ISO/IEC 22301
2016
Docente: Ing. Manuel Castillo Fernndez
1
Agenda de la Semana
Da
Da 1
1
Introduccin a
a la
la norma
norma ISO
ISO 22301
22301 y
y el
el
Introduccin
inicio
inicio
De un
un SGCN
SGCN
De
Planificar la
la implementacin
implementacin del
del SGCN
SGCN
Planificar
Da
Da 2
2
Da 3
3
Da
Despliegue del
del SGCN
SGCN
Despliegue
Monitoreo del
del SGCN,
SGCN, mejora
mejora contina
contina y
y
Monitoreo
Preparacin para
para la
la auditora
auditora de
de
Preparacin
certificacin
certificacin
Examen final
final
Examen
a.
b.
c.
d.
e.
Qu es la ISO?
Principios fundamentales de la ISO
Normas de sistemas de gestin
Sistema de gestin integrado
Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
Qu es ISO?
realizados
1.
pas
2. Adhesin voluntaria: ISO no tiene la
autoridad
PRINCIPI
para forzar la adopcin de sus normas
OS
Bsicos
3. Orientacin al negocio: ISO slo
de desarrolla normas para
existe demanda del mercado
las
Normasa
4. Enfoque de consenso: busca un amplio
ISO consenso entre las
distintas partes interesadas
5. Cooperacin internacional: ms de 160
pases adems de
organismos de enlace
Enfoque en el
cliente
Liderazgo
Enfoque del
Sistema para la
gestin
Participacin de
Las personas
Enfoque en los
procesos
Mejora continua
Enfoque basado
en hechos para la
Toma de decisiones
Relaciones
Mutuamente
Beneficiosas con
el proveedor
ISO 22000
Sanidad
Alimentaria
OHSAS 18001
ISO 14001
Medioambiente
Salud y
Seguridad en
el trabajo
ISO 22301
ISO 27001
Continuidad
del Negocio
Seguridad de la
Informacin
ISO 20000
Servicios
de TI
ISO 28000
Seguridad de
la Cadena de
Suministro
ISO
14001:2004
ISO
20000:2011
ISO
22301:2012
ISO
27001:2005
5.4.1
4.3.3
4.5.2
6.2
4.2.1
5.3
4.2
4.1.2
5.3
4.2.1
Compromiso de la
Direccin
5.1
4.4.1
4.1
5.2
Requisitos de
Documentacin
4.2
4.4
4.3
7.5
4.3
Auditoria interna
8.2.2
4.5.5
4.5.4.2
9.2
Mejora continua
8.5.1
4.5.3
4.5.5
10
Revisin por la
Direccin
5.6
4.6
4.5.4.3
9.3
Requisitos
ISO 22301
INTERNATIONAL
ISO
STANDARD
22301
_______________________________________________
Societal security- Business continuity
Management Systems Requirements
_________________________________________________
ISO 22301
Contenido
Seccin
1
mbito de aplicacin
Seccin
2
Referencias normativas
Seccin
3
Trminos y definiciones
Seccin
4
Contexto de la organizacin
Seccin
5
Liderazgo
Seccin
6
Planificacin
Seccin
7
Apoyo
Seccin
Funcionamiento
ISO 22313
INTERNATIONAL
ISO
STANDARD
22313
_______________________________________________
Societal security-Business continuit
Management Systems Gidance
_________________________________________________
1988
Creacin del
Business
Continuity
Institute
(BCI) en el
Reino Unido
Publicacin
de la
norma BS
25999-1
Publicacin de
PAS 56
BCI publica
Guas de
Buenas
Prcticas de la
GCN
Publicac
in de la
norma
BS
25999-2
ISO public
la primera
versin de
la norma
ISO 22301
ISO publica la
primera versin
de la norma ISO
22313
ISO 24762
NIST 800-34
ISO 27031
Norma NFPA
1600
A.14.1.1
Incluir seguridad de l
Informacin en el
proceso de
Gestin de la
continuidad
del negocio
ISO 22301
Requisitos
Continuidad del negocio
4.4 sistema de gestin
Control
A.14.1.2
Continuidad del
negocio y
evaluacin del riesgo
A.14.1.3
Desarrollo e
implementar
Planes de continuidad
Incluyendo seguridad
de la
informacin
8.4 Procedimientos de la
continuidad del negocio
6 Planificacin del
SGCN
Control
A.14.1.4
A.14.4.5
Prueba mantenimiento
8.5
Ejercicio y pruebas
Ejercicio 1
Mitos y Realidades Continuidad del Negocio
Proteccin de
las personas
Mantenimiento de
las actividades
esenciales de la
organizacin
Mejor
comprensin de
la organizacin
Reduccin de
costos:
Respeto de las
partes
interesadas
Proteccin dela
reputacin y la
marca
Confianza de
los clientes
Ventaja
competitiva
El cumplimiento
de los requisitos
legales
Cumplimiento
de normativas
Cumplimiento
de los
contratos
a.
b.
c.
d.
Definicin de un SGCN
Enfoque en los procesos
Visin general Clusulas 4 a 10
Los componentes claves de un SGCN
Nota:
Nota: El
El sistema
sistema de
de gestin
gestin incluye
incluye la
la estructura,
estructura, las
las polticas,
polticas, las
las
actividades
de
planificacin,
las
responsabilidades,
actividades de planificacin, las responsabilidades,
Las
Las prcticas,
prcticas, los
los procedimientos,
procedimientos,
Los
Los procesos
procesos yy los
los recursos
recursos de
de la
la organizacin
organizacin
Establecer
un
SGCN
Actuar
Requerimientos
expectativas
de la
Continuidad del
Negocio
Partes
Interesadas
Planificar
Partes
Interesadas
Hacer
Mantener y
Mejorar el
SGCN
Implement
ar
El SGCN
Supervisar y
Revisar el
SGCN
Verificar
Continuidad del
Negocio
Gestionada
Requisitos generales
ISO 22301
En resumen
La organizacin deber establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimien
to
de la
organizacin
y su entorno
2.
Determinar
las
necesidade
sy
requisitos
3.
Implementar
y
Administrar
un
SGCN
Contexto de la organizacin
ISO 22301, clusula 4
Conocimiento de la
Organizacin y su
entorno
Comprensin de
las
Necesidades y
Expectativas de
las
Partes
interesadas
Determinar el
Alcance del SGCN
Comunicacin
Direccin deber comunicar la
importancia de una
buena Gestin
de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Apoyo
ISO 22301, clusula 7:
La organizacin
deber determinar y
proporcionar
los
recurso necesarios
para el SGCN
Recursos
Compete
ncia
La organizacin
Deber asegurar
Tener personas
Competentes
para realizar las
tareas
relacionadas con
el SGCN
Sensibilizaci
n
El SGCN de la
Organizacin deber
Incluir informacin
Documentada requerida
Por la ISO 22301 y
Registros
para
demostrar
La eficacia del SGCN
Comunicaci
n
La organizacin deber
Establecer, implementar
y mantener mecanismos
De comunicacin con
las partes interesadas
internas y externas
Documenta
cin
Informacin documentada
9. Disposicin
1. Creacin
8. Archivado
7. Uso adecuado
2. Identificacin
3. Clasificacin
6. Distribucin 4. Modificacin
5. Aprobacin
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Proceso de
anlisis de las
funciones del
negocio y del
efecto que una
interrupcin del
negocio podra
tener sobre
dichas funciones
Anlisis de
Impacto en el
Negocio
Evaluacin
de riesgo
Proceso general
de identificacin,
Anlisis y
Evaluacin de
riesgos
B) Estabilizar, continuar,
reanudar y recuperar
actividades prioritarias
Contingencia
Recuperacin y
Restauracin
Protecci
n
y mitigac
in
Ca
y pac
ita
Co
ci
n
n ncie
nc
iac
i
Generalidades
Generalidades
La
La organizacin
organizacin deber
deber
establecer,
implementar
establecer, implementar yy
mantener
mantener procedimientos
procedimientos de
de
continuidad
continuidad del
del negocio
negocio para
para
gestionar
un
incidente
gestionar un incidente
perjudicial
perjudicial yy continuar
continuar sus
sus
actividades
sobre
la
base
actividades sobre la base de
de
objetivos
objetivos de
de recuperacin
recuperacin
identificados
identificados en
en el
el anlisis
anlisis
del
impacto
en
el
negocio
del impacto en el negocio
Ejercicios y Pruebas
ISO 22301, clusula 8.5
La organizacin
deber ejercitar y
Probar sus
Procedimientos de
Continuidad del negocio
para garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
1.
2.
6.
Revisin de la gestin
y actualizacin de los planes
de continuidad del
Negocio y de los
Procedimientos.
Monitoreo
y revisin
del SGCN
3.
Medicin de la eficacia
de los procedimientos
Mejora
ISO 22301, clusula 10
b.
c.
d.
Procesos y recursos
e.
f.
g.
Resiliencia
Recuperacin ante
desastres
Recuperar la tecnologa
Lo
ms
rpidamente
posible.
Se incluyen:
Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Crticas de la empresa
Un plan de recuperacin
ante desastres (DRP) tambin
incluye la elaboracin de
planes para hacer frente a la
inesperada o repentina prdida
de personal clave
En un PCN, es uno de los
aspectos del plan
COMUNICACIONES &
RRPP
SEGURIDAD
RECURSOS HUMANOS
GESTIN DE CRISIS
SALUD Y SEGURIDAD
GESTIN DE CALIDAD
GESTIN DE LA CADENA DE
SUMINISTRO
ADMINISTRACIN DE
LAS INSTALACIONES
RECUPERACIN DE TI
ANTE DESASTRE
GESTIN ANTE
UNA EMERGENCIA
GESTIN DE RIESGO
Interrupcin
(ISO 22399. 3.4
Incidente
(ISO 22301, 3.19)
Crisis
(ISO 22399, 3.3)
Desastre
(ISO 22300, 2.
Emergencia (ISO
22399, 3.6)
Organizacin y Actividades
ISO 22301, CLUSULA 3.1,3.33 y 3.42
Organizacin (3.33)
(3.33)
Organizacin
Persona
Persona oo grupo
grupo de
de personas
personas que
que tiene
tiene sus
sus
propias
propias funciones
funciones con
con
responsabilidades,
responsabilidades,
autoridades
autoridadesyyrelaciones
relaciones para
para lograr
lograrsus
sus objetivos.
objetivos.
Actividad (3.1)
(3.1)
Actividad
Proceso
Proceso oo conjunto
conjunto de
de procesos
procesos acometidos
acometidos por
por
una
una organizacin
organizacin (o
(o en
en su
su nombre)
nombre) que
que producen
producen
oo dan
danapoyo
apoyo aauno
unooo ms
ms productos
productos yyservicios.
servicios.
Actividades Prioritarias
Prioritarias (3.42)
(3.42)
Actividades
Las
Las actividades
actividades aa las
las que
que deben
deben darse
darse prioridad
prioridad
tras
trasun
unincidente
incidente con
con el
el fin
finde
demitigar
mitigarlos
losimpactos.
impactos.
Proceso
ISO 22301, clusula 3.40
Conjunto de actividades mutuamente relacionadas o que interactan, que
transforman elementos de entrada en resultados.
Entrada
Actividades
Salida
Recurso
ISO 22301, CLUSULA 3.47
Recursos
Todos
Todos los
los archivos,
archivos, personal,
personal,
habilidades,
informacin,
habilidades,
informacin,
tecnologa
tecnologa (incluyendo
(incluyendo maquimaquinaria
y
equipos),
locales,
yy
naria y equipos), locales,
suministros
suministros ee informacin
informacin (ya
(ya
sea
electrnica
o
no)
que
una
sea electrnica o no) que una
organizacin
organizacin debe
debe tener
tener dispodisponibles
para
uso,
cuando
nibles para uso, cuando sea
sea
necesario,
para
operar
yy
necesario, para operar
cumplir
cumplir sus
sus objetivos.
objetivos.
Las Personas
Activos
Informacin
Informacin
Locales
Tecnologas
Suministros
Locales
Tecnologas
Suministros
Riesgo
ISO 22301
Riesgo
Riesgo (3.48)
(3.48)
Efecto
Efecto de
de incertidumbre
incertidumbre sobre
sobre los
los objetivos
objetivos
Apetito por
por el
el riesgo
riesgo (3,49)
(3,49)
Apetito
Cantidad
Cantidadde
de riesgo
riesgo que
que una
una organizacin
organizacin est
est
Dispuesta
Dispuesta aa conseguir
conseguiroo conservar
conservar
Evaluacin de
de Riesgo
Riesgo (3.50)
(3.50)
Evaluacin
Proceso
Procesogeneral
generalde
de identificacin,
identificacin, anlisis
anlisis yy
Evaluacin
Evaluacin de
de riesgos.
riesgos.
Gestin del
del riesgo
riesgo (3.51)
(3.51)
Gestin
Actividades
Actividades coordinadas
coordinadas para
para dirigir
dirigiryycontrolar
controlar
Una
Unaorganizacin
organizacincon
con respecto
respecto al
alriesgo
riesgo
R
I
S
K
K
Consecuencia
Consecuencia (3.2)
(3.2)
Resultado
Resultado de
de un
un evento
evento
Impacto
Impacto (3.10)
(3.10)
Consecuencia
Consecuencia evaluada
evaluada de
de un
un resultado
resultado en
en
particular
particular
Proveedores
Consejo de
Administraci
n
Clientes
Grupos
Interesados
Equipo de
Gestin
Organizaci
n
Empleado
s
Regulador
Medios
Sindicatos
Pblico
Accionistas
Resilencia
ISO 22300, clusula 2.1.17
Resilen
cia
Capacidad de adaptacin
de una organizacin en un
ambiente
complejo
y
cambiante
a.
b.
c.
Requisitos
ISO 22301, clusula 5.4:
Intencin de
Implementar
Intencin
de
un SGCN
Implementar
un SGCN
1.1.1
Definicin del
1.1.1
enfoque para
Definicin
del
la
enfoque
para
implementaci
la
n
implementaci
n
1.1.2.
Seleccin de
un1.1.2.
marco
Seleccin
de
metodolgico
un marco
metodolgico
1.1.3.
Alineacin
Con las
mejores
Prcticas
1.2.
Comprensin
1.2.
De
la
Comprensin
organizacin
De la
organizacin
3. Expectativas
y alcance
1. Velocidad de
implementacin
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a travs de la organizacin
2. Enfoque de sistemas
La aplicacin general del
proceso de SGCN, no
mediante al aislamiento de
los procesos
5. Mtodo iterativo
La rpida
Implementacin del
SGCN respetando lo
Requisitos mnimos y
Cambiar a mejora
Continua a partir de
entonces
Directrices
3. Enfoque Sistemtico
4. Enfoque Integrado
Integracin del SGCN o armonizarlo
con los dems requisitos de la
organizacin
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
2.3 Estrategia de
Continuidad del
Negocio
1.6 Poltica de CN
2.4 Medidas de
Presentacin &
Mitigacin
1.7 Estructura
de la organizacin
2.5 plan y
procedimientos de la
continuidad del negocio
1.8 Informacin
documentada
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No conformidades
y accin correctiva
3.3 Revisin
por la Direccin
Planificar
Proyecto
Del
SGCN
Hacer
Verificar
Actuar
21 Pasos
101 actividades
Enfoque y Metodologa
Basado en las mejores prcticas
ISO 10006
Directrices para la gestin de
calidad en proyectos
PMBOK
Conjunto de Conocimientos
de la gestin de Proyectos
(PMBOK en idioma ingls
22313
Orientacin para la
Implementacin del
sistema
de gestin de
Continuidad del Negocio
ISO
22301
ISO 27031
ISO
24762
ISO 223
01
ISO 22313
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de
SGCN
a.
b.
c.
d.
Comprensin de la organizacin
Identificacin y anlisis de las partes interesadas
Identificacin y anlisis de los requisitos y expectativas
Definicin preliminar del alcance
1. Planificar
2. Hacer
3. Verificar
4. Actuar
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
2.3 Estrategia de
Continuidad del
Negocio
1.6 Poltica de CN
2.4 Medidas de
Presentacin &
Mitigacin
1.7 Estructura
de la organizacin
2.5 plan y
procedimientos de la
continuidad del negocio
1.8 Informacin
documentada
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 4.1:
Comprensin de la organizacin y su entorno
La organizacin deber determinar las cuestiones internas y externas que son pertinentes a su propsito y que
afectan su capacidad de alcanzar los resultados esperados de su SGCN.
Estos temas se tomarn en cuenta al establecer, implementar y mantener la organizacin del SGCN.
La organizacin deber identificar y documentar lo siguiente:
a) Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vnculos entre la poltica de continuidad del negocio y los objetivos de la organizacin y otras polticas
incluyendo su estrategia global de gestin de riesgos.
c) El apetito por el riesgo de la organizacin.
Para establecer el contexto, la organizacin deber:
1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.
1.1
1.1 Iniciar
Iniciar el
el
SGCN
SGCN
1.2.1
1.2.1 Misin
Misin
objetivos,
objetivos, valores
valores
estrategias
estrategias
1.2.2
1.2.2 Entorno
Entorno
externo
externo
1.2.3
1.2.3 Entorno
Entorno
interno
interno
1.2.4
1.2.4 proceso
proceso yy
actividades
actividades
1.2.5
1.2.5
Infraestructura
Infraestructura
1.2.6
1.2.6 Partes
Partes
interesadas
interesadas
1.2.7
1.2.7 Requisitos
Requisitos
del
negocio
del negocio
1.2.8
1.2.8 Apetito
Apetito por
por
el
riesgo
y
el riesgo y
criterios
criterios de
de riesgo
riesgo
1.2.9
1.2.9 Alcance
Alcance
Preliminar
Preliminar
1.3
1.3 Anlisis
Anlisis
de
brechas
de brechas
1.4
1.4 Alcance
Alcance
Misin
Misin
Valores
Valores
Estrategias
Alineamient
o
Estratgico
Los
Los
objetivos
objetivos
De
De
Continuidad
Continuidad
del
del Negocio
Negocio
Objetivos
Polticas Corporativas
Polticas de Continuidad
del Negocio
Consejos
Consejos Prcticos
Prcticos
Fortalezas
Debilidades
La
La ISO
ISO 22301
22301 no
no ofrece
ofrece
enfoques
enfoques
prcticos
prcticos
para
para
analizar
analizar el
el contexto
contexto de
de una
una
organizacin
organizacin
Existen
Existen varias
varias metodologas
metodologas
para
para entender
entender
cmo
cmo
funciona
funciona una
una organizacin
organizacin
Oportunidades
Amenazas
Lo
Lo importante
importante es
es identificar
identificar
las
las caractersticas
caractersticas de
de los
los
factores
factores ambientales
ambientales internos
internos
yy externos
externos que
que influyen
influyen en
en la
la
gestin
gestin de
de la
la continuidad
continuidad del
del
negocio:
negocio: misin,
misin, actividades
actividades
principales,
principales,
organizacin
organizacin
interna,
interna, partes
partesinteresadas,
interesadas, ttc.
ttc.
Comprender
Comprender la
la estructura
estructura yy los
los
principales
actores
de
la
principales actores de
la
organizacin
organizacin relacionados
relacionados con
con
el
el mbito
mbito de
de aplicacin
aplicacin en
en los
los
planos:
planos:
Estratgico
Estratgico (Quin
(Quin
establece
establece las
las orientaciones
orientaciones
estratgicas?)
estratgicas?)
Gobierno
Gobierno (Quin
(Quin
coordina
coordina yy gestiona
gestiona las
las
operaciones?)
operaciones?)
Operacional
Operacional (Quin
(Quin
participa
participa en
en las
las actividades
actividades de
de
produccin
produccin yy apoyo?)
apoyo?)
1.
3. Activos de
Informacin Claves
Cules son los
Activos de
informacin
Claves de la
Organizacin?
Oferta de Productos
y servicios
2. Procesos de
Negocios
Cules so los
Procesos claves que
Permiten a la
Organizacin cumplir
Con su misin?
Ejemplos
(Ejemplo)
Sitios
Utilidades
Equipo industrial
Servicio
Transporte
telecomunicaciones
Tecnologa de la
informacin
1. Identificar las
Necesidades y
expectativas
Identificar
Identificar las
las necesidades
necesidades
yy expectativas
expectativas de
de todas
todas las
las
partes
partes interesadas
interesadas
Las
Las necesidades
necesidades yy
expectativas
expectativas puedes
puedes ser
ser
implcitas
implcitas oo explcitas
explcitas
Ejemplo:
Ejemplo: la
la tasa
tasa de
de
disponibilidad
disponibilidad del
del servicio
servicio
del
99,5%
del 99,5%
2. Validar las
necesidades y
expectativa
Analizar
Analizar las
las necesidades
necesidades de
de
seguridad
si
seguridad yy confirmar
confirmar
si
responde
a
las
responde a
las
preocupaciones
de
preocupaciones
de la
la
organizacin
en
este
momento
organizacin en este momento
Se
Se puede
puede hacer
hacer mediante
mediante el
el
envo
de
un
cuestionario,
envo de un cuestionario,
realizando
realizando entrevistas
entrevistas oo
facilitar
facilitar
grupos
grupos de
de enfoque
enfoque
3. Identificar roles y
responsabilidades
Definir
Definir lo
lo que
que se
se espera
espera de
de las
las
diferentes
diferentes partes
partes interesadas
interesadas
en
el
proyecto:
las
en el proyecto: las ff unciones,
unciones,
las
las responsabilidades
responsabilidades yy los
los
niveles
de
participacin
que
niveles de participacin que se
se
necesita
necesita
Establecer
Establecer un
un consenso
consenso con
con
ellos
ellos durante
durante la
la etapa
etapa de
de
planificacin
de
su
planificacin
de
su
participacin
participacin
Partes Interesadas
Influencia positiva y negativa
Partes
Partes interesadas
interesadas negativas
negativas
Por
Por estas,
estas, el
el SGCN
SGCN podra
podra tener
tener un
un impacto
impacto
negativo
negativo
Ejemplo:
Ejemplo: un
un departamento
departamento de
de recursos
recursos humanos
humanos
involucrado
involucrado en
en la
la implementacin
implementacin del
del SGCN
SGCN
sufrir
sufrir una
una pesada
pesada carga
carga con
con la
la documentacin
documentacin
de
de los
los expedientes
expedientes de
de los
los empleados
empleados
Partes
Partes interesadas
interesadas negativas
negativas
Los
Los que
que se
se beneficiaran
beneficiaran del
del SGCN
SGCN
Ejemplo:
Ejemplo: los
los clientes
clientes de
de una
una empresa
empresa de
de
servicios
de
TI
servicios de TI
Nota importante: Las partes interesadas negativas a menudo ponen su inters en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicacin del SGCN
Legal y
Regulatorio
Todas las leyes y
reglamentos con los
debe cumplir la
organizacin
Externos
Obligatorios
Voluntarios
Polticas Internas
Internos
Mercado
Todas las obligaciones
contractuales que la
organizacin ha firmado
con sus partes
interesadas
Estndares
Las normas internacionales
Y cdigos de prcticas
relacionados con el sector,
que son voluntariamente
Implementados por la
organizacin
22301 a
O
S
I
d
La
utiliza
r
e
s
e
Pued umplir con
Para c leyes y
Varias aciones
riz
regula
Leyes y Reglamentos
Requisitos
Requisitos para
para los
los registros
registros
electrnicos
electrnicos
Requiere
Requiere que
que los
los bancos
bancos tengan
tengan
planes
de
CN
y
RD
para
garantizar
planes de CN y RD para garantizar
el
el funcionamiento
funcionamiento continuo
continuo yy con
con el
el
fin
de
limitar
las
prdidas
fin de limitar las prdidas
Requiere
Requiere que
que los
los planes
planes de
de
Continuidad
del
Negocio
(PCN)
Continuidad del Negocio (PCN) se
se
actualicen
y
prueben
para
actualicen y prueben para
incorporar
incorporar los
los riesgos
riesgos detectados
detectados
Gobierno
Requiere
Requiere plan
plan de
de copia
copia de
de
seguridad
seguridad de
de datos,
datos, plan
plan de
de
recuperacin
ante
desastres
recuperacin ante desastres yy un
un
plan
plan de
de operacin
operacin en
en el
el modo
modo de
de
emergencia
emergencia
Utilidades
Finanzas
Finanzas
Asistencia
sanitaria
Requiere
Requiere plan
plan de
de copia
copia de
de
seguridad
seguridad de
de datos,
datos, plan
plan de
de
recuperacin
ante
desastres
y
un
recuperacin ante desastres y un
plan
plan de
de operacin
operacin en
en el
el modo
modo de
de
emergencia
emergencia
Requisitos
Requisitos para
para los
los registros
registros
electrnicos
electrnicos
Requiere
Requiere un
un PCN
PCN para
para garantizar
garantizar
que
la
contina
misin
que la contina
misin de
de la
la
agencia
durante
una
crisis
agencia durante una crisis
Se
Se requieren
requieren planes
planes de
de
restauracin
restauracin
de
de emergencia
emergencia como
como condicin
condicin
para
servicios
continuados
para servicios continuados
5. Hambriento
70
Apetito
Apetito por
por el
el Riesgo
Riesgo
Definicin:
Definicin: Cantidad
Cantidad yy tipo
tipo de
de
que
una
organizacin
est
que una organizacin est
dispuesta
dispuesta aa conseguir
conseguir oo conservar
conservar
Es
Es el
el nivel
nivel de
de riesgo
riesgo que
que una
una
organizacin
est
dispuesta
organizacin est dispuesta aa
aceptar,
aceptar, antes
antes de
de que
que la
la accin
accin es
es
considerada
para
considerada necesaria
necesaria
para
reducirlo
reducirlo
Representa
Representa un
un equilibrio
equilibrio entre
entre los
los
beneficios
de
la
beneficios potenciales
potenciales
de
la
innovacin
innovacin yy las
las amenazas
amenazas que
que el
el
cambio
inevitablemente
trae
consigo
cambio inevitablemente trae consigo
60
4. Abierto
50
40
3. Prudente
30
20
10
2. Mnimo
1. Aversin
Criterios de Riesgo
ISO 22301, clusula 4.1 y la norma ISO 31000, clusula 5.3.5
1 Evaluacin de riesgo
Criterio
s
2 Impactos
Nota: Este paso slo consiste en definir los criterios bsicos para la gestin del riesgo. Los criterios detallados
se definirn durante la evaluacin del riesgo.
Lista de los productos y servicios y todas las actividades relacionadas dentro del mbito
del aplicacin propuesto
Una descripcin de cmo el/las rea(s) en el mbito de aplicacin interactan con otros
sistemas de gestin (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3
Comprensin de la organizacin
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
2.3 Estrategia de
Continuidad del
Negocio
3.1 Seguimiento,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
2.4 Medidas de
Presentacin &
Mitigacin
2.5 plan y
procedimientos de la
continuidad del negocio
Hacer
Hacer
1.8 Informacin
documentada
2.6 Comunicacin
2.7 Ejercicio y
pruebas
4.1 No
conformidades
y accin correctiva
3.3 Revisin
por la Direccin
4.2 Mejora
continua
1.2
1.2 Comprensin
Comprensin
de
la
de la organizacin
organizacin
1.4 Liderazgo y
planificacin
1.4 Liderazgo y
planificacin
1.3.1
1.3.1 Recoleccin
Recoleccin
de
informacin
de informacin
1.3.2
1.3.2 Anlisis
Anlisis
de
brechas
de brechas
1.3.3.
1.3.3. Objetivos
Objetivos ee
informe
informe del
del anlisis
anlisis
de
brechas
de brechas
Cuestionarios
Cuestionarios
Encuestas
Encuestas
Entrevistas
Entrevistas
Revisin de la
documentacin
Revisin de la
documentacin
Individual
Individual
Entrevista
Entrevista
Grupal
Grupal
Utilice
Utilice preguntas
preguntas abiertas
abiertas yy evite
evite las
las preguntas
preguntas cerradas
cerradas oo guiadas
guiadas
A
Asegrese
segrese de
de cubrir
cubrir todos
todos los
los temas,
temas, mientras
mientras controla
controla el
el tiempo
tiempo
Tome
Tome notas
notas durante
durante la
la entrevista
entrevista
Realice
Realice preguntas
preguntas para
para clarificar
clarificar una
una respuesta
respuesta oo situacin
situacin
Anlisis de Brechas
Tcnica
Tcnica para
para determinar
determinar los
los pasos
pasos para
para
pasar
pasar de
de la
la situacin
situacin actual
actual aa un
un estado
estado
futuro
futuro deseado.
deseado.
1.
1. Comparacin
Comparacin del
del rendimiento
rendimiento actual
actual
del
del sistema
sistema de
de continuidad
continuidad del
del
negocio
negocio con
con los
los requisitos
requisitos de
de la
la ISO
ISO
22301
22301
2.
Identificacin
2. Identificacin de
de las
las necesidades
necesidades de
de
mejora
mejora
3.
3. Bases
Bases para
para la
la elaboracin
elaboracin del
del plan
plan
del
del proyecto
proyecto del
del SGCN
SGCN
0
No existe
1
Inicial
1
Gestionado
Definido
Inicial
4
Gestionado
4
cuantitativamente
Gestionado
cuantitativamente
Situacin actual
Objetivo
5
Optimizado
Establecimiento de Objetivos
El anlisis de brechas y el nivel de madurez
Usted puede fijar las metas para los procesos
segn el nivel de madurez
Procesos
optimizados
Procesos
monitoreados y
medidos
Los procesos estn
documentados
y comunicados
No hay procesos
estndar
vigentes
Ausencia total de
Procesos
identificables
0.
Inexistentes
Hay implementacin
de proceso caso
por caso sin ningn
mtodo
1.
Inciales
2.
Gestionadas
3.
Definidos
4.
Cuantitativa
Mente
gestionados
5.
Optimizados
a. Lmites de la organizacin
b. Los lmites de las lneas de negocio
c. Lmites Fsicos
d. mbito de aplicacin
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
nn1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
2.3 Estrategia de
Continuidad del
Negocio
2.4 Medidas de
Presentacin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 plan y
procedimientos de la
continuidad del negocio
1.8 Informacin
documentada
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.3 Revisin
por la Direccin
Requisitos
ISO 22301, clusula 4.3.2
Alcance del SGCN
La organizacin deber:
a)
b)
c)
d)
e)
mbito de la aplicacin
Importancia
Una clara definicin del alcance, centrndose en actividades
clave de la
organizacin, es un factor de xito importante para la implementacin del SGCN.
Esto har que sea ms fcil:
1. Conseguir el apoyo de la direccin
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas
Nota
Nota importante:
importante: la
la extensin
extensin del
del mbito
mbito de
de aplicacin
aplicacin
es
es el
el primer
primer factor
factor que
que determina
determina la
la cantidad
cantidad
de
de esfuerzo
esfuerzo requerido
requerido por
por el
el proyecto.
proyecto.
1.2
1.2 Comprensin
Comprensin
de
la
de la organizacin
organizacin
1.3
1.3 Analiza
Analiza el
el
Sistema
existente
Sistema existente
1.4.4 mbito
de aplicacin
1.4.4 mbito
de aplicacin
1.4.1
1.4.1 Lmites
Lmites
Organizacionales
Organizacionales
1.4.2
1.4.2 Lmites
Lmites de
de las
las
Lneas
de
negocio
Lneas de negocio
1.6 Poltica
de CN
1.6 Poltica
de CN
i on
ac
La
sl
ne
al
as
fs
i
ni z
ga
Or
ca
s
del negocio
Un proceso clave
Un departamento
La organizacin
como un todo
La organizacin y sus
partes interesadas
Ejemplo:
Ejemplo: Este
Este sistema
sistema de
de gestin
gestin de
de la
la continuidad
continuidad del
del negocio
negocio
Se
Se aplica
aplica al
al centro
centro de
de distribucin
distribucin global
global proveyendo
proveyendo
Servicios
Servicios de
de tercerizacin
tercerizacin yy contacto
contacto con
con el
el cliente
cliente
Y
Y externalizacin
externalizacin de
de ABC
ABC S.A.
S.A.
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Ejercicio 4
Definicin del mbito de aplicacin
Da 2
Implementador Lder
Certificado en la ISO 22031
1.
1. Planificar
Planificar
2. Hacer
3. Verificar
4. Actuar
2.2 Evaluacin
del riesgo
4.1 No
conformidades
y accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
Negocio
Negocio
1.6 Poltica de CN
2.4 Medidas de
Proteccin &
Mitigacin
1.7 Estructura
organizativa
2.5 Plan y
procedimientos de la
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.7 Ejercicio y
pruebas
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Norma ISO 22301, clusula 5.1. 7.1 y 8.3.2
5.1 Liderazgo y compromiso
Las personas en los niveles superiores de la administracin y otras en funciones de gestin en toda
la organizacin bebern demostrar liderazgo con respecto al SGCN.
7.1 Recursos
La organizacin deber determinar y proporcionar los recursos necesarios para el SGCN
1.4 Alcance
(mbito de aplicacin)
del SGCN
1.5.1
1.5.1 Caso
Caso de
de
negocio
negocio
1.5.2
1.5.2 equipo
equipo de
de
proyecto
proyecto del
del SGCN
SGCN
1.5.6 Plan de
comunicacin
1.5.6 Plan de
comunicacin
1.5.3
1.5.3
Determinacin
Determinacin
de
de los
los objetivos
objetivos
1.5.7 Aprobacin
Por la Direccin
1.5.7 Aprobacin
Por la Direccin
1.5.4
1.5.4 Requisitos
Requisitos
de
de los
los recursos
recursos
1.6 Poltica de CN
1.6 Poltica de CN
2.
3.
1.
Medioambiente
2. Finalidad y
objetivos
3. Resumen
Del proyecto
4. Beneficios
esperados
5. Alcance
preliminar
6. Factores
Crticos de xito
7. Anteproyecto
8. Plazos e
hitos
9. Funciones y
Responsabilidades
10. Recursos
necesarios
11. Presupuesto
12. Restricciones
Defensor
Del
Proyecto
Del SGCN
Gerente
del SGCN
Director
del proyecto
Equipo de Gestin del
Proyecto
Comit Directivo
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia de las
reuniones
Mensuales
1
Una mayor flexibilidad
(resilencia) de la
Empresa
Puede el SGCN mejorar
la resilencia de la
organizacin en caso de
un incidente perjudicial?
3
2
Gestin de continuidad
del negocio eficiente
Puede el SGCN
mejorar la eficacia de la
gestin de continuidad
del negocio?
Un mtodo iterativo
Recursos
Costos
Contenido
Del
Proyecto
Plan del
proyecto
Retrasos
Riesgos
Mayor
Mayor conocimiento
conocimiento de
de las
las leyes
leyes
ptima
asignacin
de
recursos
ptima asignacin de recursos
Identificacin
Identificacin de
de los
los activos
activos crticos
crticos
Procesos
y
plan
de
la
continuidad
Procesos y plan de la continuidad
del
del negocio
negocio controlados
controlados yy medidos
medidos
SGCN
Ap
r
La oba
Di ci
re n
cc po
i r
n
Beneficios
Beneficios Claves
Claves del
del
Compromiso
Compromiso de
de la
la Direccin
Direccin
Funciones de la Direccin
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia de
las reuniones
Algunas de las reuniones de los hitos de este proyecto: reunin de lanzamiento, anlisis
de riesgo e informe del AIN, revisin por la direccin, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas
1.
1. Planificar
Planificar
2. Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar
2.2 Evaluacin
del riesgo
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 Plan y
procedimientos de la
continuidad del negocio
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.3 Revisin
por la Direccin
Requisitos
Norma ISO 22301, clusula 5.3
Poltica
La alta direccin deber establecer una poltica de continuidad del negocio que:
a) Sea apropiada para los fines de la organizacin
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber:
-) Estar disponible como informacin documentada
-) Ser comunicada dentro de la organizacin
-) Estar a disposicin de todas las partes interesadas, segn corresponda
-) Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
produzcan cambios significativos
La organizacin deber retener informacin
De continuidad del negocio.
documentada sobre la
poltica
1.6.4 Publicacin
1.6.4 Publicacin
1.6.1
1.6.1 Proceso
Proceso de
de
redaccin
redaccin de
de la
la
Poltica
Poltica
1.6.2
1.6.2 Redaccin
Redaccin de
de
la
la Poltica
Poltica
1.6.5 Capacitacin,
comunicacin y
1.6.5
Capacitacin,
sensibilizacin
comunicacin y
sensibilizacin
1.6.6 Control,
evaluacin y
1.6.6
Control,
revisin
evaluacin y
revisin
1.6.3
1.6.3 Aprobacin
Aprobacin
por
por la
la Direccin
Direccin
1.7 Estructura
organizativa
1.7 Estructura
organizativa
1.
Designar una
1.
Persona
Designar una
Responsable
Persona
Responsable
2.
Definir los
2.
componentes
Definir los
de la poltica
componentes
de la poltica
3.
Redactar
3.
las
Redactar
Secciones
las
Secciones
4.
Validacin
4.
de los
Validacin
contenidos y
de los
el formato
contenidos y
el formato
5.
Aprobacin
5.
por las
Aprobacin
Partes
por las
Interesadas
Partes
Interesadas
Intranet
Distribucin de
Copias en papel
Reunin
Sesin de orientacin
de nuevos empleados
Difusin
Difusin (reuniones,
(reuniones, intranet,
intranet,
extranet,
documentos)
extranet, documentos)
Comunicacin
Proceso
recurrente
Sensibilizacin
No
Capacitacin
Objetivo
alcanzado?
Si
Control, evaluacin y revisin
Asegurar
Revisin
Control
conformidad
Evaluacin
Mantener
Medir el grado de
conformidad
1.
1. Planificar
Planificar
2.
2. Hace
Hace
3.
3. Verificar
Verificar
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
2.2 Evaluacin
del riesgo
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicacin
2.7 Ejercicio y
pruebas
4.1 No
conformidades
y accin correctiva
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Norma ISO 22301, clusula 5.4
Funciones, responsabilidades y autoridades organizativas
La alta direccin deber asegurarse de que las responsabilidades y autoridades
para funciones pertinentes sean asignadas y comunicadas dentro de la
organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para :
a) Garantizar que el sistema de gestin se establece y ejecuta en conformidad
con los requisitos de esta Norma Internacional; e
Estructura organizativa
Principios
1.7.4 Roles y
Responsabilidades
1.7.4
y
de
los Roles
comits
Responsabilidades
principales
de los comits
principales
1.7.1
1.7.1 Estructura
Estructura
de
de gobierno
gobierno yy
organizacin
organizacin
1.7.2
1.7.2 Coordinador
Coordinador
de
de la
la continuidad
continuidad
del
del negocio
negocio
1.7.5 Equipos de la
continuidad
1.7.5del
Equipos
negociode la
continuidad
del negocio
1.7.6 Proceso de
decisin y control
1.7.6 Proceso de
decisin y control
1.7.3
1.7.3 Roles
Roles yy
Responsabilidades
Responsabilidades
de
de las
las partes
partes
interesadas
interesadas
1.8 Informacin
documentada
1.8 Informacin
documentada
Comit de Crisis
Comit de
Continuidad del
negocio
CEO
Operaciones
Operaciones
Recursos
humanos
Recursos
humanos
Auditora
Interna
Auditora
Interna
Servicios
Administrativos
Servicios
Administrativos
Tecnologa de
la informacin
(TI) de
Tecnologa
la informacin
(TI)
Ventas &
Marketing
Ventas &
Marketing
Continuidad
del Negocio
Continuidad
del Negocio
Partes Involucradas
Actores Principales
Medios de
Alta Direccin
Comit de Crisis
Medios de comunicacin
Organismos Externos
Seguridad pblica
Plan de
Continuidad
del Negocio
Unidad de negocio 1
Unidad de negocio 2
Plan de
Continuidad del
Negocio adaptado
Para la unidad
Los
Procedimientos
locales
Gestin de TI
Coordinador de gestin
De CN del Sitio
Coordinador de
Recuperacin de TI
Plan de
Planes de
Continuidad del Recuperacin y
Negocio adaptadoRestauracin de TI
para la unidad
Procesos de Negocios
Planes de
Recuperacin y
Restauracin de
TI
Los
Procedimientos
de TI
Gestin de
Instalaciones
Gerente de las
Instalaciones
Coordinador de la
Respuesta de
Emergencia
Planes de Procedimientos
Respuesta de De emergencia
Emergencia
Procesos de Soporte
Consejo legal
Encargado de TI
Encargado de
Seguridad de la
Informacin
Encargado de RRHH
Encargado de
Patrimonio
Implementar y administrar los controles de seguridad fsica (control de acceso a edificios, proteccin
contra incendios, mantenimiento elctrico, etc.)
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
gestin de incidencias, etc.)
Oficial de RRPP
Validacin del impacto sobre la reputacin de la organizacin, las comunicaciones con las partes
interesadas externas
Auditor interno
Responsable de la
Gestin de documentos
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
necesarias para una buena gestin del patrimonio de conocimientos e informacin, para la preservacin
de las pruebas
3. Comits Operativos y
Comit Local de CN
Gerente de
Evaluacin de
Riesgo
Equipo de
Respuesta de
Emergencia
Equipo de
Evaluacin de
Daos
Coordinar de
la Continuidad
del Negocio
Equipo de
Relaciones
Pblicas
Representantes de
La unidad de
Negocio
Equipo de
Recuperacin
Equipo de
Restauracin
TI/RR.HH./
Legales/
Finanzas
Equipo de
Telecomunicaciones
Equipo de
Obtencin de
Recursos y
Logstica
Nivel 1
Estratgico
on
tro
l
Es
ca
la
da
lC
de
Nivel 2
Tctico
Nivel 3
Operativo
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar
1.3 Analizar el
sistema existente
2.2 Evaluacin
del riesgo
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
2.3 Estrategia de la
Continuidad del
Negocio
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Norma ISO 22301, clusula 7.5
7.5 Informacin documentada
7.5.1 Generalidades
El SGCN de la organizacin incluir:
- La informacin documentada requerida por esta norma internacional
- Informacin documentada determinada por la organizacin como necesaria para la
eficacia del SGCN
Requisitos
Norma ISO 22301, clusula 7.5
7.5.3 Control de la informacin documentada
La informacin documentada requerida por el SGCN y por esta Norma Internacional deber ser controlada para
asegurar que:
a) Est disponible y apta para su uso, cundo y dnde sea necesario,
b) Est protegida adecuadamente (por ejemplo, de prdida de la confidencialidad, uso indebido, o la prdida
de integridad).
Para el control de la informacin documentada, la organizacin deber abordar las siguientes
actividades, segn corresponda:
Distribucin, acceso, recuperacin y uso,
Almacenamiento y conservacin, incluida la conservacin de la legibilidad,
Control de los cambios (p. ej., control de versiones).
Retencin y disposicin
Recuperacin y uso,
Preservacin de la legibilidad (es decir lo suficientemente claro para leer), y
Prevencin del uso no intencionado de informacin obsoleta.
La informacin documentada de origen externo determinada por la organizacin como necesaria
para la planificacin y el funcionamiento del SGCN deber ser identificada, segn corresponda, y
controlada.
Cuando se establece el control de la informacin documentada, la organizacin deber asegurarse de que exista
una proteccin adecuada d la informacin documentada (por ejemplo, la proteccin ante cualquier peligro, la
modificacin no autorizada o la eliminacin).
Contenido
Formato
Ciclo de Vida
del Documento
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Descripciones
Del
Marco de Gestin
Registros
Valor de la Documentacin
Notas importantes
En muchas organizaciones, la creacin de la
documentacin est desproporcionada
La preparacin de los documentos no debera
ser un objetivo en s mismo. Esta debe ser
actividad de valor aadido, soporte del SGCN
La documentacin que es demasiado es difcil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza
Cada organizacin determina la extensin de
la documentacin necesaria y los medios de
comunicacin a utilizar
1.8.4 Establecer la
Documentacin
1.8.4del
Establecer
SGCN la
Documentacin
del SGCN
1.8.1
1.8.1 Creacin
Creacin de
de
plantillas
plantillas
1.8.5 Control de
los registros
1.8.5 Control de
los registros
1.8.2
1.8.2 Control
Control de
de
los
documentos
los documentos
1.9 Competencia y
sensibilizacin
1.9 Competencia y
sensibilizacin
1.8.3
1.8.3
Sistema
Sistema de
de gestin
gestin
de
documentos
de documentos
Objetivos
Poltica
Procedimiento
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la poltica, las
directrices y las normas de apoyo se aplicarn realmente en un entorno operativo
Directrices
Declaracin general para alcanzar los objetivos de la poltica al proporcionar orientacin sobre buenas
prcticas a seguir
Plan de
Continuidad del Negocio
Carta
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseadas para facilitar
la actividad de la continuidad del negocio o la ordenada y rpida recuperacin de los procesos crticos (de negocio) en
el caso de una crisis
Descripcin de los acuerdos en vigor entre la organizacin y un grupo de actores como usuarios
empleados, proveedores o prestadores de servicios
Esquema de proceso
Normativa de proceso
Formulario
Gua
Hoja de datos
Formulario de papel o en formato electrnico que est diseado para proporcionarlo o registrar la informacin sobre
una operacin (solicitud de cambio, solicitud de autorizacin, notificacin de incidentes, etc.)
Documento prctico con instrucciones detalladas sobre el uso y/o instalacin mantenimiento operacin
Documento que resume la informacin tcnica (especificaciones) necesaria para instar, usar, mantener, etc.
a) Creacin
c) Clasificacin, indexado y
seguridad
i) Eliminacin
d) Modificacin
h) Conservacin y
archivado
g) Uso adecuado
e) Aprobacin
f) Distribucin
informacin
Custodiar el ciclo de visa complement0 de los documentos
Garantizar la trazabilidad
Optimizar bsqueda
y actualizacin
El contexto de la organizacin
Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
El mbito de aplicacin del SGCN y cualquier exclusin (4.3.2)
Poltica de la continuidad del negocio (5.3)
Objetivos de continuidad del negocio (6.2)
Competencia (7.2)
Anlisis del impacto en el negocio y proceso de evaluacin de riesgos (8.2)
Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
Procedimientos de continuidad , gestin de incidentes y de recuperacin (8.4)
Informes pos-ejercicio (8.5)
Monitoreo del SGCN (9.1)
Auditoras Internas (9.2)
Revisin por la direccin (9.3)
No Conformidades y acciones correctivas (10.1)
El identificador nico
Ttulo
El tipo de documento
Los nombres, funciones y servicios de los autores (y / o los propietarios)
El nombre del responsable y la fecha de la aprobacin
Fecha de emisin
Fecha de la versin y de la revisin
Numeracin de pginas
Nivel de clasificacin
protegidos, permanecen
legibles,
fcilmente
Almacenamiento
Responsabilidad
Duracin de la
conservacin
Clasificacin
Registro de
capacitacin
Departamento de
Recursos Humanos
Director de
Recursos Humanos
3 aos
Uso interno
Hoja de informe
De incidentes
Centro de Servicios
Centro de Servicios
Director
2 aos
Confidencial
Ejercicios y
Registros de las
Pruebas del
SGCN
Departamento de
Gestin de Riesgos
5 aos
Muy confidencial
Revisin por la
Direccin
Comit Ejecutivo
7 aos
Muy confidencial
Director de CN
Secretario del
Comit Ejecutivo
Gestin de la documentacin
Problemas ms comunes
Problema
Causa potencial
Ejercicio 6
Lista maestra de documentos
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar
2.2 Evaluacin
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 7.2 y 7.3
7.2 Competencia
La organizacin deber:
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitacin y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada informacin documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formacin para la tutora de , o la reasignacin de los empleados; o la contratacin o subcontratacin de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organizacin debern tener en cuenta:
f)
La poltica de continuidad del negocio,
g) Su contribucin a la eficacia del SGCN, incluyendo los beneficios de una mejor gestin de la continuidad
del negocio,
h) Las consecuencias de no conformidad con los requisitos del SGCN
i)
Su papel durante los incidentes disruptivos.
Competencia y Capacitacin
Norma ISO 9000, clusula 3.1.6 e ISO 10015, clusula 3.2
Contexto
Capacidad
Capacidad demostrada
demostrada
para
para aplicar
aplicar
conocimientos
conocimientos yy
habilidades
habilidades
Habilidades
de
conducta
a
tic
ac
r
P
Capacitacin
proporcionar
proporcionar yy desarrollar
desarrollar los
los
conocimientos,
conocimientos, las
las habilidades
habilidades
yy las
las conducta
conducta para
para cumplir
cumplir
con
con los
los requisitos
requisitos
to
ex
nt
Co
Proceso
Proceso para
para
nte
Conocimientos
de
Competencia
Competente
Conocimiento
De
se
m
Habilidades
pe
o
xto
e
t
n
Co
Diferencias
Capacitacin
Sensibilizacin
Comunicacin
Adquisicin de
habilidades
Cambio de hbitos
Estar informado
Dirigida al intelecto
Dirigida principalmente a
las emociones y el
comportamiento
Dirigida al intelecto
Qu habilidades
Tienen que adquirir?
Qu comportamiento
queremos reforzar o
cambiar?
Qu mensajes
enviamos?
1.7 Estructura
organizativa
1.9.3
1.9.3 Definir
Definir un
un
programa
programa de
de
capacitacin
capacitacin
1.8 Informacin
documentada
1.9.4
1.9.4 Definir
Definir un
un
programa
programa de
de
sensibilizacin
sensibilizacin
1.9.1
1.9.1 Definir
Definir un
un
programa
programa de
de
desarrollo
desarrollo de
de
competencias
competencias
1.9.5
1.9.5 Evaluacin
Evaluacin
yy mejora
mejora continua
continua
1.8.2
1.8.2 Evaluacin
Evaluacin
de
de las
las
competencias
competencias
necesarias
necesarias
2.1 AIN
Funciones
Polticas
Funcin A
Funcin B
Funcin C
Crisis
AIN
Auditorias
A
B
Funcin D
R
A
Funcin E
Experiencia
Legales
Conocimiento
B
A
Nivel de Sensibilizacin
Sesin de Iniciacin
Educacin continua
Curso
en el sitio o
fuera del
sitio
Aprendizaje
Taller
Mtodos de
capacitacin
Instruccin
en el puesto
de trabajo
Aprendizaje
a distancia
Auto
capacitacin
Su
Su contribucin
contribucin al
al SGCN
SGCN prevista
prevista
Los
Los beneficios
beneficios de
de la
la continuidad
continuidad del
del negocio
negocio
Su
Su papel
papel durante
durante los
los incidentes
incidentes
Nota: Un plan de sensibilizacin sobre la Gestin de la Continuidad del Negocio
de la organizacin es un Proceso en curso
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar
2.2 Evaluacin
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
procedimientos de la
continuidad del negocio
2.6 Comunicacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 8.2.2
Anlisis del impacto en el negocio
La organizacin deber establecer, implementar y mantener un proceso de evaluacin formal y
documentado para determinar las prioridades, objetivos y metas de continuidad y
recuperacin. Este proceso deber incluir la evaluacin del impacto de interrumpir las
actividades que apoyan las actividades de productos y servicios de la organizacin.
El anlisis del impacto en el negocio deber incluir lo siguiente:
a) Identificacin de las actividades que favorezcan la presentacin de los productos y
servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mnimo
aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas
seran inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
1.9 Competencia y
capacitacin
2.1.4 Validacin
de los datos
2.1.4 Validacin
de los datos
2.1.1
2.1.1 Planificacin
Planificacin
del
del AIN
AIN
2.1.5 Presentacin
del Informe del AIN
2.1.5 Presentacin
del Informe del AIN
2.1.2
2.1.2 Recoleccin
Recoleccin
de
los
de los datos
datos
2.1.3
2.1.3 Anlisis
Anlisis de
de
los
datos
los datos
Determinacin
Determinacin del
del enfoque
enfoque
El
El enfoque
enfoque puede
puede ser
ser cuantitativo
cuantitativo (con
(con clculo
clculo de
de consecuencias
consecuencias financieras)
financieras) y/o
y/o
cualitativo
(evaluacin
de
impactos
no
financieros
como
la
reputacin,
el
servicio
cualitativo (evaluacin de impactos no financieros como la reputacin, el servicio
de
de atencin
atencin al
al cliente,
cliente, etc.)
etc.)
Determinacin
Determinacin del
del mtodo
mtodo
La
La recopilacin
recopilacin de
de datos
datos del
del AIN
AIN puede
puede hacerse
hacerse con
con una
una combinacin
combinacin de
de mtodos
mtodos
como
como taller,
taller, entrevistas
entrevistas yy cuestionario
cuestionario
Identificacin de los participantes
Crear
Crear un
un equipo
equipo de
de AIN
AIN ee identificar
identificar aa quienes
quienes van
van aa responder
responder las
las entrevistas
entrevistas
(de
(de las
las funciones
funciones de
de negocio
negocio yy las
las funciones
funciones de
de apoyo)
apoyo)
NADA
Las
Las actividades
actividades aa considerar
considerar
Las
Las que
que apoyan
apoyan la
la misin
misin de
de la
la
organizacin
organizacin yy que
que son
son vitales
vitales para
para
sus
logros
sus logros
Relacionadas
Relacionadas con
con obligaciones
obligaciones
legales
legales y/o
y/o contractuales
contractuales
Marketing
Diseo
Ventas
Produccin
Distribucin
Atencin al
cliente
Suministros
Embalaje
Investigacin
Y Desarrollo
Transformacin
Exportacin
Fabricacin
Marketing
Diseo
Control de
calidad
Servicios
Pos venta
SANCIONES
Contractuales
Regulatorias
Legales
GASTOS ADICIONALES
Costo de la Recuperacin
Gastos Extras
Mayor Riesgo de Fraude
Una Mayor Tasa de Error
Los Gastos de Viaje
Los Empleados Temporales
Las interrupciones
Pagos Compensatorios
Ingresos Futuros Perdidos
Prdida de Inversin
DAOS A LA
REPUTACIN
Clientes, Proveedores,
Socios, Bancos
Mercados Financieros
Calificaciones de
Crdito
IMPACTOS
RECAUDACIONES
RETRASADAS
Las Prdidas de
Facturacin
Descuentos Perdidos
IMPACTO AMBIENTALES
PRDIDA DE PRODUCTIVEDAD
Nmero de Empleados afectados
Nmero de horas perdidas
% de Capacidad perdida
IMPACTOS EN
SEGURIDAD
La prdida de vida o
lesiones
Irritacin de las vas
respiratorias
Enfermedad
o Cuestionario
o Gua para al responder a los cuestionarios
o Gua para facilitadores y entrevistadores de talleres
o El Programa y la presentacin de un taller
o Presentacin de lanzamiento
o El software del AIN
2
Importante
3
Grave
4
Critico
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Impacto a la
Funcionalidad
Sin ms retraso
despus de 1
semana
Sin ms retraso
despus de 2
semanas
Sin ms retraso
despus de 1
mes
Sin ms retraso
despus de 3
meses
Impacto en la
Imagen Pblica
Limitada
Divulgacin de
Incidentes
Significativo
Cambio de
Imagen Pblica
Importante
Cambio de
Imagen Pblica
Cambio
Permanente de la
Imagen Pblica
Compromiso de
Responsabilidad
Quejas de los
Clientes
Cuestionamiento
de los Contratos
Actuales
Cancelacin de
los Contratos
Actuales
Destitucin del
Director General
/o miembros de la
Direccin
Impacto
Econmico,
Humano y Social
Riesgo Financiero
Prdida
Financiera
Limitada
Prdidas
Financieras
Importantes
Deudas
Financieras
Quiebra
Objetivo de tiempo de
Recuperacin (RTO)
Periodo de tiempo despus de un
incidente en el que: el producto o
servicio deben reanudarse; o la
actividad debe reanudarse; o los
recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de Tiempo de
Recuperacin (TTO)
Objetivo de punto de
Recuperacin (RPO)
Desastre
Desastre
Tiempo
0:00
Copia de
seguridad
en cintas
(7 Das)
Copia de
seguridad
de la red
(24 H)
Sistema
de espejos
(1 Minuto)
Crtico
(1 H)
Muy
Importante
(12 h)
Importante
(72 H)
100 %
40 %
0%
Las Dependencias
Consecuencias de No Procesar
Identificar incoherencias
? ?
?
?
?
?
? ?
Validacin
Validacin de
de datos
datos
Validar con:
Validar
o con:
Gerente de la funcin de negocio
o o Gerente
de del
la funcin
de negocio
Director
Departamento
o Director del Departamento
Cualquier cambio en los datos
Cualquier
cambio en los datos
recopilados
recopilados
debe estar documentado y aprobado
debe estar documentado y aprobado
En la parte final de esta fase, asegrese
En de
la parte
fase, asegrese
que final
toda de
la esta
informacin
recopilada
de est
que toda
la informacin
recopilada
completada,
es precisa
y
est
completada,
es
precisa
y
est
est acordada por las personas implicadas
acordada por las personas implicadas
El
El informe
informe del
del AIN
AIN
No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estndar de la
organizacin
Como mnimo, el informe del
AIN debe incluir:
La lista de actividades que
Apoyan a los principales
productos y servicios.
Las evaluaciones de impacto
El RTO y las prioridades de la
empresa para la recuperacin
Importantes dependencias y
recursos de soporte
Objetivo de Punto de
Recuperacin (RPO, por
sus siglas en ingls
Objetivo de
Tiempo de
Recuperacin
(RTO)
Plan de proteccin y de
Medidas de mitigacin
Plan de capacitacin y
sensibilizacin
Desastre
100%
40%
Nivel de
servicio
normal
Horas
Da
Semana
Mes
Tiempo
0%
Volver a
Normal
APORTACIONES
DE LAS PARTES
APORTACIONES
INTERESADAS
DE LAS
PARTES
INTERESADAS
Proceso de
Negocio
Impactos
Potenciales
Mximo de
Inactividad Tolerable
Procesar
Factura
Procesar
Factura
Operaciones ms de 1.000
Empleados afectados
72
Horas
Reputacin medios de
Comunicacin anuncian
preocupaciones
30
Horas
36
Horas
36
Horas
Elaborar
factura
Elaborar
factura
Procesar
Factura
Procesar
Factura
Procesar
Factura
Procesar
Factura
Componentes del
Sistema
Objetivo de
Tiempo
de Recuperacin
Servidor de
Aplicaciones
36
Horas
Servidor Web
24
Horas
Servidor de Base de
datos
12
Horas
Los ordenadores de
escritorio
30
Horas
Interdependencias
Ejercicio 7
Anlisis del Impacto en el Negocio (AIN)
a.
Identificacin de riesgos
b.
Anlisis de riesgos
c. Estimacin de riesgos
1.
1. Planificar
Planificar
1.
1. Planificar
Planificar
1.
1. Planificar
Planificar
3.1 Supervisin,
medicin, anlisis y
evaluacin
1.
1. Planificar
Planificar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 Plan y
procedimientos de la
continuidad del negocio
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
Mejora continua
Del marco
De trabajo (4.6)
Implementacin
De la gestin
De riesgos (4.4)
Seguimiento y
Revisin del marco
De trabajo (4.5)
Marco (clusula 4)
Identificacin de
Riesgos (5.4.2)
Anlisis de
Riesgos (5.4.3)
Evaluacin
de Riesgos (5.4..4)
Tratamiento
Tratamiento del
del
Riesgo
Riesgo (clusula
(clusula 5.5):
5.5):
Proceso (clusula 5)
Establecer
Establecer el
el
contexto
contexto (5.3)
(5.3)
a. Crear valor
b. Parte integral de los
procesos de la
organizacin
c. Parte de la toma de
decisiones
d. Aborda explcitamente
la incertidumbre
e. Sistemtica,
estructurada y
oportuna
f. Sobre la base de la
mejor informacin
disponible
g. Adaptada
h. Toma en cuenta los
factores humanos y
culturales
i. Transparente e
inclusiva
j. Dinmica, interactiva y
sensible a los cambios
k. Facilita la mejora
continua y la
optimizacin de la
organizacin de la
organizacin
Principios (clusula 3)
Anlisis
Anlisis de
de la
la causa
causa raz
raz
Mantenimiento
Mantenimiento centrado
centrado en
en
la
la fiabilidad
fiabilidad
Entrevistas
Entrevistas estructuradas
estructuradas oo
semi-estructuradas
semi-estructuradas
Modo
Modo de
de Falla
Falla
Anlisis
de
Anlisis de los
los efectos
efectos
Anlisis
Anlisis furtivo
furtivo de
de circuitos
circuitos
Anlisis
Anlisis de
de rbol
rbol de
de fallos
fallos
Delphi
Delphi
Anlisis
Anlisis Markov
Markov
Lista
Lista de
de verificacin
verificacin
Anlisis
Anlisis de
de rboles
rboles de
de
sucesos
sucesos
Simulacin
Simulacin de
de Monte
Monte Carlo
Carlo
Anlisis
Anlisis de
de riesgo
riesgo primario
primario
Anlisis
Anlisis de
de causas
causas yy
consecuencia
consecuencia
Estadsticas
Estadsticas Bayesianas
Bayesianas yy
Bayes
Bayes
Estudios
Estudios de
de peligros
peligros yy
Operabilidad
Operabilidad (HAZOP)
(HAZOP)
Anlisis
Anlisis de
de causa
causa yyefecto
efecto
Curvas
Curvas FN
FN
Anlisis
Anlisis de
de Peligros
Peligros yy Puntos
Puntos
de
Control
Crticos
de Control Crticos ((APPCC)
((APPCC)
Anlisis
Anlisis de
de proteccin
proteccin de
de
la
capa
la capa (LOPA)
(LOPA)
ndices
ndices de
de Riesgo
Riesgo
Evaluacin
Evaluacin de
de riesgos
riesgos
medioambientales
medioambientales
rbol
rbol de
de decisin
decisin
Matrices
Matrices de
de probabilidad
probabilidad //
consecuencia
consecuencia
Estructura
Estructura Y
Ysi?
si? >>
(SWIFT)
(SWIFT)
Anlisis
Anlisis de
de fiabilidad
fiabilidad
humana
humana
Anlisis
Anlisis de
de la
la relacin
relacin
coste/beneficio
coste/beneficio
Anlisis
Anlisis de
de escenarios
escenarios
Anlisis
Anlisis de
de lazo
lazo
Anlisis
Anlisis de
de decisin
decisin por
por
multi-criterios
multi-criterios (MCDA)
(MCDA)
Anlisis
Anlisis del
del impacto
impacto en
en el
el
negocio
negocio
2.2.1
2.2.1 Identificacin
Identificacin
del
del riesgo
riesgo
2.2.2
2.2.2 Anlisis
Anlisis del
del
riesgo
riesgo
2.2.3
2.2.3 Evaluacin
Evaluacin
del
del riesgo
riesgo
2.3 Poltica de CN
2.3 Poltica de CN
Identificar las fuentes de riesgo, las reas de los efectos, los acontecimientos y sus
causas
Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
La organizacin debera aplicar herramientas y tcnicas de identificacin del riesgo
que se adapten a sus objetivos y aptitudes, as como a los que est expuesta
1 HAZOP
Identificacin de Riesgos
1.
de
la
de
Anlisis Cuantitativo:
Estima los valores estimados para las consecuencias prcticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo anlisis
cuantitativo puede no ser siempre posible o deseable debido a
informacin insuficiente
Escenarios
Escenarios con
con edificios
edificios
Escenarios
Escenarios de
de utilidades
utilidades
Escenarios
Escenarios en
en los
los sistemas
sistemas de
de comunicacin
comunicacin
44
Escenarios
Escenarios de
de sistemas
sistemas informticos
informticos
Escenarios
Escenarios de
de consumibles
consumibles
Escenarios
Escenarios que
que involucran
involucran personas
personas
Escenarios
Escenarios de
de informacin
informacin oo datos
datos
Escenario 1
Posibles Causas
/Amenazas
Fuego
Inundacin
Amenaza de bomba
Huelga
Manifestacin
Fuga de gas
Consecuencias
Se ha detenido la
produccin
Incapacidad para
garantizar la logstica de
entrega
Incapacidad de facturar
bienes entregados
Impacto
3
Probabilidad
2
Nivel de
Riesgo
Huracn
Terremoto
Comentarios:
Comentarios: En
En los
los ltimos
ltimos 10
10 aos,
aos, la
la organizacin
organizacin ha
ha perdido
perdido 99 das
das debido
debido aa la
la no
no disponibilidad
disponibilidad del
del edificio
edificio
(una
(una huelga
huelga de
de 77 das,
das, 11 da
da por
por una
una alerta,
alerta, 11 por
por un
un fuga
fuga de
de gas)
gas)
Valor de
los
activos
Mediana
Alta
Nivel de Vulnerabilidad
B
Prioridades de tratamiento
Nota:
Nota: La
La decisin
decisin sobre
sobre las
las medidas
medidas aa tomar
tomar despus
despus
de
de la
la evaluacin
evaluacin del
del riesgo
riesgo se
se ver
ver influida
influida por
por el
el nivel
nivel
de
de apetito
apetito por
por el
el riesgo
riesgo de
de la
la organizacin
organizacin
Amenaza
Valor de
consecuencia
(activo)
Probabilidad
de ocurrencia
de la amenaza
Nivel de
riesgo
Orden de
prioridad de
la amenaza
Escenario A
10
22
Escenario B
33
Escenario C
15
11
Escenario D
55
Escenario E
44
Escenario
Escenario F
F
2
2
4
4
8
8
3
33
Evaluacin de Riesgos
Seleccin de medidas de proteccin y mitigacin
o
Da 3
Implementador Lder
Certificado en la ISO 22031
Seccin 16
Estrategia de continuidad del negocio
a.
b.
c.
d.
e.
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 8.3.1
8.3 Estrategia de continuidad del negocio
8.3.1 Determinacin y seleccin
La determinacin y seleccin de la estrategia deber basarse en los resultados de los anlisis
de impacto en el negocio y la evaluacin de los riesgos.
La organizacin deber determinar una adecuada estrategia de continuidad del negocio para:
a) Proteger las actividades prioritarias,
b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus
dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.
La determinacin de la estrategia deber incluir la aprobacin de plazos priorizados para la
Reanudacin de las actividades.
La organizacin deber llevar a cabo evaluaciones de las capacidades de continuidad del
Negocio de los proveedores
La estrategia debe encarar los resultados del AIN y la evaluacin del riesgo
EGY
T
A
STR
2.2 Anlisis
de riesgos
2.3.4 Estrategia
para mitigar,
2.3.4
Estrategia
responder
ay
para
mitigar,
gestionar impactos
responder a y
gestionar impactos
2.3.1
2.3.1 Anlisis
Anlisis &&
Seleccin
Seleccin de
de
Una
Una estrategia
estrategia
2.3.5 Evaluacin de
las capacidades de
2.3.5
los Evaluacin
proveedoresde
las capacidades de
los proveedores
2.3.2
2.3.2 Estrategia
Estrategia
para
para proteger
proteger
las
las actividades
actividades
prioritaria
prioritaria
2.4 Medidas de
Proteccin &
2.4 mitigacin
Medidas de
Proteccin &
mitigacin
Proteger
Proteger actividades
actividades prioritarias
prioritarias
Estabilizar,
Estabilizar, continuar,
continuar, reanudar
reanudar yy recuperar
recuperar actividades
actividades prioritarias
prioritarias
Mitigar,
Mitigar, responder
responder al
al impacto
impacto yy gestionarlo
gestionarlo
La proteccin de actividades
Prioritarias puede ser dirigida a:
3
2
Reducir el riesgo de la
actividad
transferir la actividad a un
tercero (aunque la
responsabilidad sigue
siendo de la organizacin
Cesar o modifica la
actividad si existen
alternativas viables
Traslado
Traslado de
de la
la actividad
actividad
ReRe- ubicacin
ubicacin oo rere- asignacin
asignacin de
de recursos
recursos
Procesos
Procesos alternativos
alternativos yy capacidad
capacidad de
de reserva
reserva
44
Sustitucin
Sustitucin de
de habilidades
habilidades yy recursos
recursos
Solucin
Solucin temporal
temporal
i n
in
r ac
de
t ac
tau
ac
os
ti v
A)
se La c
gu on
ro
tr a
es
de
un
R
B)
La contratacin de los
servicios de las compaas
que se especializan en la
limpieza o reparacin de
bienes despus de los daos
C) Gestin de la reputacin
C
O
S
T
O
D
E
L
A
E
S
T
R
A
T
E
G
I
A
IX Sitio
cliente
VIII,
Traslado a
otros centros
del grupo
VII,
Trabajo a
distancia
VI, Sitio
tibio
V, Acuerdo
reciproco
IV, Sitio
mvil
III, Sitio
frio
II,
Reconstruccin
y restauracin
TIEMPO DE RECUPERACIN
Ninguna
Estrategia
Caractersticas
I. Ninguna Estrategia
Ventajas
La estrategia menos costosa para
aplicar
Desventajas
La estrategia ms cara despus de
un desastre
Caractersticas
Ventajas
Estrategia de bajo costo y fcil de
implementar
Proteccin contra las prdidas
financieras de los activos fsicos
Desventajas
Estrategia que generalmente no
toma en cuenta los procesos de
negocio y los activos inmateriales
Estrategia que no incluye un plan
para asegurar la continuidad de las
operaciones en caso de desastres
Caractersticas
Ventajas
Bajo coste
Rpido de implementar
Fcil de mantener
Desventajas
Caractersticas
Ventajas
de
Bajo coste
Rpido de implementar
Fcil de mantener
Flexibilidad
Desventajas
La capacidad de los equipos puede ser
insuficiente para la necesidad
Caractersticas
V. Acuerdo Recproco
Ventajas
Bajo o ningn costo
Si los requisitos de procesamiento son
similares puede ser variable
Desventajas
Muy poco probable la existencia de la
capacidad
Limita severamente la capacidad de
respuesta y apoyo
Caractersticas
Ventajas
Desventajas
Caractersticas
Ventajas
Bajo costo y fcil de implementar para
una organizacin pequea
Solucin Flexible
flexibles
Desventajas
Debido a cuestiones de seguridad y
confidencialidad esta opcin no siempre
es adecuada
Difcil de coordinar para grandes
organizaciones
Caractersticas
Ventajas
Costo puede ser bajo a medio
Fcil de implementar
En la
mayora
de
casos,
compatibilidad de tecnologa
Respuesta rpida de activar
Desventajas
los
Caractersticas
Ventajas
Disponibilidad 24/7, exclusividad de uso
Disponible de inmediato
Admite interrupciones de corto y largo
plazo
Desventajas
Costoso
Requiere de un constante mantenimiento
de
hardware,
software, datos
y
aplicaciones
Seguridad del sitio caliente, la seguridad
del sitio primario se debe duplicar
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo
1.
2.
3.
4.
5.
Ejercicio 8
Seleccin de una estrategia de continuidad del negocio
Seccin 17
Las medidas de mitigacin y proteccin
a.
b.
Medida preventiva
c.
Medida de deteccin
d.
Medida correctiva
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 8.3.3
Proteccin y mitigacin
Para identificar los riesgos que requieren tratamiento, la organizacin deber
estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupcin;
b) Acorde el periodo de interrupcin; y
c) Limiten el impacto de una interrupcin en la provisin de los productos y la
presentacin de los servicios principales de la organizacin.
La organizacin deber elegir e implementar un tratamiento de riesgo apropiado
segn su nivel de aceptacin del riesgo
2.1 AIN
2.4.2 Medidas de
deteccin
2.4.2 Medidas de
deteccin
2.4.3 Medidas
correctivas
2.4.3 Medidas
correctivas
2.3 Estrategia de la
Continuidad
del Negocio
2.5 Plan de la
Continuidad
2.5
de la
delPlan
Negocio
Continuidad
del Negocio
2.4.1
2.4.1 Medidas
Medidas
preventivas
preventivas
2.6 Comunicacin
2.6 Comunicacin
Medidas
Medidas
Preventivas
Preventivas
Medidas
Medidas de
de
Deteccin
Deteccin
Desastre
Medidas
Medidas
Correctivas
Correctivas
Probabilidad
Impacto
Evaluacin
Fracaso de
los
servicios
pblicos
Posible (3)
Grave (3)
Alto
Acceso al
sitio no
autorizado
Regular (4)
Importante
(2)
Alto
Vandalismo
internacion
al externo
Posible(3)
Grave (3)
Alto
Fallo
elctrico
Raro (2)
Importante
(2)
Significativo
Proteccin
Proteccin
fsica
fsica
yy lgica
lgica
Gestin
Gestin del
del
Cambio
Cambio yy de
de la
la
configuracin
configuracin
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparacin es adecuada
- Desalentar o prevenir la aparicin de problemas
- Debe estar basada sobre la mejora continua
Mantenimiento
Mantenimiento
del
del
equipamiento
equipamiento
Reducir el impacto
Seguimiento
Seguimiento
Alertas
Alertas
Medidas de deteccin:
- Detectar e identificar anomalas
- Dar indicaciones rpida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
Gestin
Gestin de
de
incidentes
incidentes
Comunicacin
Comunicacin
Copia
Copia de
de
seguridad
seguridad
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestin del cambio
- Muy probablemente necesitan la participacin humana
- Debe incorporarse en la mejora continua
Seguimiento
Seguimiento
de
de NoNoconformidades
conformidades
Ejercicio 9
Medidas de mitigacin
Seccin 18
Planes y procedimientos de continuidad del negocio
a.
b.
c.
d.
e.
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 8.4.1
Establecer y aplicar procedimientos de continuidad del negocio
La organizacin deber establecer, implementar y mantener procedimientos de
continuidad del negocio para gestionar un evento perturbador y continuar sus
actividades sobre la base de objetivos de recuperacin identificados en el anlisis
del impacto en el negocio .
La organizacin deber documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestin de un
incidente perjudicial.
Requisitos
ISO 22301, clusula 8.4.4
Planes de continuidad del negocio
La organizacin deber establecer procedimientos documentados para responder a
un incidente disruptivo y cmo continuar o recuperar sus actividades dentro de un
tiempo predeterminado. Dichos procedimientos debern atender a las necesidades
de las personas que van a utilizarlos.
Cada plan deber definir:
- Finalidad y alcance;
- objetivos;
- criterios y procedimientos de activacin
- procedimientos de aplicacin;
- funciones, responsabilidades y autoridades;
- requisitos y procedimientos de comunicacin;
- Las interdependencias y las interacciones internas y externas.
- necesidades de recursos; y
- flujo de informacin y procesos de documentacin
2.2 Anlisis
de Riesgos
2.5.2 Formato
Y estructura
Del Plan
2.7 Ejercicio y
pruebas
2.7 Ejercicio y
pruebas
2.3 Estrategia de la
Continuidad
del Negocio
2.5.3 Redactar
el/los plan (es)
de CN
2.4 Medidas de
Proteccin
y mitigacin
2.5.4 Redactar
los procedimientos
de CN
2.5.1
2.5.1 Proceso
Proceso del
del
desarrollo
desarrollo del
del
plan
plan
2.6 Comunicacin
4. Recopilar
informacin
1. Nombrar
un
responsable
2. Enfoque y
estrategia
3. Estructura,
5.
Redaccin
Formato,
componentes
6-9 Revisin
8. Uso
7. Publicar
La estructura del PCN debe ser personalizada para satisfacer las necesidades
especficas de la organizacin
Finalidad
Finalidad yy alcance
alcance
22
Objetivos
Objetivos
33
Criterios
Criterios yy procedimientos
procedimientos de
de activacin
activacin
44
Procedimientos
Procedimientos de
de aplicacin
aplicacin
55
Las
Las funciones,
funciones, responsabilidades
responsabilidades yy autoridades
autoridades
66
Requisitos
Requisitos yy procedimientos
procedimientos de
de comunicacin
comunicacin
77
Las
Las interdependencias
interdependencias yy las
las interacciones
interacciones internas
internas yy externas
externas
88
Recursos
Recursos necesarios
necesarios
99
Flujo
Flujo de
de informacin
informacin yy procesos
procesos de
de documentacin
documentacin
Evaluacin de Riesgos
Proceso de Mantenimiento
Informe de Auditora
7. Informacin de
soporte
de la Seccin
Introduccin, propsito (objetivo) del plan, su alcance, objetivos, hiptesis, propiedad del plan,
registro de evento o decisin
Coordinador de la Gestin de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Equipo de GCN de la Unidad de Negocio
Procesos de notificacin y/o diagramas de flujo, procesos de invocacin y/o diagrama de flujo, procesos
de escalada y/o diagrama de flujo, procesos de listas de llamadas (rboles de llamadas) (incluyendo una
cascada inversa) y/o diagrama de flujo
Composicin del equipo de GCN, detalles de ubicacin y contacto de centro de comando(s) de GCN,
Mapa de ubicacin del centro(s) de comando de GCN, ubicaciones del centro de comando
Personal interno, contactos externos incluyendo expertos en la materia
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
pblicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurdico,
proveedores (dentro de la organizacin y los proveedores externos), seguros, la invocacin de servicios
especializados, comunicaciones
de
de la
la Seccin
Seccin
Calendario
Calendario de
de las
las Actividades
Actividades Criticas
Criticas de
de la
la Empresa
Empresa oo de
de
actividades
actividades de
de apoyo,
apoyo, recuperacin
recuperacin de
de las
las Actividades
Actividades Criticas
Criticas
de
de la
la Empresa
Empresa oo de
de actividades
actividades Criticas
Criticas de
de la
la Empresa
Empresa oo de
de
actividades
actividades de
de apoyo
apoyo (objetivos
(objetivos del
del RTO
RTO yy RPO)
RPO)
Plan
Plan de
de accin,
accin, perfil
perfil de
de recuperacin
recuperacin de
de recursos
recursos de
de la
la GCN,
GCN,
perfil
perfil de
de recuperacin
recuperacin de
de la
la GCN
GCN
Proceso
Proceso de
de invocacin
invocacin y/o
y/o diagrama
diagrama de
de flujo,
flujo, diseado
diseado del
del plan
plan del
del piso
piso
del
del sitio
sitio de
de recuperacin
recuperacin (rea
(rea de
de trabajo),
trabajo), mapa
mapa de
de ubicacin
ubicacin del
del sitio
sitio
de
de recuperacin,
recuperacin, re
re ubicacin
ubicacin de
de personal
personal (incluido
(incluido el
el transporte
transporte yy
alojamiento),
alojamiento),seguridad,
seguridad,correo.
correo.
Estaciones
Estaciones de
de trabajo
trabajo estndares
estndares decir
decir escritorio,
escritorio, silla,
silla, telfono
telfono yy
ordenador,
ordenador, elel equipo
equipo de
de computacin,
computacin, las
las aplicaciones
aplicaciones de
de software,
software,
conectividad
conectividad de
de las
las tecnologas,
tecnologas, las
las telecomunicaciones,
telecomunicaciones, los
los datos
datos copia
copia
de
deseguridad,
seguridad,documentos/registros
documentos/registrosde
devital
vitalimportancia/nicos
importancia/nicos,,equipos
equipos
de
de oficina,
oficina, equipo
equipo de
de especialistas,
especialistas, suministros
suministros de
de oficina,
oficina, por
por ejemplo
ejemplo
requisitos
requisitos de
de acceso
acceso para
para personas
personas discapacitadas
discapacitadas al
al sitio
sitio de
de
recuperacin
recuperacin
Orden
Orden del
del Da
Da de
de las
las reuniones,
reuniones, informacin
informacin interna,
interna, registro
registro de
de
decisiones
decisiones yyacciones,
acciones, informe
informe de
deestado
estado de
dela
la lista
lista de
de tareas,
tareas, mensajes
mensajes
telefnicos,
telefnicos,hoja
hojade
declculo
clculode
deacciones
accionesootereas.
tereas.
Apndices
Contratos
ContratosyyAcuerdos
Acuerdosde
deNivel
Nivelde
deServicio,
Servicio,volver
volveraacasa
casa
Tipos de Planes
Descripcin
Plan de continuidad del negocio
de la Seccin
Procedimientos documentados que orientan a las organizaciones a responder,
recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras
interrupciones
Procedimientos documentados que orientan a las organizaciones para responder a un
incidente que pueden ser utilizados para apoyar y mejorar la mitigacin la respuesta y
recuperacin de los trastornos, los efectos de los desastres, o situaciones de emergencia
Coordinacin de los procedimientos para manejar situaciones complejas que representan una
amenaza a los objetivos estratgicos, la reputacin o la existencia de una organizacin
Plan de Recuperacin
Plan de restauracin
Plan de comunicacin
Plan de capacitacin y
sensibilizacin
Desastre
Proteccin y plan
de mitigacin
Plan de restauracin
Plan de comunicacin
Plan de capacitacin y
sensibilizacin
Plan de ejercicio y
pruebas
Procedimiento
Definicin: Forma especificada para llevar a
cabo una actividad o un proceso
La estructura y el formato de los procedimientos
documentados (copia impresa o por
medios
elctricos) deberan ser definidos por
la
organizacin en las siguientes formas: texto,
grficos, tablas, una combinacin
de
los
anteriores, o cualquier otro mtodo apropiado de
la organizacin
Quin
Qu
Cmo
Cundo
Dnde
Por qu
Ejemplo:
El administrador de la red (quin) se asegura de que las copias de seguridad
(qu)se completan mediante la revisin de lo registros de copia de seguridad
(cmo) todas las maanas (cundo). Tras la revisin, llena y firma una lista de
Verificaciones (dnde) que se mantiene para futuras consultas (por qu)
Seccin 19
Plan de respuesta a incidentes
a.
Supervisin de eventos
b.
Deteccin de incidentes
c.
d.
e.
f.
g.
Requisitos
ISO 22301, clusula 8.4.2
Estructura de respuesta a Incidentes
La organizacin deber establecer, documentar procedimientos y una estructura de gestin para responder a un
incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para
administrar un incidente.
La estructura de respuesta deber:
a)
Identificar los umbrales de impacto que justifiquen la iniciacin de una respuesta formal,
b)
Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c)
poner en marcha una respuesta de continuidad del negocio apropiada;
d)
disponer de procesos y procedimientos para la activacin, operacin, coordinacin y comunicacin
de la respuesta;
e)
Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar
un
incidente perjudicial para minimizar el impacto, y
La organizacin deber decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente informacin acerca de sus riesgos e impactos significativos y
deber documentar su decisin. Si la decisin es comunicarlo, a continuacin, la organizacin deber
establecer y aplicar procedimientos para establecer esta comunicacin externa, las alertas y las advertencias,
incluyendo los medios de comunicacin.
Requisitos
ISO 22301, clusula 8.4.3
Alerta y comunicacin
La organizacin deber establecer, implementar y mantener procedimientos para:
a)
b)
c)
d)
e)
f)
g)
la deteccin de un incidente,
el seguimiento regular de un incidente,
la comunicacin interna en el seno de la organizacin y recibir, documentar y responder a la
comunicacin de las partes interesadas,
recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
velar por la disponibilidad de los medios de comunicacin durante un incidente disruptivo,
Facilitar la comunicacin estructurada con los equipos de emergencia,
Registrar la informacin de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente tambin deber ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de mltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicacin y los procedimientos de alerta debern ser ejercidos regularmente.
Qu es un Incidente?
ISO 22301, clusula 3.19
o
I. Supervisin de eventos
o
Informe de eventos
Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organizacin Mundial de la salud
Una alerta del CERT (Computer Emergency Response Team) de que un
virus informtico se espera en una fecha determinada
Alertas en el sistema de TI
Sistema de Alarma
con
detectar
hiptesis
Detector de
Bombas y metal
de un Evento
Grupo de Apoyo a
las Operaciones
Equipo de Respuesta
a incidentes
Equipo de
Gestin de Crisis
Deteccin
Notificacin de
Recopilacin de
Evaluacin de
Decisin
Primera Evaluacin
No
Si
Relevante?
Segunda evaluacin
No
Relevante
Si
Falso Positivo
Comunicaciones
Anlisis forense
Tiempo
No
Respuest
a
inmediata
Si
Respuesta
positiva
Revisin de la
Mejora continua
Incidente
bajo control?
Respuesta
No
Crisis?
Si
Actividades de
crisis
Comunicacin de respuesta a
incidentes
Para ponerse en
personal
contacto con
de emergencia
el
Mtodos de notificacin
to
da
en
Ev
la
ca
Es
Modo
Incidente
OK
Modo
Estndar
Modo
Crisis
OK
Modo de
desastres
da
a
l
ca
Es
Seccin 20
Plan de respuesta de emergencia
a.
Qu es una emergencia?
b.
c.
Funciones y responsabilidades
d.
Procedimiento de evacuacin
e.
f.
g.
h.
Requisitos
ISO 22301, clusula 8.4.4
Planes de continuidad del negocio
Los procedimientos de respuesta debern contener colectivamente:
c) Detalles para gestionar las consecuencias inmediatas de una interrupcin
De una interrupcin del negocio, teniendo en especial consideracin:
1)
2)
3)
Qu es una Emergencia?
ISO 22399, clusula 3.6
o
Evidentemente, numerosos eventos pueden ser emergencias, entre los que incluyen:
Fuego
Incidente de materiales peligrosos
Inundaciones o riadas
Huracn
Tornado
Tormenta de invierno
Terremoto
Fallo de las comunicaciones
Accidente radiolgico
Disturbios Civiles
Prdida de proveedores o clientes principales
Explosin, etc.
Funciones y responsabilidades
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o l est al mando y en control de todos los aspectos de la situacin de
emergencia
Redaccin de los procedimientos de respuesta de emergencia
Aplicar controles preventivos fsicos
Ordenar la evacuacin o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuacin
3.
4.
5.
6.
7.
Determinar las condiciones bajo las cuales sera necesaria una evacuacin
Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
Redactar procedimientos de pos evacuacin
Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
Coordinar planes con la oficina local de gestin de emergencias
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin
3.
Polica
Cuartel de Bomberos
Compaa de Gas
Desconexin Automtica
Ejercicio 10
Preparacin de las pruebas de auditora para el plan de respuesta
ante emergencias
Seccin 21
Plan de gestin de crisis
a.
Qu es una crisis?
b.
c.
Requisitos
Ningn requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)
Importante:
Importante: El
El plan
plan yy los
los procedimientos
procedimientos desarrollados
desarrollados
deberan
deberan permitir
permitir responder
responder al
al mismo
mismo tiempo
tiempo de
de una
una
forma
forma coherente,
coherente, integrada
integrada yy complementaria
complementaria
Qu es una crisis?
ISO 22300, clusula 2.1.12
Situacin con un alto nivel de incertidumbre que afecta las actividades bsicas y/o la
credibilidad de la organizacin y requiere medidas urgentes
Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del pblico y de los medios
I.
Gestin de Crisis
Una responsabilidad de la alta direccin
o
Las crisis, por otra parte, se producen a menudo por riesgos que no
haban sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado
Las crisis estn asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solucin posible
puede tener graves consecuencias de una forma u otra
Los administradores pueden tener para elegir la solucin menos mala y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratgicos
fundamentales. Estos pueden significar que cada eleccin viene con una pena
de algn tipo y que no existe una solucin ideal
Comunicacin
Un factor clave de xito
Aun cuando la organizacin se considera que est mal, o censurable, la
manifestacin dela virtud, la integridad y la compasin pueden compensar, en
cierta medida, el dao a su reputacin y prestigio
o
Ejercicio 11
Plan de pandemia
Seccin 22
Plan de recuperacin de TI
a.
b.
c.
d.
Suministro de equipos
e.
f.
Recuperacin de telecomunicaciones
g.
h.
i.
Requisitos
ISO 22301, clusula 8.4.4
Planes de continuidad del negocio
El Plan de Respuesta de TI
Objetivos y elementos comunes incluidos
El plan de recuperacin de TI debera integrar los procesos y
procedimientos para:
I.
Funciones y responsabilidades
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o l est al mando y en control de todos los aspectos de la situacin de
emergencia
Redaccin de los procedimientos de respuesta de emergencia
Aplicar controles preventivos fsicos
Ordenar la evacuacin o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuacin
3.
4.
5.
6.
7.
Determinar las condiciones bajo las cuales sera necesaria una evacuacin
Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
Redactar procedimientos de pos evacuacin
Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
Coordinar planes con la oficina local de gestin de emergencias
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin
3.
el
Acuerdos
con los
proveedores
Inventario
de Equipos
Equipos
Compatibles
Existentes
V. Recuperacin de Telecomunicaciones
Mtodos
Descripcin
Redundancia
Ruta alternativa
Enrutamiento
diverso
Diversidad de
Red larga
distancia
Sistemas de
Comunicacione
s de
Emergencia
Copia de seguridad
Principales soluciones
1.
1. Red
Red de
de rea
rea de
de Almacenamiento
Almacenamiento
2.
2. Duplicacin
Duplicacin
Gracias
Gracias aa la
la virtualizacin
virtualizacin del
del almacenamiento,
almacenamiento,
se
combinan
varios
dispositivos
de
se
combinan
varios
dispositivos
de
almacenamiento
almacenamiento en
en un
un solo,
solo, lgico,
lgico, sistema
sistema de
de
almacenamiento
almacenamiento virtual
virtual
Con
Con la
la duplicacin
duplicacin de
de los
los discos
discos oo las
las imgenes
imgenes
de
recuperacin,
se
ha
optimizado
de recuperacin, se ha optimizado la
la
recuperacin.
recuperacin. Los
Los datos
datos se
se escriben
escriben en
en dos
dos
discos
discos yy proporciona
proporciona una
una alta
alta disponibilidad
disponibilidad
3.
3. Procesamiento
Procesamiento distribuido
distribuido
4.
4. Almacenamiento
Almacenamiento electrnico
electrnico
Los
Los servicios,
servicios, que
que se
se encuentra
encuentra en
en la
la misma
misma oo
en
en mltiples
mltiples ubicaciones,
ubicaciones, se
se configuran
configuran con
con
equilibrio
de
carga
y
agrupamiento
para
procesar
equilibrio de carga y agrupamiento para procesar
las
las solicitudes
solicitudes yy los
los datos
datos de
de intercambio
intercambio
Con
Con el
el almacenamiento
almacenamiento electrnico,
electrnico, se
se realiza
realiza
una
una copia
copia de
de seguridad
seguridad de
de los
los datos
datos aa las
las
unidades
remotas
que
se
encuentran
fuera
de
las
unidades remotas que se encuentran fuera de las
instalaciones
instalaciones mediante
mediante enlaces
enlaces de
de comunicacin
comunicacin
de
alta
calidad
de alta calidad
5.
5. Diario
Diario Remoto
Remoto
6.
6. Archivos
Archivos de
de medios
medios
Las
Las publicaciones
publicaciones remotas,
remotas, las
las transacciones
transacciones oo
archivos
de
diarios
son
transmitidos
archivos
de
diarios
son
transmitidos
peridicamente
a
las
unidades
remotas
peridicamente a las unidades remotas que
que se
se
encuentran
encuentran fuera
fuera del
del sitio
sitio
Otro
Otro es
es grabar
grabar archivos
archivos aa medios
medios de
de copia
copia de
de
seguridad
y
transportarlos,
a
una
ubicacin
fuera
seguridad y transportarlos, a una ubicacin fuera
del
del sitio
sitio
Descripcin
de
Copia de seguridad
Ubicacin y almacenamiento
Copia de seguridad
Puede ser almacenada en
varios lugares, cada
uno
cumpliendo
un propsito
diferente
Cuando son transportados,
los medios deberan ser
garantizados
rity
o
i
Pr
!
hdna
adjhu
jhj na sticas
Ckde
er
caract
Seccin 23
Plan de restauracin
a.
b.
c.
d.
e.
f.
g.
Pruebas y validacin
h.
i.
Requisitos
ISO 22301, clusula 8.4.5
Las obras de restauracin deben ser protegidas para evitar acceso fsico no
autorizado
Evaluacin de daos
Limpiar el sitio
Reconstruir la
instalacin y
Restaurar la
infraestructura
Restauracin de la
Infraestructura de TI
Restauracin de datos
Restaurar
Restaurar el
el funcionamiento
funcionamiento normal
normal
Declaracin
Declaracin de
de fin
fin del
del incidente
incidente oo crisis
crisis
Cierre
Cierre del
del sitio
sitio de
de recuperacin
recuperacin
Informes
Informes de
de comentarios
comentarios yy de
de pos-recuperacin
pos-recuperacin
Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje
para
asegurarse de que no se repita
o
Las personas que han trabajado ms all de sus horas de trabajo y que han
tomado tareas adicionales deberan ver sus esfuerzos reconocidos de
alguna manera
o
Seccin 24
Plan de comunicacin
a.
b.
Proceso de Comunicacin de CN
c.
d.
e.
f.
g.
h.
Evaluar la comunicacin
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 7.4 y 8.4.3
7.4 Comunicacin
La organizacin deber determinar la necesidad de comunicacin interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicacin.
b) Cuando comunicar, y
c) A quin se va a comunicar.
La organizacin deber establecer, implementar y mantener procedimiento(s) para :
Comunicacin interna entre las partes, interesadas y empleados dentro del a organizacin,
Comunicacin externa con los clientes, las entidades asociadas, la comunidad local, y otras
partes interesadas, incluidos los medios de comunicacin,
Recibir, documentar y responder a la comunicacin de las partes interesadas.
Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificacin y el uso operacional, cuando corresponda.
Garantizar la disponibilidad de los medios de comunicacin durante un incidente disruptivo.
Facilitar una comunicacin estructurada con las autoridades competentes y asegurar la inter
operabilidad de mltiples organizaciones y personal, cuando corresponda, y
Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones
de las comunicaciones normales.
5. Plan y
procedimiento de la
Continuidad
del Negocio
2.6.1
2.6.1 Establecer
Establecer
objetivos
objetivos de
de
Comunicacin
Comunicacin
2.6.2
2.6.2 Identifica
Identifica
las
Partes
las Partes
Interesadas
Interesadas
2.6.5 Evaluar
la comunicacin
2.7 Capacitacin y
sensibilizacin
2.6.3 Planificar
las actividades de
comunicacin
Transparencia
Transparencia
Hacer
Hacer que
que todos
todos los
los procesos,
procesos, procedimientos,
procedimientos, mtodos,
mtodos, fuentes
fuentes de
de datos
datos yy supuestos
supuestos utilizados
utilizados en
en
la
comunicacin
estn
disponibles
para
todas
las
partes
interesadas,
teniendo
en
cuenta
la
la comunicacin estn disponibles para todas las partes interesadas, teniendo en cuenta la
confidencialidad
confidencialidad de
de la
la informacin
informacin segn
segn se
se requiera
requiera
Idoneidad
Idoneidad
Hacer
Hacer que
que la
la informacin
informacin proporcionada
proporcionada en
en las
las partes
partes interesadas
interesadas sea
sea pertinente,
pertinente, utilizando
utilizando
formatos,
formatos, el
el idioma
idioma yy los
los medios
medios que
que cumplan
cumplan con
con sus
sus intereses
intereses yy necesidades,
necesidades, para
para que
que puedan
puedan
participar
plenamente
participar plenamente
Credibilidad
Credibilidad
Comunicar
Comunicar con
con una
una conducta
conducta honesta
honesta yy justa,
justa, yy proporcionar
proporcionar informacin
informacin que
que sea
sea veraz,
veraz, exacta
exacta yy
sustantiva.
sustantiva. Desarrollar
Desarrollar la
la informacin
informacin yy datos
datos con
con mtodos
mtodos ee indicadores
indicadores reconocidos
reconocidos yy
reproducibles
reproducibles
Respuesta
Respuesta
55
Responder
Responder aa las
las preguntas
preguntas yy preocupaciones
preocupaciones de
de las
las partes
partes interesadas
interesadas de
de forma
forma plena
plena yy oportuna.
oportuna.
Hacer
Hacer conscientes
conscientes aa las
las partes
partes interesadas
interesadas de
de cmo
cmo se
se han
han abordado
abordado sus
sus preguntas
preguntas ee inquietudes
inquietudes
Claridad
Claridad
Asegurar
Asegurar que
que los
los mtodos
mtodos de
de comunicacin
comunicacin yy el
el lenguaje
lenguaje son
son comprensibles
comprensibles para
para las
las partes
partes
interesadas
para
minimizar
la
ambigedad
interesadas para minimizar la ambigedad
Proceso de Comunicacin de la CN
ORGANIZACIN
Otros principios
Corporativos,
Polticas y estrategias
Identificar
las partes
interesadas
Grupos
objetivo
Planificar
Realizar
Principios de la comunicacin
Partes
Interesadas
Poltica de continuidad
del negocio
Medios de
comunicacin
Proveedores
Inversores
Empleados
Comunidades
Clientes
o
Se deberan establecer objetivos compatibles con los objetivos de
comunicacin de la continuidad del negocio y que sean
especficos,
mensurables, alcanzables, realistas y con plazos
o Esto permitir que la organizacin evale la actividad de
comunicacin
de la
continuidad del negocio y determine si el
objetivo se ha cumplido,
o no
o La organizacin debera prever problemas de continuidad de negocio
inters para las partes interesadas
de
o
La organizacin debera identificar las posibles crisis y emergencias, y
planificar la adecuada comunicacin de la continuidad del negocio
o
Artculos de prensa
Visitas guiadas a la
organizacin
Informes
Comunicados de
prensa
Talleres
Y Conferencias
Folletos &
Boletines
Anuncios
Carteles
Reuniones Pblicas
Presentacin a los
grupos
Correos electrnicos
Grupos de enfoque
y encuestas
Medios sociales
Comunicacin y Reportes
Ejemplo de un formulario
Nombre del
proyecto
Responsable
Nmero de
proyecto
Nombre
Comunicacin
Enfoque de la
comunicacin
Inters y temas principales
Estado Actual (Partidario/
Natural/Oponente
Apoyo deseado
(Alto/Medio/Bajo)
Funciones prevista en el
Proyecto
(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales de
comunicacin
Fecha
01.02.2015
Ejercicio 12
Comunicacin de una crisis
Da 3
Implementador Lder
Certificado en la ISO 22031
Seccin 25
Pruebas y ejercicios
a.
Definicin
b.
c.
d.
e.
f.
g.
h.
i.
Informe de Ejercicios/Pruebas
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 8.5
Pruebas y ejercicios
La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organizacin deber llevar a cabo ejercicios y pruebas que:
a)
Estn en consonancia con el alcance y los objetivos del SGCN,
b)
Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c)
Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d)
Reducen al mnimo el riesgo de interrupcin de las operaciones,
e)
Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f)
Son revisados en el contexto de la promocin de la mejora continua y
g)
Se llevan a cabo a intervalos planificados y adems cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente en el que
opera.
Pruebas y ejercicios
Ejercicio
Proceso para capacitar, evaluar,
practicar, y mejorar el
rendimiento de una organizacin
Prueba
nico y
ejercicio,
elemento
de
aprobar dentro
objetivos del
previsto
particular tipo de
que incorpora un
expectativa
de
del objetivo o los
ejercicio que est
Nota: Los ejercicios pueden ser utilizados para: validar las polticas, planes,
procedimientos, capacitacin, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinacin inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeo individual; e identificar las oportunidades
de mejora
2.6 Comunicacin
2.7.1
2.7.1 Definicin
Definicin
de
la
de la estrategia
estrategia
2.7.4 Programa de
ejercicios y
pruebas
2.7.5 Seleccin
De objetivos
De ejercicio/prueba
2.7.8
2.7.8 Informe
Informe de
de
Ejercicio/Prueba
Ejercicio/Prueba
3.1 Supervisin,
Medicin, anlisis y
3.1evaluacin
Supervisin,
Medicin, anlisis y
evaluacin
2.7.2
2.7.2 Plan
Plan de
de
ejercicios
ejercicios &&
pruebas
pruebas
2.7.3.
2.7.3. Creacin
Creacin de
de
escenarios
escenarios
2.7.7
2.7.7 Evaluacin
Evaluacin
de
una
de una actividad
actividad
de
de ejercicio/prueba
ejercicio/prueba
3.2 Auditoria
interna
3.3 Revisin
por la Direccin
Simulacin de recuperacin
Componente
Componente
Integrado
Integrado
Operacional
Operacional
Servicio
En operaciones
Familiarizacin
Familiarizacin
Comprobacin
Comprobacin yy tutorial
tutorial
del
del proceso
proceso
de
de invocacin
invocacin yy
recuperacin
recuperacin
Pruebas
Pruebas // ejercicios
ejercicios
de
de cada
cada proceso
proceso
O
O competen
competen de
de la
la
infraestructura
infraestructura
Pruebas
Pruebas // ejercicios
ejercicios
de
de recuperacin
recuperacin del
del
Servicio
Servicio integral
integral
Servicios
Servicios integrales
integrales de
de
conmutacin
conmutacin entre
entre el
el
Sitio
Sitio principal
principal yy el
el
secundario
secundario
Tipo
Tipo de
de ejercicio
ejercicio
Qu
Qu es?
es?
Beneficio
Beneficio
Desventajas
Desventajas
Lista
Lista de
de control
control
Distribuye
Distribuye planes
planes para
para su
su
revisin
revisin
Asegura
Asegura que
que el
el plan
plan aborda
aborda
todas
las
actividades
todas las actividades
No
No aborda
aborda la
la
eficacia
eficacia
Tutorial
Tutorial
estructurado
estructurado
Examina
Examina detenidamente
detenidamente
Cada
Cada paso
paso del
del PCN
PCN
Asegurar
Asegurar que
que las
las actividades
actividades
Previstas
se
describen
Previstas se describen con
con
exactitud
exactitud en
en el
el PCN
PCN
Bajo
Bajo valor
valor para
para
demostrar
capacidad
demostrar capacidad
de
de respuesta
respuesta
Simulacin
Simulacin
Escenario
Escenario para
para representar
representar
Procedimientos
Procedimientos de
de
recuperacin
recuperacin
Sesin
Sesin de
de prctica
prctica
Cuando
Cuando los
los
subconjuntos
subconjuntos son
son
muy
muy diferentes
diferentes
Paralelo
Paralelo
Prueba
Prueba completa,
completa, pero
pero las
las
Operaciones
no
Operaciones no se
se
detienen
detienen
Garantizar
Garantizar un
un alto
alto nivel
nivel de
de
Fiabilidad
sin
interrumpir
Fiabilidad sin interrumpir las
las
Operaciones
Operaciones normales
normales
Caro,
Caro, ya
ya que
que todo
todo el
el
personal
est
personal est
involucrado
involucrado
Interrupcin
Interrupcin
total
total
El
El desastre
desastre se
se replica
replica al
al punto
punto
de
que
cesen
las
de que cesen las
Operaciones
Operaciones normales
normales
Prueba
Prueba ms
ms fiable
fiable del
del PCN
PCN
Arriesgada
Arriesgada
Prueba
Prueba
Esttica
Prueba
Funcional
Prueba
Dinmica
Departamento/Proceso/Sistema
Recursos humanos
Prueba
Esttica
Finanzas
Adquisiciones
Ventas
CRM
Dinmica
Sistema de correo
electrnico
Funcional
Lista de
control
Tutorial
Simulacin
Ejercicio
Paralelo
Interrupcin
total
partes
el
Detener o Suspender
Documentacin de Ejercicios/Pruebas
Lista estndar
1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duracin de la prueba
7. Pasos especficos de la prueba
8. Quines sern los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medicin del xito o el fracaso de las pruebas
Tiempo
Suma
Nmero
Recomendaciones
Precisin
Lecciones
aprendidas
Razones/Causas
Cogniciones (Lecciones
Aprendidas)
<Texto>
<Texto>
<Texto>
<Texto>
Qu ha funcionado
Durante la prueba?
Qu no funcion
Durante la prueba?
Seccin 26
Supervisin, medicin, anlisis y evaluacin
a.
b.
c.
d.
e.
f.
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 9.1
9.1 Supervisin, medicin, anlisis y evaluacin
9.1.1 Generalidades
La organizacin deber determinar:
a)
Lo que debe ser medio controlado
b)
Los mtodos de vigilancia, medicin, anlisis y evaluacin, en su caso, para
asegurar resultados vlidos;
c)
Cundo el seguimiento y la medicin debern ser llevados a cabo;
d)
Cundo debern llevarse a cabo el anlisis y la evaluacin del monitoreo y los
resultados de las mediciones.
La organizacin deber conservar la informacin apropiada documentada como evidencia de los
resultados.
La organizacin deber evaluar el rendimiento del SGCN y la eficacia del SGCN.
Adems la organizacin deber:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los
resultados
antes de que se produzcan una no conformidad
Conservar la informacin apropiada documentada como evidencia de los
resultados
-
Definiciones
segn la ISO 22301
Supervisin (3.29)
Determinar el estado de un sistema,
un proceso o actividad
Medida (3.27)
Proceso para determinar un valor
REVISIN Y
MEJORA
OBJETIVO DE MEDICIN
TABLERO
Atributo A
Indicador de rendimiento A
Atributo B
Indicador de rendimiento B
Atributo C
Indicador de rendimiento C
2. Implementacin
del SGCN
(Hacer)
3.1.4 Creacin de
paneles
3.1.4 Creacin de
paneles
3.1.1
3.1.1 Objetivos
Objetivos
de
medicin
de medicin
3.2 Auditoria
Interna
3.2 Auditoria
Interna
3.1.2
3.1.2 Objetivos
Objetivos de
de
Supervisin
Supervisin yy
Medicin
Medicin
3.3 Revisin
por la Direccin
3.3 Revisin
por la Direccin
3.1.3
3.1.3 Creacin
Creacin
de
indicadores
de indicadores
Objetivos de la Medicin
La norma no indica lo que debe ser objetivo de
supervisin o medicin
Corresponde a la empresa determinar qu es lo
que necesita ser2.
controlado
y medido
Funcin
de Asesoramiento
dentro de la
organizacin
para la mejora continua
Es una mejor prctica
centrarse en la vigilancia
1. La medida en que
se cumplen la continuidad
del negocio, poltica, objetivos
y metas de la organizacin
2. Los procesos,
procedimientos y funciones
que protegen sus
actividades prioritarias
3. Evidencia histrica
de los resultados
deficientes del SGCN,
por ejemplo, no
conformidad, conatos,
falsas alarmas
4. El cumplimiento de las exigencias legales y
nominativas, las mejores prcticas del sector y de la
conformidad con su propia gestin de la poltica y
objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
% de falsas alarmas
con deteccin de
eventos
Costo promedio de
un incidente
Incidentes
Capacitacin
% de planes
probados
Nmero de ejercicios
realizados en el
ltimo ao
% de no conformidades
no cerradas en la
demora fijada
Nmero de das en
promedio para cerrar
una no conformidad
Ejercicios
No conformidades
Objetivos de la Medicin
COM
O
Ejecucin Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestin Tctico
Mide el progreso hacia el logro delos objetivos tcticos
I. Tablero Operativo
Ejemplo
Procedimiento evaluado
Procedimiento de competencia,
sensibilizacin y capacitacin
6
8
1
0
Procedimiento de compra
Evaluacin global
Notas a la debilidad
Y la fuerza
Nivel de cumplimiento
1
80
70
60
50
40
30
20
10
0
Indicador 2
Serie 1
65
49
19
Serie 2
61
48
28
18
Indicador 4
71
39
27
Indicador 3
29
36
41
50
Descripcin B
Descripcin C
Descripcin D
Descripcin E
Ejercicio 13
Supervisin, medicin, anlisis y evaluacin
Seccin 27
Auditoria Interna
a.
b.
c.
d.
e.
f.
g.
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 9.2
9.2 Auditora interna
9.1.1 Generalidades
La organizacin deber llevar a cabo auditoras internas a intervalos planificados para
proporcionar informacin a fin de prestar asistencia en la determinacin de si el SGCN:
a) cumple:
b)
La organizacin deber:
- Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
mtodos,
- responsabilidades, requisitos de la planificacin y presentacin de informes. El programa de auditoras
(s) deber tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el mbito de aplicacin de cada auditoria,
- La seleccin de los auditores y la realizacin de las auditorias para asegurar la objetividad e
imparcialidad del proceso de auditora.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestin, y los resultados de la
auditora.
Qu es una Auditora?
ISO 19011, clusula 3.1
Proceso sistemtico, independiente y
documentado para obtener evidencia de auditora
y evaluarla para determinar en qu medida cumple
los criterios de auditora
En resumen:
Auditora significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditoras
Externa
Auditora de Segunda
Parte
Nuestro cliente audita
nuestra organizacin
Interna
Auditora de primera
Parte
Auditoria de Segunda
Parte
Nuestra organizacin
audita a nuestro
proveedor
Cliente
Auditora de
Tercera parte
La organizacin es
auditada por una
organizacin
independiente
Proveedor
Organizacin
Auditora Interna
1. Es independiente de las actividades auditadas
(no de la organizacin)
2. Considera la eficacia y la eficiencia del
sistema de gestin
3. Funcin de Asesoramiento dentro de la
organizacin para la mejora continua
4. Puede llevarse a cabo en el curso de las
operaciones
Auditora Externa
1. Totalmente independiente de la organizacin
auditada y sus actividades
2. Slo considera la eficacia del sistema de
gestin
3. No tiene funcin de asesoramiento a la
organizacin
(slo
recomendaciones
generales)
4. La actividad de la auditora siempre e
planifica de manera oportuna
7. Evaluacin de la mejora
continua
Objetivos
principal
es
3. Evaluacin de la gestin
de riesgos en curso
6. Evaluacin de la medicin
y la revisin del sistema de
gestin
5. 4 Evaluacin de la eficacia y la
eficiencia de la gestin del ciclo de
vida del mismo sistema de gestin
4. Evaluacin de la eficacia y
la eficiencia de los procesos y
medidas
ISO 19011
Gua de auditora para los sistemas de gestin
INTERNATIONAL
ISO
STANDARD
19011
______________________________________
Societal security- Business
continuity
Management Systems Requirements
______________________________________
3.1 Supervisin,
medicin,
anlisis y evaluacin
3.2.4 Planificar
actividades de
auditoria
3.2.8
3.2.8 Seguimiento
Seguimiento
de
de No
No
conformidades
conformidades
3.2.1
3.2.1 Crear
Crear el
el
programa
programa de
de
auditora
auditora interna
interna
3.2.2
3.2.2 Designar
Designar
una
una Persona
Persona
Responsable
Responsable
3.2.3
3.2.3 Establecer
Establecer
Independencia,
Independencia,
objetividad
objetividad ee
Imparcialidad
Imparcialidad
3.2.5 Asignar y
administrar los
recursos
3.2.6 Crear
procedimiento de
auditora
3.2.7
3.2.7 Realizar
Realizar
actividades
actividades de
de
auditora
auditora
Revisar y mejorar
programa de
auditora (5.5)
Competencia y
evaluaciones
de los
auditores
(clusula 7)
Actividades de
Auditoria
(clusula 6)
Verificar
Actuar
Hacer
Planificar
Principios
de auditora
Sistema
de gestin
Riesgos
de auditora
Aspectos
legales
Operacin de un sistema de
gestin e interaccin
entre sistemas
Proceso
organizacional
Principales leyes y
reglamentos, clusulas
de contrato
Carta de auditora
Definicin normal del propsito y actividades de la auditora interna
El Acceso y la Independencia
Los auditores deberan tener acceso sin restricciones a los ejecutivos, empleados,
oficinas, informacin, explicaciones y la documentacin necesaria para el buen
desarrollo de la auditora para el buen desarrollo de la auditora
Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditora
Independiente
Los auditores internos deben ser independientes de los procesos auditados, y esto
generalmente se garantiza si el auditor informa a la Comisin de cuentas de la
organizacin en lugar de directamente a la alta direccin
Esta necesidad de independencia debera reflejarse en el organigrama
Recursos financieros
Recursos humanos
Herramientas
Logstica
4. Seleccionar equipos de
auditoria apropiados y asignar
sus
roles
y
responsabilidades
8. Mantener
registros
programa de auditora
6. Realizar el seguimiento de la
auditora, si procede
del
Fuente de informacin
Uso de
Procedimientos de auditora
Incluyendo el muestreo
Evidencia de la auditora
Evaluacin frente a los
Criterios de auditoria
Hallazgo de la auditora
Revisin
Conclusiones de la
auditora
No conformidad
Definicin
o De acuerdo con la definicin de la norma ISO 9000: 2005, una no conformidad
es el no cumplimiento de un requisito
o Hay dos tipos de no conformidades
No conformidad menor
No conformidad mayor
El papel del auditor interno se limita a validar los planes de accin y las
acciones correctivas
o
o
No todas las medidas correctivas tiene que ponerse en prctica
inmediatamente
Basado
Basado en
en su
su experiencia
experiencia yy conocimiento,
conocimiento, el
el auditor
auditor interno
interno debera
debera
ejercer
ejercer buen
buen criterio
criterio yy evaluar
evaluar si
si los
los planes
planes de
de accin
accin
apropiados
apropiados yy pueden
pueden abordar
abordar las
las causas
causas intrnsecas
intrnsecas de
de las
las conformidades
conformidades
Seccin 29
Tratamiento de problemas y no conformidades
a.
b.
c.
d.
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 9.3
Revisin por la Direccin
La alta direccin debe revisar el SGCN de la organizacin, a intervalos planificados, para
asegurarse de su conveniencia, adecuacin y eficacia
La revisin por la direccin deber incluir la consideracin de :
a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la direccin;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema
de gestin de la continuidad del negocio;
c) Informacin sobre el desempeo de la continuidad del negocio, incluyendo las
tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluacin del seguimiento y la medicin;
3) Resultados de la auditora; y
d) Oportunidades para la mejora continua.
Trmino
Concepto
Idoneidad
Adecuacin
Eficacia
1.2 Implementacin
del SGCN
3.1 Supervisin
Medicin, anlisis y
evaluacin
3.3.2 Realizar
la Revisin
3.3.2
por la Realizar
Direccin
la Revisin
por la Direccin
3.3.3 Cierre de
la Revisin
3.3.3
de
por la Cierre
Direccin
la Revisin
por la Direccin
3.2 Auditora
Interna
3.3.4 Seguimiento
de la Revisin
3.3.4
por laSeguimiento
Direccin
de la Revisin
por la Direccin
3.3.1
3.3.1 Preparar
Preparar
la
Revisin
la Revisin
por
por la
la Direccin
Direccin
4. Mejora
Continua
4. Mejora
Continua
Requisitos
ISO 22301, clusula 8.5
Pruebas y ejercicios
La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organizacin deber llevar a cabo ejercicios y pruebas que:
a)
Estn en consonancia con el alcance y los objetivos del SGCN,
b)
Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c)
Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d)
Reducen al mnimo el riesgo de interrupcin de las operaciones,
e)
Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y
acciones para implementar las mejoras,
f)
Son revisados en el contexto de la promocin de la mejora continua y.
g)
Se llevan a cabo a intervalos planificados y adems cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente en el que
opera.
o
El coordinador del SGCN y el quipo de auditora interna tiene la
responsabilidad de garantizar que los planes de accin de seguimiento sean
aprobados
Direccin
Follow
Up!
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 10.1
10 Mejora
10.1 No conformidad y accin correctiva
La organizacin deber:
a)
Identificar no conformidad(es);
b)
Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c)
Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d)
Implementar las medidas necesarias
e)
Examen de la eficacia de las medidas correctivas adoptadas,
f)
Realizar cambios en el sistema de la gestin de la continuidad del negocio, si
es
necesario. Las acciones correctivas que se tomen debern ser apropiadas a
los
efectos de las no conformidades encontradas
g)
Se llevan a cabo a intervalos planificados y adems cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente en el que
opera.
Definiciones
ISO 9000
Mejora continua
Correccin
Accin
Correctiva
Accin
Preventiva
2 Implementacin
del SGCN
4.1.2.
Procedimiento d
4.1.2.
acciones
Procedimiento
correctivas d
acciones
correctivas
4.1.3.
Procedimiento de
4.1.3.
acciones
Procedimiento
correctivas de
acciones
correctivas
3.2 Auditora
Interna
4.1.4. Planes
de accin
4.1.4. Planes
de accin
4.1.1
4.1.1 Proceso
Proceso
de
resolver
de resolver
problemas
problemas yy no
no
conformidades
conformidades
4.2. Mejora
Continua
4.2. Mejora
Continua
Inicio
Definir y Verificar
Causa(s)
Face de
Planificacin
Identificar el Problema
Establecer el Equipo/
Utilizar un enfoque de
Equipo
Describir el Problema
Desarrollar
Plan Provisional de
Contencin
No
Es la
Causa
Una
Causa
Raz?
Prevenir la recurrencia
Facilitar a su Equipo
S
i
Desarrollar
Soluciones posibles(s)
Finalizar
Evaluaciones
El personal de TI no mide
el rendimiento del
prestador del servicio del
sitio de la red.
No hay un procedimiento
Para gestionarlo
No hay formacin en la sensibilizacin
Ningn proceso establecido
para tratar con sitio de la red
Cuando se descompone
Gestin de
Recursos
Recursos
No se siguen adecuadamente los
procedimientos de actualizacin de la
pgina web
El personal de TI no est
apropiadamente capacitado
para gestionar el sitio de la red.
El Sitio de
la Red no
funciona
con
frecuencia
Procedimientos
Causas Prioritarias
Interrogatorio
Interrogatorio
Seguimiento
Seguimiento de
de la
la solucin
solucin
Opcin
Opcin (es)
(es)
Qu
Qu se
se ha
ha hecho?
hecho?
Por
Por qu
qu es
es necesario?
necesario?
Qu
Qu otra
otra cosa
cosa podramos
podramos
hacer?
hacer?
Qu
Qu se
se har?
har?
Cmo
Cmo se
se hace?
hace?
Por
Por qu
qu se
se hace
hace de
de esta
esta
manera?
manera?
Cmo
Cmo hacerlo
hacerlo de
de manera
manera
diferente?
diferente?
Cmo
Cmo se
se har
har
esto?
esto?
Quin
Quin lo
lo hizo?
hizo?
Por
Por qu
qu esta
esta persona?
persona?
Quin
Quin ms
ms podra
podra hacerlo?
hacerlo?
Quin
Quin lo
lo har?
har?
Dnde
Dnde se
se hace?
hace?
Por
Por qu
qu se
se hace
hace en
en este
este
lugar?
lugar?
Dnde
Dnde ms
ms podramos
podramos
hacerlo?
hacerlo?
Cmo
Cmo se
se har
har
esto?
esto?
Cundo
Cundo se
se hace?
hace?
Por
Por qu
qu se
se hace
hace en
en este
este
momento?
momento?
Podramos
Podramos hacerlo
hacerlo en
en otro
otro
momento?
momento?
Cundo
Cundo se
se va
va aa
hacer?
hacer?
Mejora Continua
Accin correctiva
Anlisis situacional
Identificacin de la no
conformidad
Anlisis de las
causas raz
Evaluacin de las
opciones
Seleccin de
soluciones
Costos
Eficacia
Acciones preventivas
Acciones
correctiva
Se
Se puede
puede escribir
escribir en
en forma
forma resumida
resumida
Deben
Deben permitir
permitir que
que sea
sea corregida
corregida la
la no
no conformidad
conformidad
Deberan
Deberan basarse
basarse en
en un
un enfoque
enfoque preventivo
preventivo yy correctivo
correctivo
Deben
Deben incluir
incluir un
un plazo
plazo de
de ejecucin
ejecucin
Deben
Deben permitir
permitir la
la obtencin
obtencin de
de resultados
resultados verificados
verificados
Planes de Accin
Ejemplo
Ejercicio 14
Planes de acciones correctivas
Seccin 30
Mejora continua
a.
b.
c.
d.
1.
1. Planificar
Planificar
1.1. Planificar el
SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
2.1 Anlisis del Impacto
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
procedimientos de la
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 10
10 Mejora
10.2 Mejora Continua
La organizacin deber mejorar continuamente la conveniencia, adecuacin y eficacia del
SGCN
NOTA La organizacin puede utilizar los procesos del SGCN tales como liderazgo, planificacin
y evaluacin del desempeo, para lograr mejoras.
Mejora Continua
2. Implementacin
del SGCN (Hacer)
3. Verificar
4.2.2.
Mantenimiento y
4.2.2.
mejoras
Mantenimiento y
mejoras
4.2.3. Actualizacin
de la
4.2.3.
Actualizacin
documentacin
de la
documentacin
4.1. Tratamiento
De problemas y
no conformidades
4.2.4. Documentar
las mejoras
4.2.4. Documentar
las mejoras
4.2.1.
4.2.1. Supervisin
Supervisin
de
factores
de factores de
de
cambio
cambio
Auditora de
Certificacin
Auditora de
Certificacin
Misin
Objetivos de la empresa
Presupuesto y recursos
Cambios en el personal
Cambios en
las tecnologas
Hardware
Software
Los procedimientos de TI
Los procesos de TI
Mejora
Mantenimiento
Implementacin
Ejercicio
Evolucin organizacional
Nuevas reglas
Cambios en el alcance del negocio
Incidentes
Funcionamiento defectuoso
Fallos
Informes de la Gestin de Riesgos
Resultados de las pruebas
Auditoras Internas
Auditoras Externas
Revisar y adaptar
Page #
Change Comment
Date of
Change
Signature
Seccin 31
Preparacin para la auditora de certificacin
a.
b.
c.
Etapa 1 de la auditora
d.
Etapa 2 de la auditora
e.
Auditora de seguimiento
f.
g.
Auditora de vigilancia
Requisitos
Organismo de Certificacin
ISO 17021
Organismo de Certificacin: Terceros que realizan la evaluacin de la
conformidad de los sistemas de gestin.
Certificacin: Procedimiento en el cual un tercero garantiza por escrito
que un producto, proceso o servicio es conforme a las condiciones
indicadas.
Lista de Actividades
Seguimiento de
de
Seguimiento
la
Auditora
la Auditora
Auditora Inicial
Inicial
Auditora
Antes de
de la
la
Antes
Auditora
Auditora
Proceso de Certificacin
Informe de auditora
interna Revisin por la
Direccin
1. Seleccionar un
Organismo de
1. Certificacin:
Seleccionar un
Organismo de
Certificacin:
2. Preparacin de
la auditora
3. Etapa 1 de la
auditora
4. Etapa 2 de la
auditora (auditora
in situ)
5. Auditora de
seguimiento (si es
necesario)
6. Decisin de
Certificacin
Implementacin del
SGCN
Mejora Continua y
Auditora de Vigilancia
Antes de la Auditora
o
Como mnimo, se debe haber realizado por lo menos una auditora interna, as
como una revisin por la direccin.
Notoriedad y credibilidad
Presencia geogrfica
Precio
El Rechazo de un Auditor
Es posible solicitar la
sustitucin de los miembros
del equipo de auditora por
razones vlidas.
El equipo de auditora podra
retirarse si considera que las
razones mencionadas no son
vlidas.
e razones
d
lo
p
m
je
E
vlidas:
en
encuentra
e
s
r
o
it
d
u
e
El a
conflicto d
e
d
n
i
c
a
u
una sit
cial)
al o poten
e
(r
s
r
te
in
o
a mostrad
h
r
o
it
d
u
a
o
El
conducta n
te
n
e
rm
o
ri
ante
l
profesiona
no tiene la
r
o
it
d
u
a
l
E
rida por la
e
u
q
e
r
n
i
habilitac
ditada.
entidad au
Preparacin para la
auditora
3. Auditora de
prctica.
3. Auditora de
prctica.
1. La Auto
evaluacin
1. La Auto
evaluacin
2.Preparar
al personal
2.Preparar
al personal
3. Etapa de la auditora
1. Visita al sitio
3. Revisin de documentos
4. Etapa 2 de la auditora
Auditora in situ
Recomendacin de Certificacin
Gestin del
Cambio
Planes de
Accin
Auditora
Interna
Revisin
por la
Direccin
Mejora
Continua
Reclamos
Y
Sugerencias
Control de las
Operaciones
Efectividad y
mtricas
Utilizacin
de marcas
registradas
Auditora de Re Certificacin
ISO 17021, clusula 9.4
Seccin 32
Competencia y evaluacin de un Implementador Lder
a.
b.
c.
Solicitud de auditora
d.
Definiciones de Competencia
ISO 9000, clusula 3.1.6
Contexto
Capacidad
Capacidad demostrada
demostrada
para
para aplicar
aplicar
conocimientos
conocimientos yy
habilidades
habilidades
Habilidades
de
conducta
a
tic
ac
r
P
nte
Conocimientos
de
Competencia
Competente
Conocimiento
De
se
m
to
ex
nt
Co
Habilidades
pe
o
xto
e
t
n
Co
Habilidades de Conducta
Habilidades de
Conducta
Habilidades de Conducta
1. Integridad
5. Perceptivo
10. Responsable
2. Mente abierta
6. Verstil
3. Diplomtico
4. Observador
12. Culturalmente
sensible
8. Decisivo
9. Auto
suficiente
Proporciona
la evidencia
objetiva del
Cumplimiento de los requisitos de la norma
13. Colaborador
Examen
ISO 22301
Fundamentos
ISO 22301
Auditor Lder
ISO 22301
Implementador
Lder
AL ISO 22301 +
IL ISO 22301
Credencial Profesional
Experiencia
Profesional
Experiencia
auditora de
SGCN
Experiencia
Proyecto de
SGCN
ISO 22301
Fundamentos
---------------
-------------
-------------
ISO 22301
Auditor Provisional
--------------
------------
-------------
2 Aos (1 en
continuidad del negocio)
200 horas
ISO 22301
Auditor Lder
5 Aos (2 en
continuidad del negocio)
300 horas
------------
Implementador
Provisional ISO 22301
------------
------------
------------
ISO 22301
Implementador
2 Aos (1 en
continuidad del negocio)
------------
200 horas
ISO 22301
Implementador Lder
5 Aos (2 en
continuidad del negocio)
------------
10 aos (6 en
continuidad del negocio)
500 horas
ISO 22301
Auditor
------------
300 horas
500 horas
1. Examen PECB
2. Certificado CPD
1. Examen PECB
2. Certificado CPD
5. Evaluacin de
su solicitud
5. Evaluacin de
su solicitud
6. Certificacin
6. Certificacin
3. Resultados del
examen
3. Resultados del
examen
7. Mantenimiento
de la certificacin
7. Mantenimiento
de la certificacin
4.
4. Solicitud
Solicitud de
de
certificacin
certificacin
GRACIAS