2
ReRe- ubicación ubicación oo rere- asignación asignación de de recursos recursos
3
Procesos Procesos alternativos alternativos yy capacidad capacidad de de reserva reserva
44
Sustitución Sustitución de de habilidades habilidades yy recursos recursos
5
Solución Solución temporal temporal
2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y Manejo de los Impactos La organización debería determinar las opciones apropiadas de estrategia para:
ió n
ión
r ac de
t ac
tau ac os ti v
A) se La c gu on ro tr a
es
de un
R B)
La compra de seguros puede Ofrecer cierta compensación Financiera en caso de pérdidas, Pero no cubrirá todos los costes
La contratación de los servicios de las compañías que se especializan en la limpieza o reparación de bienes después de los daños
C) Gestión de la reputación
Desarrollo de una efectiva capacidad de comunicación y de Alerta y establecer procedimientos de comunicación eficaces
Ejemplo de Opciones de la Estrategia de CN Las estrategias de CN disponibles y el RTO que cumplen
C O S T O D E L A
E S T R A T E G I A
IX Sitio cliente VIII, Traslado a otros centros del grupo
VII, Trabajo a distancia VI, Sitio tibio V, Acuerdo reciproco
IV, Sitio móvil
III, Sitio frio
II, Reconstrucción y restauración
TIEMPO DE RECUPERACIÓN
Ninguna Estrategia
Características
I. Ninguna Estrategia
Ninguna estrategia definida
No hay documentación de recuperación y continuidad del negocio No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia utilizada por las organizaciones con un evaluado apetito por el riesgo o de un sitio con baja criticidad; también puede ser cuando un producto tiene una vida útil limitada
Ventajas La estrategia menos costosa para aplicar
Desventajas La estrategia más cara después de un desastre…
Características
II. Reconstrucción y Restauración
La estrategia se enfoca principalmente en los seguros
Documentación de los bienes materiales e instalaciones No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio con poca criticidad
Ventajas Estrategia de bajo costo y fácil de implementar Protección contra las pérdidas financieras de los activos físicos
Desventajas Estrategia que generalmente no toma en cuenta los procesos de negocio y los activos inmateriales Estrategia que no incluye un plan para asegurar la continuidad de las operaciones en caso de desastres
Características
III. Sitio frío
Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC en inglés) Listo para recibir el equipo pero no hay hardware de computación en el sitio Los enlaces de comunicación pueden o no estar preparados Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca criticidad
Ventajas Bajo coste Rápido de implementar Fácil de mantener
Desventajas
Falsa sensación de seguridad El tiempo de recuperación puede ser largo dependiendo de la complejidad de la tecnología y el equipo utilizado por la organización El proveedor d e servicios puede sobre valorar las capacidades de procesamiento
Características
IV. Sitio móvil
Tráiler que puede transportarse rápidamente a un sitio alternativo
Puede ser pre configurado con servidores, equipos de escritorio, equipos comunicaciones, microondas y enlaces para la transmisión de datos por satélite Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica
Ventajas
de
Bajo coste Rápido de implementar Fácil de mantener Flexibilidad
Desventajas La capacidad de los equipos puede ser insuficiente para la necesidad
Características
V. Acuerdo Recíproco
Acuerdo con otra empresa con hardware o configuraciones de software similares
Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad (Gran Suposición) Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto con un entorno de tecnología compatible
Ventajas Bajo o ningún costo Si los requisitos de procesamiento son similares puede ser variable
Desventajas Muy poco probable la existencia de la capacidad Limita severamente la capacidad de respuesta y apoyo
Características
VI. Sitio Tibio
Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y enlace de comunicación Las estaciones de trabajo y las impresoras están disponibles pero el software puede no estar instalado Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un sitio con baja o media criticidad
Ventajas
Desventajas
Costo – mucho menos que el del sitio Caliente
El proveedor de servicios puede sobre valorar capacidades de procesamiento
Ubicación: Ya que se requiere menos control, los sitios pueden ser más flexibles
Características
VII. Trabajo a Distancia
Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la empresa, por ejemplo hoteles Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio
Ventajas Bajo costo y fácil de implementar para una organización pequeña Solución Flexible flexibles
Desventajas Debido a cuestiones de seguridad y confidencialidad esta opción no siempre es adecuada Difícil de coordinar para grandes organizaciones
Características
VIII. Traslado a Otros Centros del Grupo
En el caso de un incidente perjudicial de una división de la organización, el traslado se hará a otro centro de la misma organización
Estrategia utilizada por grandes organizaciones con varias instalaciones
Ventajas Costo puede ser bajo a medio Fácil de implementar En la mayoría de casos, compatibilidad de tecnología Respuesta rápida de activar
Desventajas
los
No tiene una garantía de la existencia de la capacidad cuando sea necesario Contención de recursos durante los desastres
Características
IX. Sitio Caliente
Las aplicaciones se instalan en los servidores y las estaciones de trabajo Las estaciones de trabajo y servidores están actualizados Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o para un sitio con alta criticidad
Ventajas Disponibilidad 24/7, exclusividad de uso Disponible de inmediato Admite interrupciones de corto y largo plazo
Desventajas Costoso Requiere de un constante mantenimiento de hardware, software, datos y aplicaciones Seguridad del sitio caliente, la seguridad del sitio primario se debe duplicar
2.3.5 Evaluación de las Capacidades de Continuidad del Negocio de los Proveedores
o La organización debería evaluar los riesgos relevantes y, a continuación, adoptar las medidas adecuadas para garantizar que equipos críticos y los servicios de los proveedores pueden ser garantizados en caso de un incidente de interrupción que los afecta o Debería hacerse una evaluación periódica de la capacidad del CN para las actividades críticas tercerizadas o que dependen de un proveedor, Que puede ser por: Pedir que los proveedores estén certificados en la ISO 22301
Auditoría de los proveedores
La comprobación auditada de la viabilidad de los planes de continuidad de los proveedores clave
Firma de un Acuerdo Cuando la estrategia depende de un sitio alternativo 1. 2. 3. 4. 5.
Durante del acuerdo o contrato Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato Necesidades en materia de sistemas de información (incluidos los datos y requisitos de telecomunicaciones ) para el hardware, el software y las necesidades especiales del sistema (hardware y software) 6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad 7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto 8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba 9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación electrónicos e impresos 10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los servicios del sistema de información prestados), el proceso de negociar la ampliación del servicio 11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales) 12. Otras cuestiones contractuales, según corresponda
Ejercicio 8 Selección de una estrategia de continuidad del negocio
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 17 Las medidas de mitigación y protección a.
Medida de mitigación y protección
b.
Medida preventiva
c.
Medida de detección
d.
Medida correctiva
2.4. Las Medidas de Mitigación y Protección
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 8.3.3 Protección y mitigación Para identificar los riesgos que requieren tratamiento, la organización deberá estudiar medidas pro activas que: a) Reduzca la posibilidad de una interrupción; b) Acorde el periodo de interrupción; y c) Limiten el impacto de una interrupción en la provisión de los productos y la presentación de los servicios principales de la organización. La organización deberá elegir e implementar un tratamiento de riesgo apropiado según su nivel de aceptación del riesgo
2.4. Las Medidas de Mitigación y Protección Lista de actividades
2.1 AIN
2.4.2 Medidas de detección 2.4.2 Medidas de detección
2.2 Evaluación del riesgo
2.4.3 Medidas correctivas 2.4.3 Medidas correctivas
2.3 Estrategia de la Continuidad del Negocio
2.5 Plan de la Continuidad 2.5 de la delPlan Negocio Continuidad del Negocio
2.4.1 2.4.1 Medidas Medidas preventivas preventivas
2.6 Comunicación 2.6 Comunicación
Aplicación de las Medidas de Mitigación y Protección
Medidas Medidas Preventivas Preventivas
Medidas Medidas de de Detección Detección
Desastre
Medidas Medidas Correctivas Correctivas
Escenarios de Riesgo y la Selección de las Medidas de Mitigación y Protección Ejemplo Escenario
Probabilidad
Impacto
Evaluación
Medidas de Protección y Mitigación
Fracaso de los servicios públicos
Posible (3)
Grave (3)
Alto
• Redundancia en la protección de equipos de aire acondicionado • de salas técnicas • Contrato de Intervención Rápida • Redundancia de las tareas de mantenimiento • Documento de las tareas de mantenimiento
Acceso al sitio no autorizado
Regular (4)
Importante (2)
Alto
• Hacer valer el respeto de la política de seguridad física • Hacer valer el respeto de la política de acceso físico para las dependencias y los recursos
Vandalismo internacion al externo
Posible(3)
Grave (3)
Alto
• Redundancia del sistema • Las pruebas periódicas de los equipos de emergencia
Fallo eléctrico
Raro (2)
Importante (2)
Significativo
• Pruebas periódicas de generadores de electricidad • Estar conectados a dos estaciones de transformadores eléctricos • UPS y parada segura de la maquinaria • Utilización de equipos con doble fuente de alimentación • Contratos de Intervención Rápida
2.4.1. Aplicación de Medidas Preventivas
Reducir la probabilidad y el posible impacto Gestión Gestión de de riesgos riesgos
Protección Protección física física yy lógica lógica
Gestión Gestión del del Cambio Cambio yy de de la la configuración configuración
Medidas preventivas: - Trabajar de manera pro activa - Asegurarse de que su preparación es adecuada - Desalentar o prevenir la aparición de problemas - Debe estar basada sobre la mejora continua
Mantenimiento Mantenimiento del del equipamiento equipamiento
2.4.2. Aplicación de Medidas de Detección
Reducir el impacto Seguimiento Seguimiento
Alertas Alertas
Medidas de detección: - Detectar e identificar anomalías - Dar indicaciones rápida - No son discriminativas - Deben ir seguidas de un procedimiento de escalada
Gestión Gestión de de incidentes incidentes
2.4.3. Aplicación de Medidas Correctivas
Mitigación de las consecuencias Planes Planes de de CN CN yy RD RD (Recuperación (Recuperación ante ante Desastres Desastres))
Comunicación Comunicación
Copia Copia de de seguridad seguridad
Medidas correctivas: - Trabajar a corto y largo plazo - Deben seguir la gestión del cambio - Muy probablemente necesitan la participación humana - Debe incorporarse en la mejora continua
Seguimiento Seguimiento de de NoNoconformidades conformidades
Ejercicio 9 Medidas de mitigación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 18 Planes y procedimientos de continuidad del negocio a.
Desarrollo del plan de continuidad del negocio
b.
Estructura y formato del plan
c.
Contenido del plan de continuidad del negocio
d.
Tipos de planes de continuidad del negocio
e.
Activación de los diferentes planes
2.5. Planes y Procedimientos de la Continuidad del Negocio
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 8.4.1 Establecer y aplicar procedimientos de continuidad del negocio La organización deberá establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un evento perturbador y continuar sus actividades sobre la base de objetivos de recuperación identificados en el análisis del impacto en el negocio . La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial.
Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades de las personas que van a utilizarlos. Cada plan deberá definir: - Finalidad y alcance; - objetivos; - criterios y procedimientos de activación - procedimientos de aplicación; - funciones, responsabilidades y autoridades; - requisitos y procedimientos de comunicación; - Las interdependencias y las interacciones internas y externas. - necesidades de recursos; y - flujo de información y procesos de documentación
Plan de Continuidad del Negocio (PCN) Objetivos o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO
o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta inicial al punto en el que se reanudan las operaciones comerciales normales o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos para la continuidad del negocio y los equipos de recuperación de recursos En particular, el plan asigna roles y su rendición de cuentas, responsabilidad y autoridad El plan debe detallar las interfaces y los principios para hacer frente a una serie de cuestiones clave como, por ejemplo las comunicaciones internas/externas principales proveedores, entidades externas, servicios de emergencia y los medios
2.5. Planes y Procedimientos de la Continuidad del Negocio Lista de actividades
2.2 Análisis de Riesgos
2.5.2 Formato Y estructura Del Plan
2.7 Ejercicio y pruebas 2.7 Ejercicio y pruebas
2.3 Estrategia de la Continuidad del Negocio
2.5.3 Redactar el/los plan (es) de CN
2.4 Medidas de Protección y mitigación
2.5.4 Redactar los procedimientos de CN
2.5.1 2.5.1 Proceso Proceso del del desarrollo desarrollo del del plan plan
2.6 Comunicación
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar información
1. Nombrar un responsable
2. Enfoque y estrategia
3. Estructura,
5. Redacción
Formato, componentes
6-9 Revisión
8. Uso
7. Publicar
2.5.2. Definir un Formato y Estructura del Plan Recomendaciones o
La estructura del PCN debe ser personalizada para satisfacer las necesidades específicas de la organización
o Aunque el seguimiento de una estructura de PCN no es obligatorio, se recomienda un formato estándar de PCN que permita la aplicación coherente en toda la organización o La buena prácticas identifican que un PCN debería ser de diseño modular con diferentes secciones numeradas / nombradas consecutivamente Las distintas secciones del PCN proporcionan la oportunidad de formar documentos separados (denominados: módulos, secciones o “sub planes”) que pueden ser suministrados a las personas y/o equipos sobre la base de saber lo necesario
Análisis de Escenarios de Riesgo Contenido mínimo requerido por la ISO 22301 11
Finalidad Finalidad yy alcance alcance
22
Objetivos Objetivos
33
Criterios Criterios yy procedimientos procedimientos de de activación activación
44
Procedimientos Procedimientos de de aplicación aplicación
55
Las Las funciones, funciones, responsabilidades responsabilidades yy autoridades autoridades
66
Requisitos Requisitos yy procedimientos procedimientos de de comunicación comunicación
77
Las Las interdependencias interdependencias yy las las interacciones interacciones internas internas yy externas externas
88
Recursos Recursos necesarios necesarios
99
Flujo Flujo de de información información yy procesos procesos de de documentación documentación
Contenido a excluir del Plan de CN
Los siguientes datos no son esenciales para la invocación y el funcionamiento del plan de continuidad del negocio y deberían ser excluidos y mantenidos en documentos separados: X
Evaluación de Riesgos
X
Análisis del Impacto en el Negocio (AIN)
X
Informes de Ejercicios, Ensayos o Pruebas
X
Proceso de Mantenimiento
X
Informe de Auditoría
X
Otra información y registros no esenciales
Contenido del Plan de Continuidad del Negocio (parte 1) Ejemplo Descripción 1. Descripción general del Plan 2. La rendición de cuentas, Responsabilidades y autoridades 3. Notificación, invocación y escalada 4. Equipo de GCN 5. contactos 6. Lista de tareas y ayuda memorias
7. Información de soporte
de la Sección Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan, registro de evento o decisión Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio, Equipo de GCN de la Unidad de Negocio Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesos de escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una cascada inversa) y/o diagrama de flujo Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN, Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando Personal interno, contactos externos incluyendo expertos en la materia
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico, proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2) Descripción
de de la la Sección Sección
8. Las Actividades Criticas de la Empresa
Calendario Calendario de de las las Actividades Actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades de de apoyo, apoyo, recuperación recuperación de de las las Actividades Actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades Criticas Criticas de de la la Empresa Empresa oo de de actividades actividades de de apoyo apoyo (objetivos (objetivos del del RTO RTO yy RPO) RPO) Plan Plan de de acción, acción, perfil perfil de de recuperación recuperación de de recursos recursos de de la la GCN, GCN, perfil perfil de de recuperación recuperación de de la la GCN GCN
9. Ubicación del sitio de recuperación (dentro de la organización o proveedor externo)
Proceso Proceso de de invocación invocación y/o y/o diagrama diagrama de de flujo, flujo, diseñado diseñado del del plan plan del del piso piso del del sitio sitio de de recuperación recuperación (área (área de de trabajo), trabajo), mapa mapa de de ubicación ubicación del del sitio sitio de de recuperación, recuperación, re re ubicación ubicación de de personal personal (incluido (incluido el el transporte transporte yy alojamiento), alojamiento),seguridad, seguridad,correo. correo.
10. Perfil de los recursos de recuperación
Estaciones Estaciones de de trabajo trabajo estándares estándares decir decir escritorio, escritorio, silla, silla, teléfono teléfono yy ordenador, ordenador, elel equipo equipo de de computación, computación, las las aplicaciones aplicaciones de de software, software, conectividad conectividad de de las las tecnologías, tecnologías, las las telecomunicaciones, telecomunicaciones, los los datos datos copia copia de deseguridad, seguridad,documentos/registros documentos/registrosde devital vitalimportancia/únicos importancia/únicos,,equipos equipos de de oficina, oficina, equipo equipo de de especialistas, especialistas, suministros suministros de de oficina, oficina, por por ejemplo ejemplo requisitos requisitos de de acceso acceso para para personas personas discapacitadas discapacitadas al al sitio sitio de de recuperación recuperación
11. Las plantillas de formulario
Orden Orden del del Día Día de de las las reuniones, reuniones, información información interna, interna, registro registro de de decisiones decisiones yyacciones, acciones, informe informe de deestado estado de dela la lista lista de de tareas, tareas, mensajes mensajes telefónicos, telefónicos,hoja hojade decálculo cálculode deacciones accionesootereas. tereas.
Apéndices
Contratos ContratosyyAcuerdos Acuerdosde deNivel Nivelde deServicio, Servicio,volver volveraacasa casa
Tipos de Planes Descripción Plan de continuidad del negocio
Plan de respuesta a incidentes
de la Sección Procedimientos documentados que orientan a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras interrupciones Procedimientos documentados que orientan a las organizaciones para responder a un incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia
Plan de respuesta de emergencia
Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a la propiedad contra daños en respuesta a una amenaza física
Plan de gestión de crisis
Coordinación de los procedimientos para manejar situaciones complejas que representan una amenaza a los objetivos estratégicos, la reputación o la existencia de una organización
Plan de Recuperación
Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Plan de restauración
Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o reconstrucción de las instalaciones, redes o capacidad operativa
Plan de comunicación
Proporciona procedimientos par a difundir informes de situación al personal y al público
Plan de capacitación y sensibilización
Para garantizar procedimientos para difundir informes de situación al personal y al público
Plan de pruebas y ejercicios
Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activación de los Diferentes Planes Cronología de la respuesta de incidentes Tiempo
Desastre Protección y plan de mitigación
Plan de respuesta a incidentes Plan de respuesta de emergencia
Plan de gestión de crisis Plan de recuperación
Plan de restauración
Plan de comunicación
Plan de capacitación y sensibilización Plan de ejercicio y pruebas
2.5.4. Redacción de los procedimientos Relacionados con la CN ISO 22301, cláusula 3.39
Procedimiento Definición: Forma especificada para llevar a cabo una actividad o un proceso La estructura y el formato de los procedimientos documentados (copia impresa o por medios eléctricos) deberían ser definidos por la organización en las siguientes formas: texto, gráficos, tablas, una combinación de los anteriores, o cualquier otro método apropiado de la organización
Descripción de las Actividades en el Marco de un Procedimiento Las 6 palabras (W: W/H en inglés) 1. 2. 3. 4. 5. 6.
Quién Qué Cómo Cuándo Dónde Por qué
Ejemplo: El administrador de la red (quién) se asegura de que las copias de seguridad (qué)se completan mediante la revisión de lo registros de copia de seguridad (cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de Verificaciones (dónde) que se mantiene para futuras consultas (por qué)
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 19 Plan de respuesta a incidentes a.
Supervisión de eventos
b.
Detección de incidentes
c.
Valoración y evaluación de los incidentes
d.
Activación de la respuesta a incidentes
e.
Comunicación de respuesta a incidentes estructurada
f.
Escalada de los incidentes
g.
Documentación acerca de un incidente
Requisitos ISO 22301, cláusula 8.4.2 Estructura de respuesta a Incidentes La organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para administrar un incidente. La estructura de respuesta deberá: a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal, b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias, c) poner en marcha una respuesta de continuidad del negocio apropiada; d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta; e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un incidente perjudicial para minimizar el impacto, y La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias, incluyendo los medios de comunicación.
Requisitos ISO 22301, cláusula 8.4.3 Alerta y comunicación La organización deberá establecer, implementar y mantener procedimientos para: a) b) c) d) e) f) g)
la detección de un incidente, el seguimiento regular de un incidente, la comunicación interna en el seno de la organización y recibir, documentar y responder a la comunicación de las partes interesadas, recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo, Facilitar la comunicación estructurada con los equipos de emergencia, Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial; - Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal; - Funcionamiento de un servicio de comunicaciones. La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.
Plan de Respuesta a Incidentes Objetivos y contenido común El plan de respuesta a incidentes debería integrar procesos y procedimientos para: I. El seguimiento de los eventos que pueden provocar incidentes II. Detectar un incidente III. Analizar y evaluar un incidente IV. Declarar una respuesta a incidentes V . Facilitar la comunicación estructurada VI. Escalar un incidente VII. Documentar y registrar información vital acerca de la incidencia VIII. Revisión de un incidente
¿ Qué es un Incidente? ISO 22301, cláusula 3.19 o
Definición: Situación que pudiera constituir o pudiera redundar en una interrupción, una pérdida, emergencia o crisis
o Importante no confundir con el uso del término “incidente” en el campo de la seguridad de la información y tecnologías de la información:
Una interrupción no planificada de un servicio (ITIL en inglés)
Un único o serie de eventos de seguridad de la información no deseados o inesperados que tiene una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información (ISO 27000)
I. Supervisión de eventos o
La organización debe hacer un seguimiento de los eventos que podrían dar lugar a un incidente
o
El seguimiento debería estar en consonancia con los escenario documentados en la evaluación del riesgo y el AIN El uso de herramientas de detección y el análisis de tendencias Compartir e intercambiar con expertos Advertencias tempranas y los avisos recibidos de las autoridades, los servicios de emergencia, los clientes, los medios de comunicación, etc.
Informe de eventos
o
Un corte o interrupción puede ocurrir con o sin previo aviso
o Los eventos pronosticados debería ser comunicados a las partes interesadas pertinentes o Ejemplos:
Un aviso de antemano del Servicio Nacional de Meteorología de que está previsto un huracán que afectará una determinada zona
Los avisos y advertencias sobre una posible nueva gripe aviar enviados por la Organización Mundial de la salud Una alerta del CERT (Computer Emergency Response Team) de que un virus informático se espera en una fecha determinada
II. Detección de incidentes
o
o
La organización necesita implementar las medidas para incidentes y recoger la información asociada a ellos Las medidas de detección deben estar en línea documentadas en la evaluación del riesgo y el AIN
Alertas en el sistema de TI
Sistema de Alarma
con
detectar
hipótesis
Detector de Bombas y metal
III. Evaluación y Valoración de la Incidencia Ejemplo de un proceso Usuario/Fuente Notificación de
de un Evento
Grupo de Apoyo a las Operaciones
Equipo de Respuesta a incidentes
Equipo de Gestión de Crisis
Detección
Notificación de
Recopilación de
Evaluación de Decisión
Primera Evaluación No
Si ¿Relevante?
Segunda evaluación No
Relevante Si
Falso Positivo Comunicaciones
Análisis forense
Tiempo
No Respuest a inmediata
Si Respuesta positiva
Revisión de la
Mejora continua
¿Incidente bajo control?
Respuesta
No ¿Crisis?
Si Actividades de crisis
IV. Invocación de una Respuesta a incidentes Criterios y procedimientos o
El plan de CN debería se activado si se cumplen uno o más de los criterios de activación
o
Si se cumple un criterio de activación, la autoridad designada debería activar el plan
o
Los criterios para la activación de interrupciones o las disrupciones en el sistema son único para cada o organización u deberían definirse
o
Los criterios pueden basarse en: Magnitud de los daños al sistema (por ejemplo, físicos, operativos o costos) Criticidad del sistema ala misión de la organización (p. ej. Activo de protección de infraestructuras críticas) Duración prevista de la interrupción más larga que el RTO
V. Comunicación de respuesta a Incidentes
Comunicación de respuesta a incidentes
Para ponerse en
personal
contacto con
de emergencia
Para alertar a todas las partes interesadas potencialmente afectadas por un real o inminente perjudicial Asegurar la inter operabilidad de múltiples organizaciones y personal de respuesta:
el
Métodos de notificación
o
Las notificaciones se pueden realizar a través de una variedad de métodos, ya sean automático o manual, entre los que se incluyen: Teléfono Correo electrónico: Teléfono móvil Visitar en persona el hogar, etc.
o
Los sistemas de notificación automática siguen protocolos y criterios establecidos y pueden incluir una rápida aceptación y autenticación y mensajería segura
o
Los sistemas de notificación automática requieren una inversión inicial y una curva de aprendizaje, pero pueden ser una manera eficaz para algunas organizaciones para garantizar la rapidez y precisión en la entrega
VI. Escalada de un Incidente Ejemplo de una escalada de incidentes
to
da
en Ev
la ca Es
Modo Incidente
OK
Modo Estándar
Modo Crisis
OK
Modo de desastres
da a l ca Es
VII. Documentación de un Incidente
Toda la información pertinente relacionada con el incidente debería ser registrada, Incluyendo: 1. 2. 3. 4. 5. 6. 7.
Descripción del evento Categoría y prioridad Fecha/hora del registro, escalada, decisión Los activos y procesos afectados Grupos o personas afectados por el incidente Actividades realizadas para resolver el incidente y sus resultados Las Decisiones tomadas
VIII. Revisión Pos-incidente
En el caso de un incidente que perturba las actividades prioritarias de la organización o que requiere una respuesta a incidentes, debería llevarse a cabo una revisión pos-incidente. Esto puede incluir: 1. Identificar la naturaleza y la causa del incidente 2. Evaluar la suficiencia de la respuesta de dirección 3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de tiempo de recuperación 4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la hora de preparar a los empleados en la previsión del incidente 5. Identificar las mejoras que se pueden introducir 6. Compara los impactos reales con los que se consideran en el análisis del impacto en el negocio 7. Obtener retro alimentación de las partes interesadas y de los que han participado en la respuesta
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 20 Plan de respuesta de emergencia a.
¿Qué es una emergencia?
b.
Objetivos de un plan de respuesta de emergencia
c.
Funciones y responsabilidades
d.
Procedimiento de evacuación
e.
Procedimiento de presentación de informes de emergencia
f.
Controles para limitar los impactos durante una emergencia
g.
Controles de detección y prevención
h.
Sensibilización, simulacro y capacitación
Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio Los procedimientos de respuesta deberán contener colectivamente: c) Detalles para gestionar las consecuencias inmediatas de una interrupción De una interrupción del negocio, teniendo en especial consideración: 1) 2) 3)
el bienestar de las personas las opciones estratégicas y operativas para responder a la interrupción; y la prevención de pérdidas adicionales o indisponibilidad de las actividades priorizadas
¿Qué es una Emergencia? ISO 22399, cláusula 3.6 o
Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere acción inmediata
o
Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:
Fuego Incidente de materiales peligrosos Inundaciones o riadas Huracán Tornado Tormenta de invierno Terremoto Fallo de las comunicaciones Accidente radiológico Disturbios Civiles Pérdida de proveedores o clientes principales Explosión, etc.
Objetivos de un Plan de Respuesta de Emergencia
1ª PRIORIDAD: PROTEGER LA VIDA
o La protección de la salud y la seguridad de todos en las instalaciones es la primera prioridad durante una emergencia o Las otras prioridades pueden ser: Proteger el medio ambiente Limitar la pérdida financiera
Proteger la salud y la seguridad de los animales Proteger registros, Restaurar las operaciones, etc.
Plan de Respuesta ante Emergencias Elementos comunes que han de incluirse I.
Funciones y responsabilidades
II. Procedimiento de evacuación III. Procedimiento de presentación de informes de emergencia IV. Medidas inmediatas para limitar los impactos durante una situación de emergencia V . Procedimiento de apagado de instalaciones y sistemas VI. Medidas de detección y prevención VII. Sensibilización, simulacro y capacitación
I. Funciones y responsabilidades Coordinador de la Respuesta de Emergencia o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones o Él está al mando y en control de todos los aspectos de la situación de emergencia Redacción de los procedimientos de respuesta de emergencia Aplicar controles preventivos físicos Ordenar la evacuación o el cierre de las instalaciones Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación Mejores prácticas 1. 2.
3.
4. 5. 6.
7.
Determinar las condiciones bajo las cuales sería necesaria una evacuación Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local Redactar procedimientos de pos evacuación Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación Elementos esenciales con procedimiento de evacuación 1.
Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3.
Asegurarse de que las rutas de evacuación y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentación de Informes de Emergencia Listas de Llamadas de Emergencia o Las listas (del tamaño de una billetera si es posible) de todas las personas en y fuera de la planta que intervendrían para responder a una emergencia, sus responsabilidades y sus números de teléfono disponibles las 24 horas o Determinar requisitos locales y estatales para la presentación de informes sobre las emergencias y a incorporarlos en sus procedimientos
Policía
Cuartel de Bomberos
Compañía de Gas
Los proveedores de telecomunicaciones, etc.
IV. Medidas Inmediatas para Limitar los Impactos Elementos a tener en cuenta durante una emergencia o
En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el control del acceso, pero nadie debería colocarse en peligro físico para realizar estas funciones
o
Las medidas de seguridad básicas incluyen: Cierre las puertas o las ventanas Establecer barreras provisorias con muebles después de que las personas han evacuado de forma segura Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de materiales con fugas Cerrar los armarios de archivo o los cajones de escritorios
o
Sólo personal capacitado debería poder realizar medidas de seguridad avanzada
o
El acceso a la planta debería estar limitado a las personas directamente implicadas en la respuesta
V. Cierre de Instalaciones y Sistemas Establecer los procedimientos de apagado/cierre o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones y daños a la propiedad o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre o Trabajar con los jefes de departamento para establecer los procedimientos apagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar: Las condiciones que podrían exigir el cierre/apagado? ¿Quién puede ordenar un cierre/apagado Quién va a llevar a cabo los procedimientos de cierre/apagado Cómo afectaría un cierre parcial a otras operaciones de las instalaciones El tiempo necesario para apagar y reiniciar
VI. Controles de Prevención y Detección Algunos ejemplos de las medidas que se pueden aplicar ante una emergencia o
Sistema de protección contra incendios
o
Sistemas de protección contra rayos
o
Sistemas de vigilancia del nivel de agua
o
Dispositivos de detección de desbordamiento
o
Desconexión Automática
o
Sistemas de generación de energía eléctrica de emergencia
VII. Sensibilización, Simulacro y Capacitación 1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones 2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y confusión antes de llevar a cabo las actividades de capacitación más exigentes 3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo general más gente y es más profunda que la de un ejercicio de mesa 4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica, las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas problemáticas 5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas de escombros, humo en los pasillos. Los planes se modifican en consecuencia 6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la dirección de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10 Preparación de las pruebas de auditoría para el plan de respuesta ante emergencias
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 21 Plan de gestión de crisis a.
¿Qué es una crisis?
b.
Desarrollo del Plan Gestión de Crisis
c.
Contenidos del Plan Gestión de Crisis
Requisitos
o
Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un plan de crisis pueden ser incluidos en los planes)
o
El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de respuesta ante emergencias y el plan de comunicación en un único plan
Importante: Importante: El El plan plan yy los los procedimientos procedimientos desarrollados desarrollados deberían deberían permitir permitir responder responder al al mismo mismo tiempo tiempo de de una una forma forma coherente, coherente, integrada integrada yy complementaria complementaria
¿Qué es una crisis? ISO 22300, cláusula 2.1.12 Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y requiere medidas urgentes
Características de una Crisis
o
La crisis no siempre implican interrupciones de la actividad empresarial o amenazas a la vida, a la propiedad, los activos
o
Sin embargo, casi siempre son reto a la reputación de una organización y su marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y liderazgo efectivo
o
Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso escrutinio del público y de los medios
Plan de Gestión de Crisis Objetivos y elementos comunes incluidos El plan de gestión de crisis debería integrar procesos y procedimientos para:
I.
Las funciones, la rendición de cuentas, la responsabilidad y la autoridad
II. Procedimiento de Emergencia III. Notificación, invocación y escalada IV. Comité de Crisis y equipos de gestión de crisis V . Plan de comunicación de crisis
Gestión de Crisis Una responsabilidad de la alta dirección o
Las funciones de la gestión estratégica se amplifican durante una crisis
o
Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo largo de líneas que no se pueden prever
o
Incluso pueden incluir reposicionamiento estratégico de la organización en su conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección
o
Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a aplicar, conducir y dirigir la gestión de crisis
La Gestión de Crisis lidia con la Complejidad o
Una gran cantidad de incidentes que pudieran causar trastornos (tornado, terremoto, etc.) son predecibles y se pueden desarrollar respuestas prepreparadas
o
Las crisis, por otra parte, se producen a menudo por riesgos que no habían sido identificados, o por lo menos no se identificaron con la escala y la intensidad que han presentado
o
Una crisis también puede ser producto de una combinación imprevista de riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la respuesta por lo general requiere soluciones realmente creativas, en contraposición a las pre-preparadas,
o
La gestión de crisis debe ser capaz de hacer frente a problemas que no se pueden administrar por los procedimientos de GCN, sin importar qué tan bien desarrollados pueden estar
La Gestión de Crisis lidia con Dilemas
o
Las crisis están asociadas con problemas muy complejos, las consecuencias y la naturaleza de los cuales no ser clara en el momento. Cada solución posible puede tener graves consecuencias de una forma u otra
o
Los administradores pueden tener para elegir la solución “menos mala” y puede que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos fundamentales. Estos pueden significar que cada elección viene con una pena de algún tipo y que no existe una solución ideal
Comunicación Un factor clave de éxito Aun cuando la organización se considera que está mal, o censurable, la manifestación dela virtud, la integridad y la compasión pueden compensar, en cierta medida, el daño a su reputación y prestigio o
o La buena gestión de crisis puede demostrar las cualidades positivas de la organización y mejorar su reputación general
Ejercicio 11 Plan de pandemia
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 22 Plan de recuperación de TI a.
Objetivos del plan de recuperación de TI
b.
Activación del sitio de recuperación
c.
Traslado al centro de recuperación y logística
d.
Suministro de equipos
e.
Procedimiento financieros y administrativos
f.
Recuperación de telecomunicaciones
g.
Recuperación de datos y procedimientos de backup
h.
Recuperación de los servicios y sistemas por prioridad
i.
Procedimiento de recuperación para cada sistema
Requisitos ISO 22301, cláusula 8.4.4 Planes de continuidad del negocio
La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o reparará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán entender a las necesidades de las personas que van a utilizarlos
El Plan de Respuesta de TI Objetivos y elementos comunes incluidos El plan de recuperación de TI debería integrar los procesos y procedimientos para: I.
La activación del sitio de recuperación II. El traslado al centro de recuperación y logística III. El suministro de equipos IV. Los procedimientos financieros y administrativos V . Recuperación de telecomunicaciones VI. Recuperación de datos y procedimientos de backup. VII. Recuperación de los servicios y sistemas por prioridad VIII. Procedimiento de recuperación para cada sistema
Plan de Respuesta ante Emergencias Elementos comunes que han de incluirse I.
Funciones y responsabilidades
II. Procedimiento de evacuación III. Procedimiento de presentación de informes de emergencia IV. Medidas inmediatas para limitar los impactos durante una situación de emergencia V . Procedimiento de apagado de instalaciones y sistemas VI. Medidas de detección y prevención VII. Sensibilización, simulacro y capacitación
I. Funciones y responsabilidades Coordinador de la Respuesta de Emergencia o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones o Él está al mando y en control de todos los aspectos de la situación de emergencia Redacción de los procedimientos de respuesta de emergencia Aplicar controles preventivos físicos Ordenar la evacuación o el cierre de las instalaciones Organizar simulacros y ejercicios de evacuación
II. Procedimiento de Evacuación Mejores prácticas 1. 2.
3.
4. 5. 6.
7.
Determinar las condiciones bajo las cuales sería necesaria una evacuación Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local Redactar procedimientos de pos evacuación Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación Elementos esenciales con procedimiento de evacuación 1.
Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3.
Asegurarse de que las rutas de evacuación y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activación del Sitio de Recuperación
o
El equipo de recuperación debería llegar en primer lugar al sitio alternativo para hacer una evaluación rápida con el fin de preparar el traslado de los empleados
o
Con el uso de una lista de comprobación, se debería verificar y confirmar estado de los recursos en uso: HVAC Equipo y redes de TI Telecomunicaciones Copia de seguridad Espacio de oficina
el
II. Traslado al Centro de Recuperación y Logística Logística o Transporte de personal y materiales o
Apoyo y bienestar del personal
o
Lista de los proveedores y contratos
o
Entorno de los trabajadores remotos
III. Suministro de Equipos
Existen tres estrategias básicas para garantizar una rápida situación de los equipos Suministro Suministro de Equipos Equipos
Acuerdos con los proveedores Inventario de Equipos
Equipos Compatibles Existentes
IV. Compatibilidad y Administración La organización debería desarrollar los procedimientos financieros y administrativos para apoyar las necesidades de la empresa antes, durante y después de un incidente o
Deberían establecerse procedimientos para garantizar que las decisiones financieras se puedan acelerar y deberían estar en conformidad con os niveles de autoridad y los principios de contabilidad o
o
Los procedimientos deberían incluir, pero no limitarse a, lo siguiente: Autoridad de finanzas, incluyendo sus relaciones de subordinación al coordinador del programa(s) Acceso a fondos de emergencia Procedimientos de contratación de programas Nóminas Sistemas de contabilidad para llevar un seguimiento y documentar los costos
V. Recuperación de Telecomunicaciones
Métodos
Descripción
Redundancia
Consiste en proporcionar capacidad adicional con un plan para utilizar el exceso de capacidad si no se encuentra disponible la capacidad de transmisión principal normal
Ruta alternativa
Enrutamiento diverso Diversidad de Red larga distancia Sistemas de Comunicacione s de Emergencia
Información de enrutamiento a través de un medio alternativo como cables de cobre o fibra óptica Enrutamiento del tráfico mediante instalaciones de cable partido o de cable duplicado Muchos proveedores de instalaciones de recuperación han proporcionado diversas redes de larga distancia disponibles Con el fin de comunicarse entre los miembros del equipo, debería elegirse un sistema de comunicaciones de emergencia y otras alternativas
VI. Recuperación de Datos y Procedimientos de Backup Los componentes clave para restaurar la disponibilidad de la información o Los procedimientos de copia de seguridad es el componente clave para restaurar la disponibilidad de la información o Una organización debería asegurarse de que la integridad y la confidencialidad de los datos de la empresa se mantienen mientras se transfieren (ya se electrónica o físicamente) a y desde los centros de recuperación, sujeto a las obligaciones contractuales con organizaciones o Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los temas que una política y procedimientos de copias de seguridad deberían resolver están: A qué datos hay que hacerles copia de seguridad Cómo se caratula durante cuánto tiempo se mantiene Cómo se prueban las copias Con qué frecuencia se realizan backups Dónde se almacenan los medios Que tan rápidamente pueden ser recuperados los medios Quién está autorizado a recuperar los medios Cómo se restablecen
Copia de seguridad Principales soluciones 1. 1. Red Red de de Área Área de de Almacenamiento Almacenamiento
2. 2. Duplicación Duplicación
••Gracias Gracias aa la la virtualización virtualización del del almacenamiento, almacenamiento, se combinan varios dispositivos de se combinan varios dispositivos de almacenamiento almacenamiento en en un un solo, solo, lógico, lógico, sistema sistema de de almacenamiento almacenamiento virtual virtual
•• Con Con la la duplicación duplicación de de los los discos discos oo las las imágenes imágenes de recuperación, se ha optimizado de recuperación, se ha optimizado la la recuperación. recuperación. Los Los datos datos se se escriben escriben en en dos dos discos discos yy proporciona proporciona una una alta alta disponibilidad disponibilidad
3. 3. Procesamiento Procesamiento distribuido distribuido
4. 4. Almacenamiento Almacenamiento electrónico electrónico
••Los Los servicios, servicios, que que se se encuentra encuentra en en la la misma misma oo en en múltiples múltiples ubicaciones, ubicaciones, se se configuran configuran con con equilibrio de carga y agrupamiento para procesar equilibrio de carga y agrupamiento para procesar las las solicitudes solicitudes yy los los datos datos de de intercambio intercambio
••Con Con el el almacenamiento almacenamiento electrónico, electrónico, se se realiza realiza una una copia copia de de seguridad seguridad de de los los datos datos aa las las unidades remotas que se encuentran fuera de las unidades remotas que se encuentran fuera de las instalaciones instalaciones mediante mediante enlaces enlaces de de comunicación comunicación de alta calidad de alta calidad
5. 5. Diario Diario Remoto Remoto
6. 6. Archivos Archivos de de medios medios
••Las Las publicaciones publicaciones remotas, remotas, las las transacciones transacciones oo archivos de diarios son transmitidos archivos de diarios son transmitidos periódicamente a las unidades remotas periódicamente a las unidades remotas que que se se encuentran encuentran fuera fuera del del sitio sitio
••Otro Otro es es grabar grabar archivos archivos aa medios medios de de copia copia de de seguridad y transportarlos, a una ubicación fuera seguridad y transportarlos, a una ubicación fuera del del sitio sitio
Alineación de la Estrategia de Copia de Seguridad Con RPO y RTO Propiedad
Descripción
Propiedad baja – algún tipo de interrupción con poco impacto, daño o perturbación de la organización
• Copia de seguridad: Copia de seguridad en cinta • Estrategia: Reubicar o sitio frío
Propiedad importante o moderada – cualquier sistema que, si perturbado, podría causar un problema moderado a la organización y posiblemente a otras redes o sistemas De importancia fundamental o prioridad alta- el daño o perturbación a estos sistemas puede provocar el mayor impacto sobre la organización, misión y otras redes y sistemas
• Copia de seguridad: Duplicidad seguridad óptica de WAN/VLAN
de
• Estrategia. Sitio Frío o Tibio
• Copia de seguridad: Sistemas reflejados y duplicación de discos • Estrategia: Sitio Caliente
Copia de seguridad Ubicación y almacenamiento
Copia de seguridad • Puede ser almacenada en varios lugares, cada uno cumpliendo un propósito diferente • Cuando son transportados, los medios deberían ser garantizados
VII. Recuperación de los Servicios y Sistemas por Prioridad
Sobre la base de las prioridades de las operaciones predeterminadas en el análisis de impacto, una organización debería priorizar los servicios y los sistemas a restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños en el equipo, la disponibilidad real de personal y los posibles avances de la recuperación
rity o i Pr ! hdna adjhu jhj na sticas Ckde erí caract
VIII. Procedimiento de recuperación para cada Sistema
o
En el plan de recuperación, debería estar disponible un procedimiento de recuperación para restaurar cada sistema en el ámbito del SGCN con:
Una lista de la secuencia de operaciones a restaurar
Requisitos del sistema para restaurar Tiempo estimado para cada operación o
Se describen los procedimientos de recuperación por equipo se deberían realizar en la secuencia que se presenta para mantener un eficiente esfuerzo de recuperación
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 23 Plan de restauración a.
Los objetivos del plan de restauración
b.
Asegurar los sitios
c.
Evaluación de daños y seguros
d.
Plan de restauración y asignación de recursos
e.
Limpiar el sitio y restaurar la infraestructura
f.
Sistemas y recuperación de datos TI
g.
Pruebas y validación
h.
Traslado al sitio principal
i.
Recompensa y reconocimiento del personal
Requisitos ISO 22301, cláusula 8.4.5
No hay ningún requisito formal de la norma ISO 22301 Para establecer un plan de restauración
Plan de Respuesta ante Objetivos y elementos comunes incluidos El Plan de restauración debería integrar los procesos y procedimientos para: I.
Asegurar los sitios
II. Evaluación de daños y de seguros III. Plan de restauración y asignación de recursos IV. Limpiar el sitio y restaurar la infraestructura
V . Sistema y recuperación de datos de TI VI. Pruebas de validación VII. Traslado al sitio principal VIII. Recompensa y reconocimiento del personal
I. Asegurar los Sitios Primer paso En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes, saqueos, vandalismo, etc. o
o
Las obras de restauración deben ser protegidas para evitar acceso físico no autorizado
o
La planificación debería considerar cómo asignar o contratar guardias de seguridad
II. Evaluación de Daños y de Seguros
Evaluación de daños
Contacto con el seguro
III. Plan de Restauración y la Asignación de Recursos
Después de revisar la información sobre la magnitud de los daños y sus repercusiones en el funcionamiento, recolectados por los equipos de respuesta de emergencia y de continuidad, la alta dirección debería seleccionar las medidas que han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura
Limpiar el sitio
Reconstruir la instalación y Restaurar la infraestructura
V. Recuperación de los Sistemas de TI y de Datos
Restauración de la Infraestructura de TI
Restauración de datos
VI. Pruebas y Validación
Prueba y validación de datos
Las pruebas y la validación de datos es el proceso de prueba y validación de datos para asegurarse de que los archivos de datos o bases de datos se han recuperado completamente en la ubicación permanente
Pruebas y validación de la funcionalidad Pruebas de validación de la funcionalidad es el proceso de verificar que la funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los procedimientos de validación para asegurar que el sistema esté en funcionamiento
VII. Traslado al Sitio Principal
Restaurar Restaurar el el funcionamiento funcionamiento normal normal
Declaración Declaración de de fin fin del del incidente incidente oo crisis crisis
Cierre Cierre del del sitio sitio de de recuperación recuperación
Informes Informes de de comentarios comentarios yy de de pos-recuperación pos-recuperación
VIII. Recompensa y Reconocimiento del Personal
o
Cuando termina un incidente, es importante que el personal que participó en la respuesta a incidentes reciba cierto grado de recompensa o reconocimiento
o
Todo el personal afectado por el incidente tiene que saber que va a haber cambios como resultado del incidente, que ha habido aprendizaje para asegurarse de que no se repita o
Las personas que han trabajado más allá de sus horas de trabajo y que han tomado tareas adicionales deberían ver sus esfuerzos reconocidos de alguna manera o
Esto puede hacerse de manera informal o formal. Por lo general es muy positiva la participación de los gerentes y directores en un proceso formal de reconocimiento
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 24 Plan de comunicación a.
Principios de una eficaz estrategia de comunicación
b.
Proceso de Comunicación de CN
c.
Establecer objetivos de comunicación
d.
Identificar las partes interesadas
e.
Planificar las actividades de comunicación
f.
Planificar de la comunicación de una crisis
g.
Realizar una actividad de comunicación
h.
Evaluar la comunicación
2.6. Plan de Comunicación
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 7.4 y 8.4.3 7.4 Comunicación La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN incluyendo: a) Contenido de la comunicación. b) Cuando comunicar, y c) A quién se va a comunicar. La organización deberá establecer, implementar y mantener procedimiento(s) para : Comunicación interna entre las partes, interesadas y empleados dentro del a organización, Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras partes interesadas, incluidos los medios de comunicación, Recibir, documentar y responder a la comunicación de las partes interesadas. Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o equivalente a los efectos de la planificación y el uso operacional, cuando corresponda. Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo. Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter operabilidad de múltiples organizaciones y personal, cuando corresponda, y Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las comunicaciones normales.
2.5. Planes y Procedimientos de la Continuidad del Negocio Lista de actividades
5. Plan y procedimiento de la Continuidad del Negocio
2.6.4 Realizar una actividad de comunicación
2.6.1 2.6.1 Establecer Establecer objetivos objetivos de de Comunicación Comunicación
2.6.2 2.6.2 Identifica Identifica las Partes las Partes Interesadas Interesadas
2.6.5 Evaluar la comunicación
2.7 Capacitación y sensibilización
2.6.3 Planificar las actividades de comunicación
Principios de una Eficaz Estrategia de Comunicación
1
Transparencia Transparencia Hacer Hacer que que todos todos los los procesos, procesos, procedimientos, procedimientos, métodos, métodos, fuentes fuentes de de datos datos yy supuestos supuestos utilizados utilizados en en la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la confidencialidad confidencialidad de de la la información información según según se se requiera requiera
Idoneidad Idoneidad
2
Hacer Hacer que que la la información información proporcionada proporcionada en en las las partes partes interesadas interesadas sea sea pertinente, pertinente, utilizando utilizando formatos, formatos, el el idioma idioma yy los los medios medios que que cumplan cumplan con con sus sus intereses intereses yy necesidades, necesidades, para para que que puedan puedan participar plenamente participar plenamente
Credibilidad Credibilidad
3
Comunicar Comunicar con con una una conducta conducta honesta honesta yy justa, justa, yy proporcionar proporcionar información información que que sea sea veraz, veraz, exacta exacta yy sustantiva. sustantiva. Desarrollar Desarrollar la la información información yy datos datos con con métodos métodos ee indicadores indicadores reconocidos reconocidos yy reproducibles reproducibles
Respuesta Respuesta
55
Responder Responder aa las las preguntas preguntas yy preocupaciones preocupaciones de de las las partes partes interesadas interesadas de de forma forma plena plena yy oportuna. oportuna. Hacer Hacer conscientes conscientes aa las las partes partes interesadas interesadas de de cómo cómo se se han han abordado abordado sus sus preguntas preguntas ee inquietudes inquietudes
Claridad Claridad
4
Asegurar Asegurar que que los los métodos métodos de de comunicación comunicación yy el el lenguaje lenguaje son son comprensibles comprensibles para para las las partes partes interesadas para minimizar la ambigüedad interesadas para minimizar la ambigüedad
Proceso de Comunicación de la CN ORGANIZACIÓN Otros principios Corporativos, Políticas y estrategias
Política de comunicación de la continuidad del negocio
Estrategia de comunicación de la Continuidad del Negocio Establecer objetivos
Identificar las partes interesadas
Tener en cuenta las Cuestiones relativas a los recursos
Las actividades de comunicación de la continuidad del negocio Evaluar
Grupos objetivo
Planificar Realizar
Principios de la comunicación
Partes Interesadas
Política de continuidad del negocio
2.6.1. Establecer Objetivos de Comunicación Ejemplos o
Mejorar la credibilidad y la reputación de la organización
o Establecer diálogo constante sobre cuestiones de la continuidad del negocio con las partes interesadas o Cumplir con los requisitos legales aplicables y otros requisitos que la organización suscriba o
Influir en la política pública sobre problemas de continuidad del negocio
o
Proporcionar información y fomentar la comprensión de las partes interesadas acerca de las actividades de la continuidad del negocio
o
Cumplir con las expectativas de las partes interesadas sobre información de la continuidad del negocio
2.6.2. Identificar las Partes Interesadas Para adaptar el plan de comunicación
Medios de comunicación
Proveedores
Inversores Empleados
Comunidades
Clientes
2.6.3. Planificar las Actividades de Comunicación Claves para el éxito Una organización debería decidir qué es lo que pretende conseguir con una actividad de comunicación de la continuidad del negocio o
o Se deberían establecer objetivos compatibles con los objetivos de comunicación de la continuidad del negocio y que sean específicos, mensurables, alcanzables, realistas y con plazos o Esto permitirá que la organización evalúe la actividad de comunicación de la continuidad del negocio y determine si el objetivo se ha cumplido, o no o La organización debería prever problemas de continuidad de negocio interés para las partes interesadas
de
Planificar la Comunicación de una Crisis
o
Aunque la comunicación de la continuidad del negocio es importante en todo momento, es particularmente importante durante las crisis y las emergencias de continuidad del negocio
o La organización debería identificar las posibles crisis y emergencias, y planificar la adecuada comunicación de la continuidad del negocio o
La planificación debería abordar información pertinentemente para dar respuesta a las situaciones potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicación Métodos y herramientas de comunicación Sitio Web
Artículos de prensa
Visitas guiadas a la organización
Informes
Comunicados de prensa
Talleres Y Conferencias
Folletos & Boletines
Anuncios
Entrevistas con los Medios
Carteles
Reuniones Públicas
Presentación a los grupos
Correos electrónicos
Grupos de enfoque y encuestas
Medios sociales
Ejemplo de Actividades de Comunicación Invitación a visitas y medios de comunicación durante un ejercicio o
o
Los visitantes pueden tomar una función más o menos formal de “observador”
Se invita ocasionalmente a los medios de comunicación a informar sobre ejercicios (pero su presencia también puede ser peligrosa…)
2.6.5. Evaluar la comunicación o
Una organización debería permitir tiempo suficiente para que la comunicación de la continuidad del negocio sea eficaz
o
El tiempo necesario depende de la naturaleza de la comunicación, el número de partes interesadas y sus preocupaciones, y el tipo de soporte utilizando
o
La organización debería revisar y evaluar la eficacia de su comunicación de la continuidad del negocio
Comunicación y Reportes Ejemplo de un formulario Nombre del proyecto Responsable
Número de proyecto Nombre
Comunicación Enfoque de la comunicación Interés y temas principales Estado Actual (Partidario/ Natural/Oponente Apoyo deseado (Alto/Medio/Bajo) Funciones prevista en el Proyecto (si existe) Medidas previstas Avisos Necesarios Acciones y otros canales de comunicación
Nombre del interesado 1
Fecha
01.02.2015
Nombre del interesado 2
Nombre del interesado 3
Ejercicio 12 Comunicación de una crisis
Día 3
Implementador Líder Certificado en la ISO 22031
Curso de Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 25 Pruebas y ejercicios
a.
Definición
b.
Definición de la estrategia de ejercicios y pruebas
c.
Creación de un plan de ejercicios y pruebas
d.
Creación de escenarios de ejercicios y pruebas
e.
Programa de ejercicios y pruebas
f.
Determinar los objetivos de los ejercicios/pruebas
g.
Realizar una actividad de ejercicios y pruebas
h.
Evaluación de una actividad de ejercicios y de pruebas
i.
Informe de Ejercicios/Pruebas
2.7. Pruebas y ejercicios
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 8.5 Pruebas y ejercicios La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio. La organización deberá llevar a cabo ejercicios y pruebas que: a) Están en consonancia con el alcance y los objetivos del SGCN, b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos, c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas, d) Reducen al mínimo el riesgo de interrupción de las operaciones, e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras, f) Son revisados en el contexto de la promoción de la mejora continua y g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
Pruebas y ejercicios Ejercicio • Proceso para capacitar, evaluar, practicar, y mejorar el rendimiento de una organización
Prueba • Único y ejercicio, elemento de aprobar dentro objetivos del previsto
particular tipo de que incorpora un expectativa de del objetivo o los ejercicio que está
Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes, procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales; aclarando y capacitando al personal en funciones y responsabilidades; mejorar la coordinación inter institucional, y las comunicaciones; identificar las deficiencias en materia de recursos; mejorar el desempeño individual; e identificar las oportunidades de mejora
¿Por qué Evaluar Planes de Continuidad del Negocio? Objetivos de los ejercicios y pruebas Capacitación Capacitación del del personal personal en en la la utilización utilización de de planes planes de de CN CN Ganar Ganar adeptos adeptos en en todas todas las las áreas áreas de de negocio negocio Probar Probar la la adecuación, adecuación, exactitud exactitud yy veracidad veracidad de de los los actuales actuales planes planes de de recuperación recuperación Probar Probar los los componentes componentes de de elementos elementos técnicos técnicos Mejorar Mejorar procedimientos procedimientos de de recuperación recuperación del del negocio negocio Capacitación Capacitación del del personal personal en en la la utilización utilización de de planes planes de de CN CN Asegurar Asegurar que que todos todos los los aspectos aspectos del del negocio negocio están están cubiertod cubiertod
2.7. Pruebas y ejercicios Lista de actividades
2.6 Comunicación
2.7.1 2.7.1 Definición Definición de la de la estrategia estrategia
2.7.4 Programa de ejercicios y pruebas
2.7.5 Selección De objetivos De ejercicio/prueba
2.7.8 2.7.8 Informe Informe de de Ejercicio/Prueba Ejercicio/Prueba
3.1 Supervisión, Medición, análisis y 3.1evaluación Supervisión, Medición, análisis y evaluación
2.7.2 2.7.2 Plan Plan de de ejercicios ejercicios && pruebas pruebas
2.7.3. 2.7.3. Creación Creación de de escenarios escenarios
27.6 Realizar una actividad de ejercicio/prueba
2.7.7 2.7.7 Evaluación Evaluación de una de una actividad actividad de de ejercicio/prueba ejercicio/prueba
3.2 Auditoria interna
3.3 Revisión por la Dirección
2.7.1. Definición de la Estrategia de Ejercicios y Pruebas Proceso Proceso de de revisión revisión
Simulación de recuperación
Componente Componente
Integrado Integrado
Operacional Operacional
Servicio En operaciones
Familiarización Familiarización
Comprobación Comprobación yy tutorial tutorial del del proceso proceso de de invocación invocación yy recuperación recuperación
Pruebas Pruebas // ejercicios ejercicios de de cada cada proceso proceso O O competen competen de de la la infraestructura infraestructura
Pruebas Pruebas // ejercicios ejercicios de de recuperación recuperación del del Servicio Servicio integral integral
Aumentar la confianza y la capacidad de recuperación
Servicios Servicios integrales integrales de de conmutación conmutación entre entre el el Sitio Sitio principal principal yy el el secundario secundario
2.7.2. Creación de un Plan de Ejercicios y Pruebas
El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la base para una auditoría, incluyendo: 1. Funciones y responsabilidades 2. Frecuencia de los ejercicios y pruebas 3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio, etc. 4. Los riesgos generales que se deben administrar 5. Los recursos necesarios para ser eficaz 6. La competencias delas personas que ejercen la actividad 7. Los informes sobre las actividades 8. La firma de la alta dirección
2.7.3. Creación de Escenarios de ejercicios y Pruebas
Tipo Tipo de de ejercicio ejercicio
¿Qué ¿Qué es? es?
Beneficio Beneficio
Desventajas Desventajas
Lista Lista de de control control
Distribuye Distribuye planes planes para para su su revisión revisión
Asegura Asegura que que el el plan plan aborda aborda todas las actividades todas las actividades
No No aborda aborda la la eficacia eficacia
Tutorial Tutorial estructurado estructurado
Examina Examina detenidamente detenidamente Cada Cada paso paso del del PCN PCN
Asegurar Asegurar que que las las actividades actividades Previstas se describen Previstas se describen con con exactitud exactitud en en el el PCN PCN
Bajo Bajo valor valor para para demostrar capacidad demostrar capacidad de de respuesta respuesta
Simulación Simulación
Escenario Escenario para para representar representar Procedimientos Procedimientos de de recuperación recuperación
Sesión Sesión de de práctica práctica
Cuando Cuando los los subconjuntos subconjuntos son son muy muy diferentes diferentes
Paralelo Paralelo
Prueba Prueba completa, completa, pero pero las las Operaciones no Operaciones no se se detienen detienen
Garantizar Garantizar un un alto alto nivel nivel de de Fiabilidad sin interrumpir Fiabilidad sin interrumpir las las Operaciones Operaciones normales normales
Caro, Caro, ya ya que que todo todo el el personal está personal está involucrado involucrado
Interrupción Interrupción total total
El El desastre desastre se se replica replica al al punto punto de que cesen las de que cesen las Operaciones Operaciones normales normales
Prueba Prueba más más fiable fiable del del PCN PCN
Arriesgada Arriesgada
Tipo de Escenarios de Prueba para el Sistema de TI Objetivo •• Valida Valida que que los los equipos equipos yy sistemas sistemas se se ajustan ajustan aa las las especificaciones y que especificaciones y que operan operan en en los los entornos entornos requeridos, y que requeridos, y que los los procedimientos procedimientos yy los los procesos procesos son son viables. viables.
Prueba
Prueba Estática
Prueba Funcional Prueba Dinámica
2.7.4. Programa de Ejercicios y Exámenes
Departamento/Proceso/Sistema Recursos humanos
Prueba Estática
Finanzas Adquisiciones Ventas CRM
Dinámica
Sistema de correo electrónico
Funcional
Lista de control
Tutorial
Simulación
Ejercicio Paralelo
Interrupción total
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas Recomendaciones Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de prestación de servicios, el ejercicio debería ser cuidadosamente planeado para reducir al mínimo el riesgo de que ocurra un incidente como consecuencia directo del ejercicio o
o Los ejercicios deberían ser realistas y cuidadosamente planificados y acordados con las partes interesadas, de modo de que exista un mínimo riesgo de interrupción de los procesos empresariales La escala y la complejidad de los ejercicios deberían ser adecuadas a los objetivos de recuperación de la organización o
2.7.6. Realizar una Actividad de Ejercicio/Prueba El ejercicio debería realizarse en el momento oportuno que mejor responde a los objetivos del evento, y: partes
Causa el nivel mínimo de perturbación a la organización y a las interesadas
el
Cuando el número apropiado de participantes requeridos para apoyar ejercicio está disponible
Cuando los lugares físicos, activos, equipos o instalaciones están disponibles para su uso en el ejercicio
Detener o Suspender el Ejercicio
Detener o Suspender • Hay ejercicios que se pueden detener o suspender, antes de la hora programada por una serie de razones, incluso cuando se plantea un incidente real • Esta decisión de detener o suspender el ejercicio debería ser adoptada por el coordinador del ejercicio, que debería estar en posesión del estado de las actividades desarrolladas en el ejercicio y poder decidir el momento más seguro para detener las actividades • Algunas organizaciones utilizan palabras clave para lograr esto
Documentación de Ejercicios/Pruebas
Lista estándar 1. Escenarios de Prueba 2. Razones par ala prueba 3. Objetivos de la prueba 4. Tipos de pruebas 5. Cronograma de pruebas 6. Duración de la prueba 7. Pasos específicos de la prueba 8. Quiénes serán los participantes 9. Las asignaciones de las tareas de la prueba 10. Los recursos y servicios necesarios 11. Medición del éxito o el fracaso de las pruebas
2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba Los informes pos ejercicios deberían cubrir:
Tiempo
Suma
Tiempo real de ejecución de las tareas previamente determinadas vs. El tiempo planificado
Suma del trabajo realizado vs. El trabajo planificado
Número
Cantidad de transacciones y registros realizados con éxito vs. La cantidad planificada
Recomendaciones
Precisión de la entrada de datos en la instalación de reserva comparada con la precisión normal vs. La planificad
Precisión Lecciones aprendidas
Identificación de errores y comisiones
Lo que hay que aplicar para mejorar el PCN
2.7.8. Informe de Ejercicios/ Pruebas Ejemplo Dificultades / Problemas Durante el ejercicio/prueba
Razones/Causas
Cogniciones (Lecciones Aprendidas)
…
…
…
…
…
…
…
…
…
¿Qué ha funcionado Durante la prueba? ¿Qué no funcionó Durante la prueba?
Curso de Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 26 Supervisión, medición, análisis y evaluación a.
Proceso de supervisión, medición, análisis y evaluación
b.
Determinar los objetivos de la medición
c.
Objetivo de la supervisión y de la medición
d.
Determinación de la frecuencia y del método
e.
Presentación de los resultados
f.
Tablero del SGCN
3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 9.1 9.1 Supervisión, medición, análisis y evaluación 9.1.1 Generalidades La organización deberá determinar: a) Lo que debe ser medio controlado b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para asegurar resultados válidos; c) Cuándo el seguimiento y la medición deberán ser llevados a cabo; d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los resultados de las mediciones. La organización deberá conservar la información apropiada documentada como evidencia de los resultados. La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN. Además la organización deberá: - Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados antes de que se produzcan una no conformidad Conservar la información apropiada documentada como evidencia de los resultados -
Definiciones según la ISO 22301 Supervisión (3.29) •Determinar el estado de un sistema, un proceso o actividad
Medida (3.27) •Proceso para determinar un valor
Evaluación del Rendimiento (3.36) •Proceso de determinar resultados mensurables
Proceso de Supervisión, Medición, Análisis y Evaluación El objetivo principal es la mejora del SGCN Objetivo A Objetivo B Objetivo C
REVISIÓN Y MEJORA
OBJETIVO DE MEDICIÓN
TABLERO
Atributo A
Indicador de rendimiento A
Atributo B
Indicador de rendimiento B
Atributo C
Indicador de rendimiento C
3.1. Supervisión, Medición, Análisis y Evaluación del SGCN Lista de Actividades
2. Implementación del SGCN (Hacer)
3.1.4 Creación de paneles 3.1.4 Creación de paneles
3.1.1 3.1.1 Objetivos Objetivos de medición de medición
3.2 Auditoria Interna 3.2 Auditoria Interna
3.1.2 3.1.2 Objetivos Objetivos de de Supervisión Supervisión yy Medición Medición
3.3 Revisión por la Dirección 3.3 Revisión por la Dirección
3.1.3 3.1.3 Creación Creación de indicadores de indicadores
3.1.1. Determinación de los Objetivos de medición
Objetivos de la Medición La norma no indica lo que debe ser objetivo de supervisión o medición Corresponde a la empresa determinar qué es lo que necesita ser2. controlado y medido Función de Asesoramiento •
dentro de la organización para la mejora continua Es una mejor práctica centrarse en la vigilancia
y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de continuidad • Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante
3.1.2. Objetivo de la Supervisión y Medición ¿Qué mínimamente necesita ser supervisado y medido?
1. La medida en que se cumplen la continuidad del negocio, política, objetivos y metas de la organización
2. Los procesos, procedimientos y funciones que protegen sus actividades prioritarias
5. Los datos y los resultados de la supervisión y medición suficientes para facilitar el posterior análisis de las acciones correctivas y preventivas
3. Evidencia histórica de los resultados deficientes del SGCN, por ejemplo, no conformidad, conatos, falsas alarmas 4. El cumplimiento de las exigencias legales y nominativas, las mejores prácticas del sector y de la conformidad con su propia gestión de la política y objetivos de la continuidad del negocio
Indicadores de Rendimiento Ejemplos • % de falsas alarmas con detección de eventos • Costo promedio de un incidente
Incidentes
• % del personal que ha recibido capacitación y calificaciones de CN • Número de horas de capacitación de los empleados
Capacitación
• • % de planes probados • Número de ejercicios realizados en el último año
• % de no conformidades no cerradas en la demora fijada • Número de días en promedio para cerrar una no conformidad
Ejercicios
No conformidades
3.1.3. Determinación de la Frecuencia y el Método de Supervisión y Medición ¿Cómo y cuándo se debe controlar y medir?
Objetivos de la Medición COM O
La norma no indica, ni cómo ni la frecuencia con que debe realizarse o evaluarse la supervisión o la medición Es ala organización quien determina cómo controlar, medir y con qué frecuencia • Es la mejor práctica utilizar tableros para registrar y notificar las actividades de medición y supervisión con indicadores de rendimiento • Los tableros deberían indicar los resultados obtenidos frente a los objetivos de rendimiento
3.1.4. Presentación de los resultados Ejemplo de Tablero
Ejecución – Operativo Presenta a los actores de la continuidad operacional la realidad de los controles implementados
Gestión – Táctico Mide el progreso hacia el logro delos objetivos tácticos
Alta Dirección – Estratégico Hace posible el progreso de la estrategia de continuidad
I. Tablero Operativo Ejemplo
II. Tablero Táctico Ejemplo Evaluación de los procedimientos Nro.
Procedimiento evaluado
1
Procedimiento de control de documentos
2
Procedimiento de control de registros
3
Procedimiento de competencia, sensibilización y capacitación
4
Procedimiento de auditorias interna
5
Procedimiento de acciones correctivas
6 8
Procedimiento de acciones correctivas Procedimiento de revisión por la dirección Procedimiento de supervisión y medición
9
Procedimiento de gestión de recursos
1 0
Procedimiento de compra
7
Evaluación global
Notas a la debilidad Y la fuerza
Nivel de cumplimiento 1
2
3
4
5
6
7
8
III. Tablero Estratégico Ejemplo Indicador 1
80 70 60 50 40 30 20 10 0
Indicador 2
Serie 1 65 49
19
Serie 2
61
48
28
18
Indicador 4
71
39
27
Indicador 3
29
36
41
50
2004 2005 2006 2007 2008 2009 2010 Descripción A
Descripción B
Descripción C
Descripción D
Descripción E
Ejercicio 13 Supervisión, medición, análisis y evaluación
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 27 Auditoria Interna a.
Las diferencias entre las Auditorías Internas y Externas
b.
Rol de la Función de la Auditoria Interna
c.
Independencia, objetividad e imparcialidad
d.
Planificación de las actividades de auditoria
e.
La gestión y la asignación de recursos
f.
Crear un procedimiento de auditoría
g.
Actividades de seguimiento de no conformidades
3.2. Auditoría Interna
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 9.2 9.2 Auditoría interna 9.1.1 Generalidades La organización deberá llevar a cabo auditorías internas a intervalos planificados para proporcionar información a fin de prestar asistencia en la determinación de si el SGCN: a) cumple:
b)
1) Las necesidades propias de la organización para su SGCN, 2) Los requisitos de esta norma Internacional. se aplica y es manteniendo de forma afectiva.
La organización deberá: - Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia, métodos, - responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías (s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores, - Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria, - La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad del proceso de auditoría. - Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la auditoría.
¿Qué es una Auditoría? ISO 19011, cláusula 3.1 Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla para determinar en qué medida cumple los criterios de auditoría
En resumen: Auditoría significa preguntar al auditado Lo que hace, y comprobar si lo hace
Tipos de Auditorías Externa Auditoría de Segunda Parte Nuestro cliente audita nuestra organización
Interna Auditoría de primera Parte
Auditoria de Segunda Parte Nuestra organización audita a nuestro proveedor
Nuestra organización audita sus propios sistemas
Cliente
Auditoría de Tercera parte La organización es auditada por una organización independiente
Proveedor
Organización
Las Diferencias entre las Auditorías Internas y Externas Principales características
Auditoría Interna 1. Es independiente de las actividades auditadas (no de la organización) 2. Considera la eficacia y la eficiencia del sistema de gestión 3. Función de Asesoramiento dentro de la organización para la mejora continua 4. Puede llevarse a cabo en el curso de las operaciones
Auditoría Externa 1. Totalmente independiente de la organización auditada y sus actividades 2. Sólo considera la eficacia del sistema de gestión 3. No tiene función de asesoramiento a la organización (sólo recomendaciones generales) 4. La actividad de la auditoría siempre e planifica de manera oportuna
Principales Servicios y Actividades de la Auditoría Interna
1. Evaluación de los objetivos del sistema de gestión
8. Coordinación entre las auditorias internas y externas
7. Evaluación de la mejora continua
2. Evaluación general del Funcionamiento del sistema de gestión
Objetivos principal es 3. Evaluación de la gestión de riesgos en curso
6. Evaluación de la medición y la revisión del sistema de gestión
5. 4 Evaluación de la eficacia y la eficiencia de la gestión del ciclo de vida del mismo sistema de gestión
4. Evaluación de la eficacia y la eficiencia de los procesos y medidas
ISO 19011 Guía de auditoría para los sistemas de gestión
o Las definiciones de los conceptos de auditoría de sistemas de gestión o Descripción de las características y principios básicos de la auditoría y la profesión de auditor
INTERNATIONAL ISO STANDARD 19011
o Descripción de todos los elementos clave del proceso de auditoría
______________________________________ Societal security- Business continuity Management Systems –Requirements
o Descripción de los aspectos fundamentales de un programa de auditoría
o Directrices sobre las calificaciones de los auditores
______________________________________
2.7. Pruebas y ejercicios Lista de actividades
3.1 Supervisión, medición, análisis y evaluación
3.2.4 Planificar actividades de auditoria
3.2.8 3.2.8 Seguimiento Seguimiento de de No No conformidades conformidades
3.2.1 3.2.1 Crear Crear el el programa programa de de auditoría auditoría interna interna
3.2.2 3.2.2 Designar Designar una una Persona Persona Responsable Responsable
3.2.3 3.2.3 Establecer Establecer Independencia, Independencia, objetividad objetividad ee Imparcialidad Imparcialidad
3.2.5 Asignar y administrar los recursos
3.2.6 Crear procedimiento de auditoría
3.2.7 3.2.7 Realizar Realizar actividades actividades de de auditoría auditoría
3.3 Revisión por la Dirección 3.3 Revisión por la Dirección
3.2.1. Crear el Programa de Auditoria Interna
Establecer el programa de auditoría (5.2) - Objetivos y alcance – Roles y responsabilidades - Competencia - riesgo del programad e auditoría Procedimientos - Recursos
Revisar y mejorar programa de auditoría (5.5)
-Definir cada objetivo, alcance y criterios de la auditoría -Determinar el método (s) de auditoría -Asignar responsabilidades a los auditores -Gestionar y mantener registros del programa de auditoria
Supervisión del programa de auditoria (5.4) -Revisar y aprobar los informes de auditoría -Determinar la necesidad de una auditoria de seguimiento -Evaluar el desempeño delos miembros del equipo de auditoria y retro alimentación por parte de todos los interesados
Competencia y evaluaciones de los auditores (cláusula 7) Actividades de Auditoria (cláusula 6)
Verificar
Actuar
Aplicación del programa de auditoría (5.3)
Hacer
Planificar
ISO 19011, cláusula 5
3.2.2. Designar una Persona Responsable Funciones y responsabilidades 1. Desarrollar un programa de auditoría interna (funciones y responsabilidades, procedimientos, documentos de trabajo, formación de auditores, etc.) 2. Planificar las actividades de auditoría 3. Administrar los recursos 4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con estos criterios 5. Escribir informes de auditoría 6. Asegurar que se siguen las mejores prácticas y que se aplican los procedimientos de auditoría durante la realización de la auditoría. 7. Implementar un programa de evaluación continua de los auditores 8. Realizar el seguimiento de las no conformidades y las recomendaciones de auditorías anteriores
Principales Servicios y Actividades de la Auditoría Interna
Preparar, conducir y cerrar una auditoria, comunicación oral y escrita de las conclusiones
Principios de auditoría
Evaluación y gestión de los riesgos de auditoría y aquellos relacionados a la operación de un sistema de gestión
Sistema de gestión
Riesgos de auditoría Aspectos legales
Principales procesos presentes en todas las organizaciones (RRHH, Finanzas, Producción, etc.)
Operación de un sistema de gestión e interacción entre sistemas
Proceso organizacional
Principales leyes y reglamentos, cláusulas de contrato
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditoría Definición normal del propósito y actividades de la auditoría interna
Definición formal del alcance y la extensión de la auditoría interna
Estructura del estatuto (carta) de auditoría
Definición de las responsabilidades y los servicios que serán proporcionados por la auditoría interna
Definición formal de la autorización de acceso de Auditores internos
El establecimiento de la independencia de la auditoría interna
El Acceso y la Independencia
El acceso a los recursos y la colaboración
1
• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados, oficinas, información, explicaciones y la documentación necesaria para el buen desarrollo de la auditoría para el buen desarrollo de la auditoría • Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de auditoría
Independiente
2
• Los auditores internos deben ser independientes de los procesos auditados, y esto generalmente se garantiza si el auditor informa a la Comisión de cuentas de la organización en lugar de directamente a la alta dirección • Esta necesidad de independencia debería reflejarse en el organigrama
3.2.4. Planificación de las Actividades Planificación a corto y largo plazo
Una planificación de auditoría d alto nivel para tres años • Esta planificación debe tener en cuenta que el sistema general de gestión debería ser auditado cada tres años Una planificación anual más detallada • Esta planificación debe tener en cuenta que no hay ningún requisito para que el auditor audite todos los procesos y controles del sistema de gestión durante ese año
3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría ISO 19011, cláusula 5.3.6
Recursos financieros
Políticas y procedimientos de auditoría
Recursos humanos
Herramientas
Logística
3.2.6. Crear Procedimientos de Auditoría ISO 19011, cláusula 5.3.5 Los procedimientos de auditoría deberían incluir información sobre cómo: 1. Planificar y programar las auditorias teniendo en cuenta los riesgos de auditoría 2. Administrar la seguridad de la información y la confidencialidad y gestionar los riesgos de auditoría 3. Garantizar la competencia de los auditores y los lideres de los equipos
4. Seleccionar equipos de auditoria apropiados y asignar sus roles y responsabilidades
7. Informar de los resultados del programa de auditoría al cliente de auditoría
5. Realizar auditorias incluyendo el uso de métodos de muestreo apropiados
8. Mantener registros programa de auditoría
6. Realizar el seguimiento de la auditoría, si procede
9. Monitorear la operación, los riesgos y eficacia del programa de auditoría
del
Para las organizaciones pequeñas, las actividades mencionadas arriba pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditoría
Fuente de información
Uso de Procedimientos de auditoría Incluyendo el muestreo Evidencia de la auditoría Evaluación frente a los Criterios de auditoria Hallazgo de la auditoría Revisión Conclusiones de la auditoría
No conformidad Definición o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad es el “no cumplimiento de un requisito” o Hay dos tipos de no conformidades No conformidad menor
No conformidad mayor
3.2.8. Seguimiento de no conformidades Directrices El auditor interno debería seguir los planes de acción presentados en respuesta a las no conformidades (como resultado de las autoridades internas externas) o
o
y
La persona a cargo del SGCN debe informar al auditor interno de la marcha de las acciones correctivas
El papel del auditor interno se limita a validar los planes de acción y las acciones correctivas o
o No todas las medidas correctivas tiene que ponerse en práctica inmediatamente Basado Basado en en su su experiencia experiencia yy conocimiento, conocimiento, el el auditor auditor interno interno debería debería ejercer ejercer buen buen criterio criterio yy evaluar evaluar si si los los planes planes de de acción acción apropiados apropiados yy pueden pueden abordar abordar las las causas causas intrínsecas intrínsecas de de las las conformidades conformidades
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 29 Tratamiento de problemas y no conformidades a.
Proceso de análisis de la causa raíz
b.
Herramienta de análisis de la causa raíz
c.
Procedimiento de acciones correctivas
d.
Procedimiento de acciones preventivas
3.3. Revisión por la Dirección
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 9.3 Revisión por la Dirección La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia La revisión por la dirección deberá incluir la consideración de : a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección; b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema de gestión de la continuidad del negocio; c) Información sobre el desempeño de la continuidad del negocio, incluyendo las tendencias en : 1) No conformidades y acciones correctivas. 2) Los resultados de la evaluación del seguimiento y la medición; 3) Resultados de la auditoría; y d) Oportunidades para la mejora continua.
Revisión por la Dirección Definición Una revisión periódica de la eficacia del Sistema de Gestión realizada por la alta dirección para analizar su conveniencia, adecuación y eficacia continuas
Término
Concepto
Idoneidad
Los resultados se logran de la mejor manera posible
Adecuación
Las salidas cumplen con los criterios establecidos
Eficacia
El sistema cumple con las necesidades de la organización
3.3. Revisión por la Dirección Lista de actividades
1.2 Implementación del SGCN
3.1 Supervisión Medición, análisis y evaluación
3.3.2 Realizar la Revisión 3.3.2 por la Realizar Dirección la Revisión por la Dirección
3.3.3 Cierre de la Revisión 3.3.3 de por la Cierre Dirección la Revisión por la Dirección
3.2 Auditoría Interna
3.3.4 Seguimiento de la Revisión 3.3.4 por laSeguimiento Dirección de la Revisión por la Dirección
3.3.1 3.3.1 Preparar Preparar la Revisión la Revisión por por la la Dirección Dirección
4. Mejora Continua 4. Mejora Continua
3.3.1. Preparación de la Revisión por la Dirección
o
La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados (por lo menos una vez al año)
o
La revisión por la Dirección se puede incluir en una reunión de Dirección y ser uno de los temas del orden del día
o
Es una buena práctica enviar al comité de gestión toda la documentación relacionada (informe de auditoría, resultados de las revisiones, planes de acción…) antes de la revisión
Requisitos ISO 22301, cláusula 8.5 Pruebas y ejercicios La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio. La organización deberá llevar a cabo ejercicios y pruebas que: a) Están en consonancia con el alcance y los objetivos del SGCN, b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos, c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas, d) Reducen al mínimo el riesgo de interrupción de las operaciones, e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras, f) Son revisados en el contexto de la promoción de la mejora continua y. g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
3.3.2. Realizar una Revisión por la Dirección Temas que figuraran en el programa La entrada de una revisión por la Dirección debería incluir información sobre: 1. 2.
Los resultados de auditorías del SGCN y sus revisiones Las técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el rendimiento y la eficacia del SGCN 3. Estado de las acciones preventivas y correctivas 4. Los resultados de ejercicios y pruebas 5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo anterior 6. Los resultados de las mediciones de la eficiencia 7. Las acciones de seguimiento de revisiones por la Dirección anteriores 8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos 9. Adecuación de la política 10. Recomendaciones para la mejora 11. Las enseñanzas derivadas de incidentes 12. Buenas prácticas y guías emergentes
3.3.3. Resultados de la Revisión Decisiones y resoluciones El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones relacionadas con lo siguiente: 1. Variaciones al alcance del SGCN; 2. Mejora de la efectividad del SGCN; 3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante incidentes y procedimientos de respuesta; 4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los cambios en: Requisitos empresariales y de funcionamiento Reducción de riesgos y requisitos de seguridad Procesos de las conducciones de funcionamiento del negocio que inciden en los requisitos operativos existentes; Los requisitos reglamentarios o legales Las obligaciones contractuales Los niveles de riesgo y/o criterios para la aceptación de riesgos; Necesidades de recursos Los requisitos económicos y presupuestarios Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles
3.3.4. Seguimiento de la revisión por la Dirección
o
Las revisiones por la Dirección deben ser documentadas
o
La organización debería presentar informes sobre la revisión por la Dirección a todos los que forman parte de ella
o El coordinador del SGCN y el quipo de auditoría interna tiene la responsabilidad de garantizar que los planes de acción de seguimiento sean aprobados Dirección
Follow
Up!
4.1. Tratamiento de Problemas y No Conformidades
1. 1. Planificar Planificar
1.1. Iniciar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 10.1 10 Mejora 10.1 No conformidad y acción correctiva La organización deberá: a) Identificar no conformidad(es); b) Reaccionar a la falta de conformidad y, en su caso 1) Adoptar medidas para controlar, contener y corregirla, 2) Hacer frente a las consecuencias. c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad, con el fin de que no se repita o se de en cualquier otra parte d) Implementar las medidas necesarias e) Examen de la eficacia de las medidas correctivas adoptadas, f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a los efectos de las no conformidades encontradas g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.
Definiciones ISO 9000
Mejora continua
Actividad recurrente para aumentar la capacidad de cumplir con los requisitos (ISO 9000, 3.2.13)
Corrección
Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Acción Correctiva
Acción para eliminar la causa de una no conformidad detectada u otra situación indeseada (ISO 9000,3.6.5)
Acción Preventiva
Medidas para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades Lista de actividades
2 Implementación del SGCN
3.1 Medición del SGCN
4.1.2. Procedimiento d 4.1.2. acciones Procedimiento correctivas d acciones correctivas
4.1.3. Procedimiento de 4.1.3. acciones Procedimiento correctivas de acciones correctivas
3.2 Auditoría Interna
4.1.4. Planes de acción 4.1.4. Planes de acción
4.1.1 4.1.1 Proceso Proceso de resolver de resolver problemas problemas yy no no conformidades conformidades
4.2. Mejora Continua 4.2. Mejora Continua
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas
Inicio
Definir y Verificar Causa(s)
4
Face de Planificación
0
Identificar el Problema
1
Establecer el Equipo/ Utilizar un enfoque de Equipo
2
Describir el Problema
3
Desarrollar Plan Provisional de Contención
Seleccionar las causas Probables
No
¿Es la Causa Una Causa Raíz?
Elegir/ Comprobar las Acciones Correctivas Permanentes (ACP)
5
Validar y Aplicar las ACP
6
Prevenir la recurrencia
7
Facilitar a su Equipo
8
S i Desarrollar Soluciones posibles(s)
Finalizar
Herramienta de Análisis de la Causa Raíz Diagramas de causa y efecto
Evaluaciones
El personal de TI no mide el rendimiento del prestador del servicio del sitio de la red.
No hay un procedimiento Para gestionarlo No hay formación en la sensibilización Ningún proceso establecido para tratar con sitio de la red Cuando se descompone
Gestión de
Recursos
Recursos No se siguen adecuadamente los procedimientos de actualización de la página web
Proveedor externo inadecuado Equipos Obsoleto
El personal de TI no está apropiadamente capacitado para gestionar el sitio de la red. El Sitio de la Red no funciona con frecuencia
No hay capacitación de gestión del sitio de red para sus empleados Insuficiencia de recursos para gestionar el sitio de la Red
Procedimientos
Causas Prioritarias
Haciendo las preguntas correctas Necesarias para el análisis de cualquier problema Situación Situación actual actual
Interrogatorio Interrogatorio
Seguimiento Seguimiento de de la la solución solución
Opción Opción (es) (es)
¿Qué ¿Qué se se ha ha hecho? hecho?
¿Por ¿Por qué qué es es necesario? necesario?
¿Qué ¿Qué otra otra cosa cosa podríamos podríamos hacer? hacer?
¿Qué ¿Qué se se hará? hará?
¿Cómo ¿Cómo se se hace? hace?
¿Por ¿Por qué qué se se hace hace de de esta esta manera? manera?
¿Cómo ¿Cómo hacerlo hacerlo de de manera manera diferente? diferente?
¿Cómo ¿Cómo se se hará hará esto? esto?
¿Quién ¿Quién lo lo hizo? hizo?
¿Por ¿Por qué qué esta esta persona? persona?
¿Quién ¿Quién más más podría podría hacerlo? hacerlo?
¿¿ Quién Quién lo lo hará? hará?
¿Dónde ¿Dónde se se hace? hace?
¿Por ¿Por qué qué se se hace hace en en este este lugar? lugar?
¿Dónde ¿Dónde más más podríamos podríamos hacerlo? hacerlo?
¿Cómo ¿Cómo se se hará hará esto? esto?
¿Cuándo ¿Cuándo se se hace? hace?
¿Por ¿Por qué qué se se hace hace en en este este momento? momento?
¿Podríamos ¿Podríamos hacerlo hacerlo en en otro otro momento? momento?
¿Cuándo ¿Cuándo se se va va aa hacer? hacer?
4.1.2. Procedimiento de Acciones Correctivas
Mejora Continua
Acción correctiva
Análisis situacional
Identificación de la no conformidad
Revisión y seguimiento de acciones tomadas
Implementación de soluciones y registros de las medidas tomadas
Análisis de las causas raíz
Evaluación de las opciones
Selección de soluciones
Identificación y documentación de la no conformidad
4.1.3. Procedimiento de Acciones Preventivas
La organización deberá determinar las acciones para eliminar las causas potenciales de no conformidad, de conformidad con los requisito del SGCN
Costos
Eficacia
Acciones preventivas
Acciones correctiva
4.1.1. Elaboración de Planes de Acción
Se Se puede puede escribir escribir en en forma forma resumida resumida
Deben Deben permitir permitir que que sea sea corregida corregida la la no no conformidad conformidad
Deberían Deberían basarse basarse en en un un enfoque enfoque preventivo preventivo yy correctivo correctivo
Deben Deben incluir incluir un un plazo plazo de de ejecución ejecución
Deben Deben permitir permitir la la obtención obtención de de resultados resultados verificados verificados
Presentación de los Planes de Acción tras una Auditoría
o
Se deberá presentar un plan de acción global por cada no conformidad, no un plan de acción para todas las no conformidades
o
Los planes de acción deben ser aprobados por la dirección
o El auditor analizará las causas y evaluará si la corrección especifica y las medidas correctivas adoptadas o previstas, permitirán eliminar no conformidades detectadas, dentro de un tiempo definido
Planes de Acción Ejemplo
1
Almacenar datos archivados y correos electrónicos en un servidor de archivos más fiable (2º trimestre 2008)
2
Una nueva versión de la política de CN debe ser publicada para incluir un marco para establecer objetivos (en el plazo de 2 meses)
3
Los nombres de las personas de contacto en caso de desastre deben ser explícitamente mencionados en el plan de continuidad del negocio (inmediatamente) y los procedimientos para contactar a estas personas deben ser documentados y comunicados (Tema incluido en el plan de concientización del 2009)
Ejercicio 14 Planes de acciones correctivas
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 30 Mejora continua a.
Proceso de seguimiento continuo de factores de cambio
b.
Mantenimiento y mejora del SGCN
c.
Actualización continua de la documentación y registros
d.
Documentar las mejoras
4.2. Mejora Continua
1. 1. Planificar Planificar 1.1. Planificar el SGCN 1.2 Comprensión de la organización 1.3 Analizar el sistema existente 1.4 Alcance 1.5 Liderazgo y planificación
2. 2. Hacer Hacer 2.1 Análisis del Impacto en el Negocio (AIN)
3.1 Supervisión, medición, análisis y evaluación
2.2 Evaluación del Riesgo
4. 4. Actuar Actuar
4.1 No conformidades y acción correctiva
2.3 Estrategia de la Continuidad del Negocio 2.4 Medidas de Protección & Mitigación
1.6 Política de CN
2.5 Plan y procedimientos de la
1.7 Estructura organizativa
continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia y sensibilización
3. 3. Verificar Verificar
2.7 Ejercicio y pruebas
3.2 Auditoría interna 4.2 Mejora continua
3.3 Revisión por la Dirección
Requisitos ISO 22301, cláusula 10 10 Mejora 10.2 Mejora Continua La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del SGCN NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación y evaluación del desempeño, para lograr mejoras.
Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la eficiencia de la organización para cumplir con sus políticas y objetivos.
En pequeños pero certeros pasos
4.2. Mejora Continua Lista de Actividades
2. Implementación del SGCN (Hacer)
3. Verificar
4.2.2. Mantenimiento y 4.2.2. mejoras Mantenimiento y mejoras
4.2.3. Actualización de la 4.2.3. Actualización documentación de la documentación
4.1. Tratamiento De problemas y no conformidades
4.2.4. Documentar las mejoras 4.2.4. Documentar las mejoras
4.2.1. 4.2.1. Supervisión Supervisión de factores de factores de de cambio cambio
Auditoría de Certificación Auditoría de Certificación
4.2.1. Proceso de Seguimiento continuo de los Factores de Cambio
Los cambios en la organización • • • •
Misión Objetivos de la empresa Presupuesto y recursos Cambios en el personal
Cambios por el SGNC
Cambios en las tecnologías
• Política de continuidad del negocio • Nuevos escenarios de riesgo • Los cambios de los procedimientos • Resultado de las pruebas y ejercicios • Resultado de la auditoría
• Hardware • Software • Los procedimientos de TI • Los procesos de TI
Los Cambios externos • Leyes y reglamentos: • Necesidades y preocupaciones de los clientes y proveedores • Proveedores de SLA • Los cambios en el entorno por ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
•
El SGNC debe ser mantenido y actualizado periódicamente.
Mejora
Mantenimiento Implementación
• Las mejoras acordadas en el proceso y las acciones necesarias para mejorar el proceso deberían ser notificadas a los directores más apropiados para asegurar que ningún riesgo es pasado por alto ni subestimado antes de la aplicación de los cambios.
4.2.3. Actualización Continua de la Documentación y Registros Cambio continuo Documentación del SGCN • • • • • • • •
Política del SGCN Análisis de riesgos Estrategia Continuidad del Negocio y planes de reanudación Programa de sensibilización Programas de Educación Planificación de las actividades y los resultados. Los niveles de servicio acordados
Ejercicio • • • • • • • • • •
Evolución organizacional Nuevas reglas Cambios en el alcance del negocio Incidentes Funcionamiento defectuoso Fallos Informes de la Gestión de Riesgos Resultados de las pruebas Auditorías Internas Auditorías Externas
Revisar y adaptar
4.2.4. Documentar las Mejoras Por lo general, mediante el procedimiento de gestión del cambio Record of Changes
Page #
Change Comment
Date of Change
Signature
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 31 Preparación para la auditoría de certificación a.
Selección de la entidad de certificación
b.
Preparación para la auditoría de certificación
c.
Etapa 1 de la auditoría
d.
Etapa 2 de la auditoría
e.
Auditoría de seguimiento
f.
Decisión sobre la certificación
g.
Auditoría de vigilancia
Requisitos
ISO 22301, cláusula 4.4 Sistema de gestión de continuidad del negocio La organización deberá establecer, implementar, mantener y mejorar continuamente un SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de esta Norma Internacional.
Organismo de Certificación ISO 17021 Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión. Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas.
Lista de Actividades
Seguimiento de de Seguimiento la Auditoría la Auditoría
Auditoría Inicial Inicial Auditoría
Antes de de la la Antes Auditoría Auditoría
Proceso de Certificación
Informe de auditoría interna Revisión por la Dirección
1. Seleccionar un Organismo de 1. Certificación: Seleccionar un Organismo de Certificación:
2. Preparación de la auditoría
3. Etapa 1 de la auditoría
4. Etapa 2 de la auditoría (auditoría in situ)
5. Auditoría de seguimiento (si es necesario)
6. Decisión de Certificación
Implementación del SGCN
Mejora Continua y Auditoría de Vigilancia
Antes de la Auditoría o
Antes de ser auditado, un SGNC debe estar en funcionamiento durante un tiempo determinado
o
Por lo general, se requiere un plazo mínimo de tres meses.
o
Como mínimo, se debe haber realizado por lo menos una auditoría interna, así como una revisión por la dirección.
1. Selección de un Organismo de Certificación Principales criterios
1
Notoriedad y credibilidad
2
Presencia geográfica
3
Las referencias en su sector
4
Posibilidad de una auditoría combinada
5
Habilidades y experiencia del equipo auditor
6
Precio
El Rechazo de un Auditor
o
o
Es posible solicitar la sustitución de los miembros del equipo de auditoría por razones válidas. El equipo de auditoría podría retirarse si considera que las razones mencionadas no son válidas.
e razones d lo p m je E válidas: en encuentra e s r o it d u e • El a conflicto d e d n ió c a u una sit cial) al o poten e (r s ré te in o a mostrad h r o it d u a o • El conducta n te n e rm o ri ante l profesiona no tiene la r o it d u a l E • rida por la e u q e r n ió habilitac ditada. entidad au
2. Preparándonos para la Auditoría de Certificación Recomendaciones
Preparación para la auditoría
3. Auditoría de práctica. 3. Auditoría de práctica.
1. La Auto
evaluación 1. La Auto evaluación
2.Preparar al personal 2.Preparar al personal
3. Etapa de la auditoría
1. Visita al sitio
• Evaluación de la ubicación del cliente y las condiciones específicas del lugar. • Reunión/contacto con el personal auditado. • Observación general de las operaciones del SGCN
2.2. Entrevistas con actores claves
• Validación del alcance, así de cómo las limitaciones legales, reglamentarias y contractuales aplicables • Validación de que se han realizado las auditorías internas y las revisiones por la Dirección. • Preparación de la etapa 2 de la auditoría.
3. Revisión de documentos
• Comprensión general del funcionamiento del sistema de gestión. • Evaluación del diseño del sistema de gestión, así como de los procesos y controles relacionados.
Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.
4. Etapa 2 de la auditoría Auditoría in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA Asegurar que el SGCN: -
Cumple con todos los requisitos de la norma ISO 22301 Está eficazmente aplicado Permite que la organización logre sus objetivos de continuidad del negocio
Recomendación de Certificación
Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes relativas a la certificación: 1. Recomendación para la certificación. 2. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas sin visita previa. 3. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas con visita previa. 4. Recomendación desfavorable.
5. Realización de una Auditoría de Seguimiento ISO 17021, cláusula 9.1.12-13
•
Basado en las conclusiones de la auditoría, el auditor puede tener que llevar
a cabo una auditoría de seguimiento antes de que la organización sea recomendada para la certificación. •
La verificación de los planes de acción y las medidas correctivas relacionadas con las no conformidades identificadas en el informe de auditoría.
Una no conformidad mayor debería generalmente implicar una auditoría de seguimiento.
6. Decisión sobre la Certificación ISO 17021, cláusula 7.5.2 y 9.2.5.1
El organismo de certificación debe tomar la decisión de certificación basado en: Una evaluación de los resultados y conclusiones de la auditoría. Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)
Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.
6. Decisión sobre la Certificación ISO 17021, cláusula 7.5.2 y 9.2.5.1
El organismo de certificación debe tomar la decisión de certificación basado en: Una evaluación de los resultados y conclusiones de la auditoría. Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)
Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.
Elementos a Auditar durante una Auditoría de Vigilancia ISO 17021, cláusula 9.3.2
Gestión del Cambio
Planes de Acción
Auditoría Interna
Revisión por la Dirección
La auditoría se centra principalmente en la mejora continua, y en el seguimiento de los planes de acción.
La auditoría de vigilancia tiene por objeto garantizar que el SGCN sigue siendo implementado y está mejorando.
Mejora Continua
Reclamos Y Sugerencias
Control de las Operaciones
Efectividad y métricas
Utilización de marcas registradas
Auditoría de Re Certificación ISO 17021, cláusula 9.4
•
Una auditoría de re certificación deberá ser planificada y realizada para evaluar el cumplimiento continuo de todos los requisitos cada tres años.
•
La auditoría de re certificación tendrá en cuenta el rendimiento del sistema de gestión durante el periodo de certificación, y deberá incluir la revisión de los anteriores informes de auditoría de vigilancia.
•
La duración de una auditoría de re certificación debería ser de 2/3 del tiempo dedicado a la auditoría inicial
Uso de los Órganos de Certificación y las Marcas Registradas ISO ISO 17021, cláusula 8.4.1.
•
Una organización certificada está autorizada para exhibir públicamente su certificación y para su uso con fines de comercialización
•
La certificación no se puede mostrar directamente en un producto o de una manera que conduzca a creer que el producto está certificado.
•
El organismo de control proporcionará a la entidad auditada un logotipo que se puede utilizar para la comercialización.
Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 32 Competencia y evaluación de un Implementador Líder
a.
Las competencias de un implantador
b.
Esquema de certificación de PECB
c.
Solicitud de auditoría
d.
Mejora continua de las competencias
Definiciones de Competencia ISO 9000, cláusula 3.1.6 Contexto
Capacidad Capacidad demostrada demostrada
para para aplicar aplicar conocimientos conocimientos yy habilidades habilidades
Habilidades de conducta a tic ac r P
nte
Conocimientos de
Competencia
Competente
Conocimiento De se m
to ex nt Co
Habilidades
pe ño
xto e t n Co
Habilidades de Conducta
Habilidades de Conducta Habilidades de Conducta 1. Integridad
5. Perceptivo
10. Responsable
2. Mente abierta
6. Versátil
11. Abierto a la mejora
3. Diplomático 4. Observador
Describe en detalle cómo se llevan a 7. Tenaz Cabo las tarea y actividades
12. Culturalmente sensible
8. Decisivo 9. Auto suficiente Proporciona la evidencia objetiva del Cumplimiento de los requisitos de la norma
13. Colaborador
Esquema de Certificación de PECB para la ISO 22301 Resumen de requisitos
Examen ISO 22301 Fundamentos
ISO 22301 Auditor Líder
ISO 22301 Implementador Líder
AL ISO 22301 + IL ISO 22301
Credencial Profesional
Experiencia Profesional
Experiencia auditoría de SGCN
Experiencia Proyecto de SGCN
ISO 22301 Fundamentos
---------------
-------------
-------------
ISO 22301 Auditor Provisional
--------------
------------
-------------
2 Años (1 en continuidad del negocio)
200 horas
ISO 22301 Auditor Líder
5 Años (2 en continuidad del negocio)
300 horas
------------
Implementador Provisional ISO 22301
------------
------------
------------
ISO 22301 Implementador
2 Años (1 en continuidad del negocio)
------------
200 horas
ISO 22301 Implementador Líder
5 Años (2 en continuidad del negocio)
------------
ISO 22301 Master
10 años (6 en continuidad del negocio)
500 horas
ISO 22301 Auditor
------------
300 horas 500 horas
Proceso de la Certificación de PCEB
1. Examen PECB
2. Certificado CPD
1. Examen PECB
2. Certificado CPD
5. Evaluación de su solicitud 5. Evaluación de su solicitud
6. Certificación 6. Certificación
3. Resultados del examen 3. Resultados del examen
7. Mantenimiento de la certificación 7. Mantenimiento de la certificación
4. 4. Solicitud Solicitud de de certificación certificación
GRACIAS
Docente: Ing. Manuel Castillo Fernández 453
View more...
Comments
