Implementador Lder

Certificado en la ISO 22301

Eduardo Lobos
Agenda de la Semana
Introduccin a la norma ISO 22301 y el
inicio de un SGCN
Da 1
Planificar la implementacin del SGCN
Da 2
Despliegue del SGCN
Da 3
Monitoreo del SGCN, mejora contina y
preparacin para la auditora de
certificacin
Da 4
Examen final
Da 5
01-08-2014 2
Capacitacin del Implementador Lder
Certificado en la norma ISO 22301
Seccin 2: Estndar y marco normativo

a) Qu es la ISO?
b) Principios fundamentales de la ISO
c) Normas de sistemas de gestin
d) Sistema de gestin integrado
e) Normas de Continuidad del Negocio
f) ISO 22301 e ISO 27001
g) Ventajas de la ISO 22301
01-08-2014 3
Qu es ISO?
ISO es una red de organismos nacionales de estandarizacin de ms
de 160 pases

Los resultados finales de los trabajos realizados por ISO son
publicados como normas internacionales

Se han publicado ms de 19000 normas desde 1947

01-08-2014 4
Principios Bsicos Normas ISO
01-08-2014 5
Principios bsicos de las Normas ISO
1.
Representacin
igualitaria:
1 voto por pas
2. Adhesin
voluntaria:
ISO no tiene la
autoridad para
forzar la
adopcin de sus
normas
3. Orientacin
al negocio:
ISO slo
desarrolla
normas para
existe demanda
del mercado
4. Enfoque de
consenso:
busca un amplio
consenso entre
las distintas
partes
interesadas
5. Cooperacin
internacional:
ms de 160
pases adems
de organismos
de enlace
Los Ocho Principios de Gestin de la ISO
Enfoque en el
cliente
Liderazgo
Participacin de
las personas
Enfoque en los
procesos
Enfoque para el
sistema de
gestin
Mejora continua
Enfoque basado
en hechos para
la toma de
decisiones
Relaciones
mutuamente
beneficiosas con
el proveedor
01-08-2014 6
Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estar certificada

ISO 9001
Calidad
ISO 14001
Medioambiente
OHSAS 18001
Salud y
Seguridad en
el trabajo
ISO 20000
Servicios de TI
ISO 22000
Sanidad
Alimentaria
ISO 22301
Continuidad
del Negocio
ISO 27001
Seguridad de la
Informacin
ISO 28000
Seguridad de la
Cadena de
Suministro
01-08-2014 7
Sistema de Gestin Integrado
Estructura tpica de las normas ISO
01-08-2014 8

Requisitos

ISO
9001:2008
ISO
14001:2004

ISO
20000:2011
ISO
22301:2012
ISO
27001:2005

Objetivos del
sistema de gestin

5.4.1

4.3.3

4.5.2

6.2

4.2.1

Poltica del sistema
de gestin

5.3

4.2

4.1.2

5.3

4.2.1

Compromiso de la
Direccin

5.1


4.4.1

4.1

5.2

5

Requisitos de
documentacin

4.2


4.4

4.3

7.5

4.3

Auditoria interna


8.2.2

4.5.5

4.5.4.2

9.2

6
Mejora continua
8.5.1

4.5.3


4.5.5

10

8
Revisin por la
Direccin

5.6

4.6

4.5.4.3

9.3
7
ISO 22301
Especifica los requisitos de
gestin de un SGCN
Los requisitos (clusulas) son
escritos utilizando el verbo
debern en imperativo
Integrar el modelo PDCA
(PLAN, DO, CHECK Y Act)
Auditable
La organizacin puede ser
certificada en esta norma
01-08-2014 9

INTERNATIONAL
ISO
STANDARD
22301









_______________________________________________
Societal security-
Business continuity Management
Systems Requirements








_________________________________________________


ISO 22301
Contenido
01-08-2014 10
Seccin 1 mbito de aplicacin
Seccin 2 Referencias normativas
Seccin 3 Trminos y definiciones
Seccin 4 Contexto de la organizacin
Seccin 5 Liderazgo
Seccin 6 Planificacin
Seccin 7 Apoyo
Seccin 8 Funcionamiento
Seccin 9 Evaluacin del desempeo
Seccin 10 Mejora
ISO 22313
Gua para el cdigo de buenas
prcticas para implementar,
mejorar un Sistema de Gestin
de la Continuidad de los
Negocios (Documento de
referencia).
Clusula escrita utilizando el
verbo debera a fin de
proporcionar orientacin en
materia de aplicacin.
La organizacin no puede ser
certificada en esta norma
01-08-2014 11

INTERNATIONAL
ISO
STANDARD
22313








_______________________________________________

Societal security-Business continuity
Management Systems Gidance








_________________________________________________


Historia de la norma ISO 22301
1988 2013
01-08-2014 12
2012
Creacin del DRI
Internacional conocido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperacin ante
Desastres)en los EEUU
1984
2002
2003
2006
2007
1988
2013
Creacin del
Business
Continuity
Institute
(BCI) en el
Reino Unido
BCI publica
Guas de
Buenas
Prcticas de la
GCN
Publicacin de
PAS 56
Publicacin
de la
norma BS
25999-1
Publicac
in de la
norma
BS
25999-2
ISO public
la primera
versin de
la norma
ISO 22301
ISO publica la
primera versin
de la norma ISO
22313
Otras Normas sobre Continuidad del Negocio
Ejemplos
ISO 24762 ISO 27031
NIST 800-34
Norma NFPA
1600
01-08-2014 13
El contenido y la relacin entre
ISO 22301 e ISO 27001
ISO 27001, A. 14: Gestin de Continuidad del Negocio
01-08-2014 14
A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio.
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los efectos de
fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna.
A.14.1.1 Incluir seguridad del Informacin en el
proceso de Gestin de la continuidad
del negocio
Control
Se debe desarrollar y mantener un proceso gerencial para la continuidad
del negocio a travs de toda la organizacin para tratar los requerimientos
de seguridad de la informacin necesarios para la continuidad comercial de
la organizacin.
A.14.1.2 Continuidad del negocio y evaluacin
del riesgo
Control
Se deben identificar los eventos que causan interrupciones en los
procesos de negocios, junto con la probabilidad de impacto de dichas
interrupciones y sus consecuencias para la seguridad de la informacin.
A.14.1.3 Desarrollo e implementar Planes de
continuidad Incluyendo seguridad de
la informacin
Control
Se deben desarrollar e implementar planes para mantener o restaurar las
operaciones y asegurar la disponibilidad de la informacin en el nivel
requerido y en las escalas de tiempo requeridas despus de la interrupcin
o falta en los procesos de negocios crticos.
A.14.1.4 Marco referencial para la Planeacin
de la continuidad del negocio
Control
Se debe mantener un solo marco referencial del plan de continuidad de
negocio para asegurar que todos los planes sean consistentes y para tratar
consistentemente los requerimientos de la seguridad de la informacin e
identificar las prioridades de pruebas y mantenimiento.
A.14.1.5 Prueba mantenimiento y re-
evaluacin de planes de continuidad
de negocio
Control
Los planes de continuidad de negocio se deben probar y actualizar
regularmente para asegurar que estn actualizados y sean efectivos.
ISO
22301
Requisito
s
Continuidad del negocio
4.4 sistema de gestin
8.2 AIN y la Evaluacin
de los riesgo
8.4 Procedimientos de la
continuidad del negocio
6 Planificacin del
SGCN
8.5 Ejercicio y
pruebas
Continuidad del Negocio
Ventajas
01-08-2014 15
Previsible y eficaz
respuesta a las
crisis
Proteccin de las
personas
Mantenimiento de
las actividades
esenciales de la
organizacin
Mejor
comprensin de la
organizacin
Reduccin de
costos
Respeto de las
partes
interesadas
Proteccin de la
reputacin y la
marca
Confianza de los
clientes
Ventaja
competitiva
El cumplimiento
de los requisitos
legales
Cumplimiento de
normativas
Cumplimiento de
los contratos
Capacitacin del Implementador Lder
Certificado en la norma ISO 22301
Seccin 3: Sistema de Gestin de la Continuidad del Negocio
(SGCN)

a) Definicin de un SGCN
b) Enfoque en los procesos
c) Visin general Clusulas 4 a 10
d) Los componentes claves de un SGCN
01-08-2014 16
Qu es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco estratgico y
tctico de ajuste a los objetivos que:
01-08-2014 17
Mejora la organizacin pro activa de resistencia contra la
interrupcin de su capacidad de lograr sus objetivos clave
1
Proporciona un mtodo ensayado para restaurar la capacidad
de una organizacin para garantizar el suministro de sus
productos y servicios clave despus de una interrupcin
2
Proporciona una capacidad demostrada para gestionar una
interrupcin del negocio y proteger la reputacin de la
organizacin y de la marca
3
Gestin de Continuidad del Negocio
ISO 22301, clusula 3.4:

Proceso de gestin holstico que identifica amenazas potenciales para
la organizacin as como el impacto en las operaciones del negocio
que dichas amenazas, en caso de materializarse, puedan causar, y que
proporciona un marco para aumentar la capacidad de resistencia o
resiliencia de la organizacin para dar respuesta eficaz que
salvaguarde los intereses de sus principales partes interesadas, la
reputacin, la marca y las actividades de creacin de valor

01-08-2014 18

Nota: El sistema de gestin incluye la estructura, las polticas, las
actividades de planificacin, las responsabilidades,
las prcticas, los procedimientos,
los procesos y los recursos de la organizacin


Los componentes claves de un SGCN
ISO 22301, Introduccin
Un SGCN, a igual que cualquier otro sistema de gestin, tiene los
siguientes componentes fundamentales:
1. Una poltica
2. Personas con responsabilidades definidas;
3. Procesos de gestin asociados con:
Poltica
Planificacin
Implementacin y operacin
Evaluacin del rendimiento
Revisin por la Direccin
Mejora
4. Documentacin que provea pruebas auditables
5. Cualquier proceso de gestin de la continuidad del negocio
pertinente a la organizacin



01-08-2014 19
El ciclo Planificar Hacer Verificar Actuar
(PHVA)
ISO 22301, Introduccin

01-08-2014 20
Partes
Interesadas





Requerimientos
expectativas
de la
Continuidad del
Negocio
Partes
Interesadas







Continuidad del
Negocio
Gestionada
Planificar
Actuar Hacer
Verificar
Establecer
un
SGCN
Mantener y
Mejorar el
SGCN
Implementar
El SGCN
Supervisar y
Revisar el SGCN
Requisitos generales
ISO 22301
En resumen
La organizacin deber establecer, implementar, mantener y mejorar u
SGCN en conformidad con las necesidades y los requisitos de las
partes interesadas

01-08-2014 21
1.Conocimiento
de la organizacin
y su entorno
2. Determinar las
necesidades y
requisitos
3. Implementar y
Administrar un
SGCN
Contexto de la organizacin
ISO 22301, clusula 4
Las actividades de la organizacin, las funciones, los servicios, productos,
asociaciones, cadenas de suministro, las relaciones con las partes
interesadas
Los vnculos entre la poltica de continuidad del negocio y los objetivos de la
organizacin y otras polticas
El apetito de la organizacin por el riesgo
Conocimiento de
la organizacin y
su entorno
Las necesidades de las partes interesadas que son pertinentes para el
SGCN
Los requisitos de estas partes interesadas
Requisitos jurdicos y normativos
Comprensin de
las necesidades
y expectativas de
las partes
interesadas
La organizacin determinar los limites y la aplicabilidad del SGCN para
establecer su alcance
A la hora de determinas el alcance , la organizacin tendr en cuenta las
cuestiones internas y externas y los requisitos
Determinar el
alcance del
SGCN
01-08-2014 22
Liderazgo y Compromiso de la Direccin
ISO 22301, clusulas 5.1 y 5.2
Comunicacin
Direccin deber comunicar la importancia de una buena Gestin de la Continuidad del
Negocio y el cumplimiento de los procesos del SGCN
Hacer que los recursos estn
disponibles
La Direccin deber determinar y proporcionar los Recursos necesarios para el SGCN
Orientacin estratgica
Asegurarse de que el SGCN es compatible con la orientacin estratgica de la
organizacin
Integrar los requisitos del SGCN en los procesos de negocio de una organizacin
01-08-2014 23
Poltica de Continuidad del Negocio
ISO 22301, clusula 5.3
La alta direccin debe establecer una poltica de continuidad del
negocio que:
Sea apropiada para los fines de la organizacin
Proporcione un marco para establecer objetivos de continuidad del negocio
Incluya un compromiso de cumplir los requisitos aplicables
Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:
Estar disponible como informacin documentada
Ser comunicada dentro de todas las partes interesadas, segn corresponda
Ser revisada para su adecuacin continuada a intervalos definidos y
cuando se reduzcan cambios significativos

01-08-2014 24
Funciones, Responsabilidades y Autoridades
ISO 22301, clusula 5.4
La alta direccin deber asegurarse de que las responsabilidades y
autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para:

Garantizar que el sistema de gestin
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.
Informar sobre la eficacia de la
gestin a la alta direccin.
01-08-2014 25
Los Objetivos y los Planes para Alcanzarlos
ISO 22301, clusula 6.2
La alta direccin deber asegurarse de que los objetivos de
continuidad del negocio son establecidos y comunicados para las
funciones y los niveles pertinentes dentro de la organizacin

Los objetivos debern:
a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que sea
aceptable para la organizacin para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados segn proceda
01-08-2014 26
Apoyo
ISO 22301, clusula 7
01-08-2014 27
La organizacin
deber determinar y
proporcionar los
recurso necesarios
para el SGCN
Las personas que realizan
Trabajo en el marco del
Control de a organizacin
Debern ser conscientes
De la poltica de la CN,
Sus funciones en el SGCN
Y los requisitos para la
organizacin

El SGCN de la
Organizacin deber
Incluir informacin
Documentada requerida
Por la ISO 22301 y
Registros para
demostrar
La eficacia del SGCN
Recursos Competencia Documentacin Comunicacin Sensibilizacin
La organizacin
Deber asegurar
Tener personas
Competentes
para realizar las
tareas
relacionadas con
el SGCN
La organizacin deber
Establecer, implementar
y mantener mecanismos
De comunicacin con
las partes interesadas
internas y externas
Informacin documentada
ISO 22301, clusula 7.5











Se debe establecer un procedimiento para gestionar el ciclo de vida de los
documentos

01-08-2014 28
1. Creacin
2. Identificacin
3. Clasificacin
y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
Anlisis del impacto en el Negocio y Evaluacin
de los Riesgos
ISO 22301, clusula 3.50 y 8.2
Anlisis de
Impacto en el
Negocio
Evaluacin
de riesgo
01-08-2014 29
Proceso de
anlisis de las
funciones del
negocio y del
efecto que una
interrupcin del
negocio podra
tener sobre
dichas funciones
Proceso general
de identificacin,
Anlisis y
Evaluacin de
riesgos

La organizacin deber determinar las opciones apropiadas de
continuidad para:

Estrategia de Continuidad del Negocio
ISO 22301, clusula 8.3
A) Proteger las
actividades
prioritarias
B) Estabilizar,
continuar, reanudar y
recuperar actividades
prioritarias
C) Mitigar, responder
a los impactos y
gestionarlos
01-08-2014 30
Establecer y Aplicar Procedimientos de
Continuidad del Negocio
ISO 22301, CLUSULA 8.4.1
La organizacin deber documentar los procedimientos (incluyendo
arreglos necesarios) para garantizar la continuidad de las actividades y
la gestin de un incidente perjudicial
01-08-2014 31


La organizacin deber
establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperacin
identificados en el anlisis
del impacto en el negocio


Generalidades
Ejercicios y Pruebas
ISO 22301, clusula 8.5
La organizacin deber
ejercitar y probar sus
procedimientos de continuidad
del negocio para garantizar
que son coherentes con sus
objetivos de continuidad del
negocio

01-08-2014 32
Estrategia de Continuidad del Negocio
ISO 22301, clusula 8.3

01-08-2014 33

01-08-2014 34

01-08-2014 35
MUCHAS GRACIAS!
Implementador Lder Certificado en la ISO 22301