Implementador Lider ISO 22301.pptx

7/21/2019 Implementador Lider ISO 22301.pptx

1/464

Implementador Lder

Certificado en la ISO 22301


2/464

Agenda de la Semana

Introduccin a la norma ISO 22301 y el inicio

De un SGCN

Planificar la implementacin del SGCN

Despliegue del SGCN

Monitoreo del SGCN, mejora contina y

Preparacin para la auditora de certificacin

Examen final


3/464

Capacitacin del Implementador LderCertificado en la norma ISO 22301

Seccin 2

Estndar y marco normativo

a. Qu es la ISO?

b. Principios fundamentales de la ISO

c. Normas de sistemas de gestin

d. Sistema de gestin integrado

e. Normas de Continuidad delNegocio

f. ISO 22301 e ISO 27001g. Ventajas de la ISO 22301


4/464

Qu es ISO?

ISO es una red de organismos nacionales de estandarizacin de msde 160 pases

Los resultados finales de los trabajos realizados por ISO son

publicados como normas internacionales

Se han publicado ms de 19000 normas desde 1947


5/464

Principios BsicosNormas ISO

1. 1. Representacin igualitaria: 1 voto por pas

2. Adhesin voluntaria: ISO no tiene la autoridad

para forzar la adopcin de sus normas

3. Orientacin al negocio: ISO slo desarrolla normas para

existe demanda del mercado

a 4. Enfoque de consenso: busca un amplio consenso entre las

distintas partes interesadas

5. Cooperacin internacional: ms de 160 pases adems de

organismos de enlace

PRINCIPIOS

Bsicos de

las Normas

ISO


6/464

Los Ocho Principios de Gestin de la ISO


7/464

Normas de Sistemas de Gestin

Normas primarias en las que una organizacin puede estarcertificada

ISO 9001Calidad

ISO 14001Medioambiente

OHSAS 18001

Salud ySeguridad en

el trabajo

ISO 20000Servicios

de TI

ISO 22000

SanidadAlimentaria

ISO 22301

Continuidaddel Negocio

ISO 27001Seguridad de la

Informacin

ISO 28000Seguridad de

la Cadena deSuministro


8/464

Sistema de Gestin Integrado

Estructura tpica de las normas ISO

RequisitosISO

9001:2008ISO

14001:2004ISO

20000:2011ISO

22301:2012ISO

27001:2005

Objetivos del sistema degestin

5.4.1 4.3.3 4.5.2 6.2 4.2.1

Poltica del sistemade gestin

5.3 4.2 4.1.2 5.3 4.2.1

Compromiso de laDireccin

5.1 4.4.1 4.1 5.2 5

Requisitos deDocumentacin

4.2 4.4 4.3 7.5 4.3

Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6

Mejora continua 8.5.1 4.5.3 4.5.5 10 8

Revisin por laDireccin

5.6 4.6 4.5.4.3 9.3 7


9/464

ISO 22301

Especifica los requisitos de gestin de unSGCN

Los requisitos (clusulas) son escritosutilizando el verbo debern en imperativo

Integrar el modelo PDCA (PLAN, DO,CHECK Y Act)

Auditable La organizacin puede ser certificada en

estanorma

INTERNATIONAL ISO

STANDARD 22301

_______________________________________________

Societal security- Business continuity

Management Systems Requirements

_________________________________________________


10/464

ISO 22301

Contenido

Seccin 1 mbito de aplicacin

Seccin 2 Referencias normativas

Seccin 3 Trminos y definiciones

Seccin 4 Contexto de la organizacin

Seccin 5 Liderazgo

Seccin 6 Planificacin

Seccin 7 Apoyo

Seccin 8 FuncionamientoSeccin 9 Evaluacin del desempeo

Seccin 10 Mejora


11/464

ISO 22313

Gua para el cdigo de buenas prcticaspara implementar, mejorar un Sistema deGestin de la Continuidad de los Negocios(Documento de referencia).

Clusula escrita utilizando el verbo deberaa fin de proporcionar orientacin en materiade aplicacin.

La organizacin no puede ser certificada en

esta norma

INTERNATIONAL ISO

STANDARD 22313

_______________________________________________

Societal security-Business continuit

Management Systems Gidance

_________________________________________________


12/464

Historia de la norma ISO 22301

19882013

2012

Creacin del DRIInternacional conocido

originalmente comoDisaster Recovery

Institute (Instituto deRecuperacin ante

Desastres)en los EEUU

1984

2002

2003

2006

2007

1988

2013

Creacin delBusinessContinuityInstitute

(BCI) en elReino Unido

BCI publicaGuas deBuenas

Prcticas de laGCN

Publicacin dePAS 56

Publicacinde la

norma BS25999-1

Publicacin de lanorma

BS25999-2

ISO publicla primeraversin dela norma

ISO 22301

ISO publica laprimera versinde la norma ISO

22313


13/464

Otras Normas sobre Continuidad del Negocio

Ejemplos


14/464

El Contenido y la Relacin entre ISO22301 e ISO 27001

ISO 27001, A. 14: Gestin de Continuidad del Negocio

A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio

Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales

crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su

reanudacin oportuna

A.14.1.1Incluir seguridad de l

Informacin en el proceso de

Gestin de la continuidaddel negocio

Control

Se debe desarrollar y mantener un proceso gerencial para la continuidad del

negocio a travs de toda la organizacin para tratar los requerimientos de

seguridad de la informacin necesarios para la continuidad comercial de laorganizacin.

A.14.1.2 Continuidad del negocio yevaluacin del riesgo

Control

Se deben identificar los eventos que causan interrupciones en los procesos de

negocios, junto con la probabilidad de impacto de dichas interrupciones y sus

consecuencias para la seguridad de la informacin.

A.14.1.3 Desarrollo e implementarPlanes de continuidad

Incluyendo seguridad de lainformacin

Control

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y

asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de

tiempo requeridas despus de la interrupcin o falta en los procesos de negocios

crticos.

A.14.1.4 Marco referencial para laPlaneacin de la continuidad

Del negocio

Control

Se debe mantener un solo marco referencial del plan de continuidad de negocio para

asegurar que todos los planes sean consistentes y para tratar consistentemente los

requerimientos de la seguridad de la informacin e identificar las prioridades de

pruebas y mantenimiento.

A.14.4.5 Prueba mantenimiento y re-Evaluacin de planes de

continuidadDe negocio

Control

Los planes de continuidad de negocio se deben probar y actualizar regularmente para

asegurar que estn actualizados y sean efectivos.

ISO 22301Requisitos

Continuidad del negocio4.4 sistema de gestin

8.2 AIN y la Evaluacin delos riesgo

8.4 Procedimientos de lacontinuidad del negocio

6Planificacin del SGCN

8.5 Ejercicio y pruebas


15/464

Ejercicio 1

Mitos y Realidades

Continuidad del Negocio


16/464


Ventajas

Mejorcomprensin dela organizacin

Mantenimiento delas actividadesesenciales de la

organizacin

Proteccin delas personas

Previsible yeficaz respuesta

a las crisis

Reduccin decostos:

Proteccin delareputacin y la

marca

Respeto de laspartes

interesadas

Cumplimientode normativas

El cumplimientode los requisitos

legales

Ventajacompetitiva

Confianza delos clientes

Cumplimientode los

contratos


17/464

Capacitacin del Implementador LderCertificado en la norma ISO 22301

a. Definicin de un SGCN

b. Enfoque en los procesos

c. Visin generalClusulas 4 a 10d. Los componentes claves de un SGCN

Seccin 3Sistema de Gestin de la Continuidad del Negocio (SGCN)


18/464

Qu es la Continuidad del Negocio?

Proceso impulsado por el negocio que establece un marco

Estratgico y tctico de ajuste a los objetivos que:

Mejora la organizacin pro activa de resistencia contra la interrupcin de sucapacidad de lograr sus objetivos clave1

Proporciona un mtodo ensayado para restaurar la capacidad de unaorganizacin para garantizar el suministro de sus productos y servicios clave

despus de una interrupcin

Proporciona una capacidad demostrada para gestionar una interrupcin delnegocio y proteger la reputacin de la organizacin y de la marca

2

3


19/464

Gestin de Continuidad del Negocio

ISO 22301, clusula 3.4:

Proceso de gestin holstico que identifica amenazas potenciales para laorganizacin as como el impacto en las operaciones del negocio quedichas amenazas, en caso de materializarse, puedan causar, y queproporciona un marco para aumentar la capacidad de resistencia oresilencia de la organizacin para dar respuesta eficaz que salvaguardelos intereses de sus principales partes interesadas, la reputacin, lamarca y las actividades de creacin de valor

Nota: El sistema de gestin incluye la estructura, las polticas, lasactividades de planificacin, las responsabilidades,

Las prcticas, los procedimientos,Los procesos y los recursos de la organizacin


20/464

Los componentes claves de un SGCN

ISO 22301, Introduccin

Un SGCN, a igual que cualquier otro sistema de gestin,tiene los siguientes Componentes fundamentales :

1. Una poltica2. Personas con responsabilidades definidas;3. Procesos de gestin asociados con:

- Poltica- Planificacin- Implementacin y operacin- Evaluacin del rendimiento- Revisin por la Direccin- Mejora

4. Documentacin que provea pruebasauditables

5. Cualquier proceso de gestin de lacontinuidad del negocio pertinente a laorganizacin


21/464

El ciclo PlanificarHacerVerificarActuar (PHVA)

ISO 22301, Introduccin

PartesInteresadas

Requerimientosexpectativas

de laContinuidad del

Negocio

PartesInteresadas

Continuidad delNegocio

Gestionada

Planificar

Actuar Hacer

Verificar

Establecer un

SGCN

Mantener y

Mejorar el SGCN

Implementar

El SGCN

Supervisar yRevisar el SGCN


22/464

Requisitos generales

ISO 22301

En resumenLa organizacin deber establecer, implementar, mantener y mejorar u SGCN en

conformidad con las necesidades y los requisitos de las partes interesadas

1.Conocimiento

de laorganizacin

y su entorno

2. Determinar

lasnecesidades y

requisitos

3. Implementar y

Administrar un

SGCN


23/464

Contexto de la organizacin

ISO 22301, clusula 4

Conocimiento de laOrganizacin y su

entorno

Comprensin de las

Necesidades y

Expectativas de las

Partes interesadas

Determinar elAlcance del SGCN

Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones,

cadenas de suministro, las relaciones con las partes interesadas.

Los vnculos entre la poltica de continuidad del negocio y los objetivos de la

organizacin y otras polticas

El apetito de la organizacin por el riesgo

Las necesidades de las partes interesadas que son pertinentes para el SGCN

Los requisitos de estas partes interesadas

Requisitos jurdicos y normativos

La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su

alcance

A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones

internas y externas y los requisitos


24/464

Liderazgo y Compromiso de la Direccin

ISO 22301, clusula 5.1 y 5.2

Orientacin estratgica

Asegurarse de que el SGCN es compatible con laorientacin estratgica de la organizacin

Integrar los requisitos del SGCN en los procesos denegocio de una organizacin

Hacer que los recursos estndisponibles

La Direccin deber determinar y proporcionar los

Recursos necesarios para el SGCN

Direccin deber comunicar la importancia de unabuena Gestin de la Continuidad del Negocio y el

cumplimiento de los procesos del SGCN

Comunicacin


25/464

Poltica de Continuidad del Negocio


La alta direccin debe establecer una poltica de continuidad delnegocio que:

- Sea apropiada para los fines de la organizacin

- Proporcione un marco para establecer objetivos de continuidad del negocio- Incluya un compromiso de cumplir los requisitos aplicables- Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:

- Estar disponible como informacin documentada- Ser comunicada dentro de todas las partes interesadas, segn corresponda- Ser revisada para su adecuacin continuada a intervalos definidos y cuando se

reduzcan cambios significativos


26/464

Funciones, Responsabilidades y Autoridades


La alta direccin deber asegurarse de que las responsabilidades yautoridades para funciones pertinentes sean asignadas y comunicadasdentro de la organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestin

se ejecuta en conformidad con los

los requisitos de la norma ISO 22301.-Informar sobre la eficacia de la

gestin a la alta direccin.


27/464

Los Objetivos y los Planes para Alcanzarlos


La alta direccin deber asegurarse de que los objetivos decontinuidad del negocio son establecidos y comunicados para lasfunciones y los niveles pertinentes dentro de la organizacin

Los objetivos debern:a) Ser coherentes con la poltica de continuidad del negocio

b) Tomar cuenta del nivel mnimo de los productos y servicios que seaaceptable para la organizacin para alcanzar sus objetivos

c) Ser mensurables

d) Tener en cuenta los requisitos aplicablese) Ser monitoreados y actualizados segn proceda


28/464

Apoyo

ISO 22301, clusula 7:

La organizacindeber determinar yproporcionar losrecurso necesariospara el SGCN

Las personas que realizanTrabajo en el marco delControl de a organizacinDebern ser conscientesDe la poltica de la CN,Sus funciones en el SGCNY los requisitos para la

organizacin

El SGCN de laOrganizacin deberIncluir informacinDocumentada requeridaPor la ISO 22301 yRegistros parademostrar

La eficacia del SGCN

Recursos Competencia DocumentacinComunicacinSensibilizacin

La organizacinDeber asegurarTener personasCompetentespara realizar lastareasrelacionadas conel SGCN

La organizacin deberEstablecer, implementary mantener mecanismosDe comunicacin conlas partes interesadasinternas y externas


29/464

Informacin documentada


1. Creacin

2. Identificacin3. Clasificacin

y seguridad

4. Modificacin

5. Aprobacin

6. Distribucin

7. Uso adecuado

8. Archivado

9. Disposicin

Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos


30/464

Anlisis del impacto en el Negocio y Evaluacin de los Riesgos

ISO 22301, clusula 3.50 y 8.2

Proceso deanlisis de lasfunciones delnegocio y delefecto que unainterrupcin delnegocio podratener sobredichas funciones

Anlisis deImpacto en el

Negocio

Evaluacinde riesgo

Proceso generalde identificacin,

Anlisis yEvaluacin deriesgos


31/464

Estrategia de Continuidad del Negocio

ISO 22301, clusula 8.3

La organizacin deber determinar las opciones apropiadas de continuidadpara:

A) Proteger las actividades

prioritarias

B) Estabilizar, continuar,reanudar y recuperar

actividades prioritarias

C) Mitigar, responder a losimpactos y gestionarlos


32/464

Establecer y Aplicar Procedimientos de Continuidad del Negocio

ISO 22301, CLUSULA 8.4.1

La organiza deber documentar los procedimientos (incluyendo arreglosnecesarios) para garantizar la continuidad de las actividades y la gestin d deun incidente perjudicial

Generalidades

La organizacin deberestablecer, implementar ymantener procedimientos decontinuidad del negocio paragestionar un incidente

perjudicial y continuar susactividades sobre la base deobjetivos de recuperacinidentificados en el anlisisdel impacto en el negocio


33/464

Ejercicios y Pruebas


La organizacindeber ejercitar y

Probar susProcedimientos deContinuidad delnegocio paragarantizar que sonCoherentes con susObjetivos de

Continuidad delnegocio


34/464

Evaluacin del desempeo


6. Revisin de la gestiny actualizacin de losplanes de continuidad delNegocio y de losProcedimientos.

3. Medicin de la eficaciade los procedimientos

5. Realizacin de las auditoriasinternas.

2. Revisin peridica de la eficaciadel SGCN teniendo en cuenta lasproposiciones y sugerencias de losinteresados.

1. Revisin del ejercicio y laprueba de los procedimientosde continuidad, despus de losinformes sobre incidentes.

4. Revisin de las evaluacionesDe riesgo y del AIN.

Monitoreoy revisindel SGCN

Nota: Cada una de estas acciones debe ser documentada y registrada.


35/464

Mejora


La organizacin deber mejorar continuamente la conveniencia, adecuaday eficacia del SGCN.

La organizacin puede utilizar los procesos de SGCN como el liderazgo, la

planificacin y la evaluacin del desempeo, para lograr la mejora.


36/464

Capacitacin Implementador Lder Certificado en la norma ISO 22 301

Seccin 4Principios fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperacin de desastres

b. Evento: de un incidente a una emergencia

c. Organizacin y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia


37/464

Continuidad del Negocio y Recuperacin ante Desastres

Diferencias

Continuidad del NegocioRecuperacin ante

desastres

Asegurar que el negocioPueda continuar durante

Una emergencia

Los Objetivos son:

En primer lugar, el capitalHumano de la empresa

Entrega de productos oprestacin de servicios a losclientes de la empresa

Funciones crticas dl negocioen la empresa

Recuperar la tecnologaLo ms rpidamenteposible.

Se incluyen:Los Datos, el hardware y elsoftware necesarios parareanudar las operacionesCrticas de la empresa

Un plan de recuperacinante desastres (DRP) tambinincluye la elaboracin deplanes parahacer frente a la inesperadao repentina prdida de personalclave

En u PCN, es uno de losaspectos del plan


38/464

Participacin de todos los elementos de la organizacin

La Gestin de Continuidad del Negocio

Est en relacin con:

GEST

INDERIESGO

S

EGURIDAD

GEST

INDECALIDAD

GEST

INDELMEDIO

AMBIENTE

ADMINISTRACINDE

LASINSTALACIONES

GESTINANTE

UNA

EMERGENCIA

RECU

PERACINDETI

ANTEDESASTRE

GESTIN

DELACADENAD

E

S

UMINISTRO

COMUNICACIONES&

RRPP

SALU

DYSEGURIDAD

GESTINDECRISIS

RECU

RSOSHUMANOS


39/464

Evento: de incidente a una Emergencia

Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399Evento

(ISO 22301, 3.17)

Incidente(ISO 22301, 3.19)

Interrupcin(ISO 22399. 3.4

Crisis(USO 22399, 3.3)

Desastre(ISO 22300, 2.

Emergencia (ISO22399, 3.6)

Ocurrencia de un conjunto particular de circunstancias.

Incidente, ya sea previsto (p. ej., un huracn) o imprevisto (por naturales,que requieren de atencin urgente y de medidas para proteger la vida,los bienes o el medio ambiente.

Situacin en la que se han producido amplias prdidas humanas,materiales, econmicas o ambientales que superaron la capacidad de laorganizacin, la comunidad y la sociedad afectadas para responder yrecuperarse utilizando sus propios recursos.

Cualquier incidente(s), causado por los humanos o causas naturales,que requieren de atencin urgente y de medidas para proteger la vida,los bienes o el medio ambiente.

Suceso o evento repentino, urgente, generalmente inesperado que requiere accin inmediata.

Evento que pudiera constituir o pudiera redundar en una interrupcindel negocio, en una prdida, emergencia o crisis.


40/464


41/464

Proceso


Conjunto de actividades mutuamente relacionadas o que interactan, que

transforman elementos de entrada en resultados.

Entrada Actividades Salida


42/464

Recurso

ISO 22301, CLUSULA 3.47

Recursos

Todos los archivos, personal,habilidades, informacin,tecnologa (incluyendo maqui-naria y equipos), locales, ysuministros e informacin (yasea electrnica o no) que unaorganizacin debe tener dispo-nibles para uso, cuando seanecesario, para operar y

cumplir sus objetivos.

Las Personas

Locales Tecnologas Suministros

Activos Informacin


43/464

Riesgo

ISO 22301Riesgo (3.48)

Efecto de incertidumbre sobre los objetivos

Apetito por el riesgo (3,49)

Evaluacin de Riesgo (3.50)

Gestin del riesgo (3.51)

Cantidad de riesgo que una organizacin estDispuesta a conseguir o conservar

Proceso general de identificacin, anlisis y

Evaluacin de riesgos.

Actividades coordinadas para dirigir y controlarUna organizacin con respecto al riesgo K

S

I

R


44/464

Probabilidad, Consecuencia e Impacto

ISO 22399

Probabilidad (3.28)

Grado al que es probable que se produzcaun evento

Impacto (3.10)

Consecuencia (3.2)

Consecuencia evaluada de un resultado enparticular

Resultado de un evento


45/464

Parte interesada (interesados)

ISO 22301, CLUSULA 3.21:

Persona u organizacin que puede afectar, pueden verse afectados por,

o se consideran afectados por una decisin o actividad

ProveedoresInstituciones

financieras

Regulador Pblico

Grupos

Interesados

Clientes

Medios Accionistas

Consejo de

Administracin

Equipo de

Gestin

Empleados Sindicatos

Organizacin


46/464

Resilencia

ISO 22300, clusula 2.1.17

Resilencia

Capacidad de adaptacinde una organizacin en unambiente complejo ycambiante


47/464

Capacitacin Implementador Lder Certificado en la norma ISO 22301

Seccin 5

Iniciando la implementacin del SGCN

a. Enfoque para la implementacin del SGCN

b. Metodologa de implementacin del SGCN

c. Alimentacin con las mejores prcticas


48/464

Requisitos


5.4 Funciones organizativas, responsabilidades y autoridades

La alta gerencia deber asigna la responsabilidad y autoridad para :

Garantizar que el sistema de gestin se establece y ejecuta enconformidad con los requisitos de esta Norma Internacional


49/464

1.1. Iniciando la Implementacin del SGCN

Lista de actividades

Intencin de

Implementar

un SGCN

1.1.1 Definicin

del enfoque para

la implementacin

1.1.2. Seleccin de

un marco

metodolgico

1.1.3. Alineacin

Con las mejores

Prcticas

1.2. Comprensin

De la organizacin


50/464

1.1.1. Definicin del Enfoque de Aplicacin del SGCN

Posibles Enfoques

2. Nivel de madurez delos Procesos en uso

1. Velocidad deimplementacin

3. Expectativasy alcance


51/464

Enfoque Propuesto

Directrices1. Enfoque del negocio

Se integra en el contexto delas actividades comercialesa travs de la organizacin 2. Enfoque de sistemas

La aplicacin general del

proceso de SGCN, nomediante al aislamiento delos procesos

3. Enfoque Sistemtico

Aplicar las mejoresprcticas en gestin deproyectos

4. Enfoque Integrado

Integracin del SGCN o armonizarlocon los dems requisitos de la

organizacin

5. Mtodo iterativo

La rpidaImplementacin delSGCN respetando loRequisitos mnimos yCambiar a mejoraContinua a partir deentonces

Directrices


52/464

Las Directrices de Aplicacin

Recomendaciones

1. Evitar la integracin de nuevas tecnologas2. Integrar el DGCN en los procesos existentes3. Aplicar los principios de mejora continua

4. Involucrar a los participantes en la organizacin5. Obtener el apoyo de la Direccin6. Identificar y formalmente nombrar a un Director del proyecto del

SGCN


53/464

1.1.2. Elegir un Marco Metodolgico para Gestionar el Proyecto deImplementacin del SGCN

1. Planificar2. Hacer 3. Verificar 4. Actuar

1.1. Inicio delSGCN

2.3 Estrategia deContinuidad delNegocio

2.2 Evaluacindel negocio

2.1 Anlisis del

Impacto al Negocio(AIN)

3.3 Revisinpor la Direccin

3.2 Auditora interna

3.1 Seguimiento,medicin, anlisis yevaluacin

4.1 No conformidadesy accin correctiva

4.2 Mejora continua

1.8 Informacindocumentada

1.9 Competencia &sensibilizacin

2.7 Ejercicio ypruebas

2.6 Comunicacin

2.5 plan yprocedimientos de lacontinuidad del negocio

2.4 Medidas dePresentacin &Mitigacin

1.4 Alcance

1.5 Liderazgo yplanificacin

1.6 Poltica de CN

1.7 Estructurade la organizacin

1.2 Comprensinde la organizacin

1.3 Analizar elsistema existente

M t d l d I l t i I t d l Si t d


54/464

Metodologa de Implementacin Integrada para los Sistemas deGestin y las Normas (IMS)

Metodologa de PECB para la aplicacin del SGCN

ProyectoDel

SGCN

Hacer

Planificar

Verificar

Actuar

4 FASES 21 Pasos 101 actividades Tareas sin definir


55/464

Enfoque y Metodologa

Basado en las mejores prcticas

ISO 10006Directrices para la gestin de

calidad en proyectos

PMBOKConjunto de Conocimientosde la gestin de Proyectos(PMBOK en idioma ingls

22313Orientacin para la

Implementacin del sistemade gestin de



56/464

1.1.3. Alineacin con las Mejores Prcticas

Uso de las normas ISO

ISO 27031

ISO 22301

ISO 22313

ISO 24762

ISO 27001


57/464

Ejercicio 2

Las ventajas, los impulsores, las limitaciones de un proyecto deSGCN


58/464


Seccin 6

Comprensin de la organizacin

a. Comprensin de la organizacin

b. Identificacin y anlisis de las partes interesadas

c. Identificacin y anlisis de los requisitos y expectativasd. Definicin preliminar del alcance


59/464

1.2. Comprensin de la organizacin

1. Planificar

1.1. Inicio delSGCN



2.1 Anlisis del

Impacto al Negocio(AIN)


3.2 Auditorainterna

3.1 Seguimiento,medicin, anlisis y

evaluacin

4.1 Noconformidades

y accin correctiva

4.2 Mejoracontinua




2.6 Comunicacin


2.4 Medidas dePresentacin &Mitigacin

1.4 Alcance


1.6 Poltica de CN




2. Hacer 3. Verificar 4. Actuar


60/464


61/464

1.2. Comprensin de la organizacin


1.1 Iniciar elSGCN

1.2.1 Misinobjetivos, valores

estrategias

1.2.2 Entornoexterno

1.2.3 Entornointerno

1.2.5 Infraestructura1.2.6 Partesinteresadas

1.2.7 Requisitosdel negocio

1.2.9 AlcancePreliminar

1.2.8 Apetito porel riesgo y

criterios de riesgo

1.2.4 proceso yactividades

1.4 Alcance1.3 Anlisisde brechas

1.2 Comprensin de laorganizacin


62/464

1.2.1. Comprensin de la Misin, Objetivos, Valores y Estrategias

Misin

ValoresLosobjetivosDe


EstratgicoAlineamiento

Estrategias

Objetivos

Polticas CorporativasPolticas de Continuidad

del Negocio


63/464

1.2.2. Anlisis del Ambiente Externo

Consejos Prcticos

La ISO 22301 no ofreceenfoques prcticos paraanalizar el contexto de unaorganizacin

Existen varias metodologaspara entender cmofunciona una organizacin

Lo importante es identificarlas caractersticas de los

factores ambientales internosy externos que influyen en lagestin de la continuidad delnegocio: misin, actividadesprincipales, organizacininterna, partes interesadas, ttc.

Fortalezas Debilidades

Oportunidades Amenazas


64/464

1.2.3. Anlisis del Entorno Interno

Estructura organizativa y actores claves

Comprender la estructura y losprincipales actores de laorganizacin relacionados con

el mbito de aplicacin en losplanos:

Estratgico (Quinestablece las orientacionesestratgicas?)

Gobierno (Quincoordina y gestiona lasoperaciones?)

Operacional (Quinparticipa en las actividades deproduccin y apoyo?)


65/464


66/464

1.2.5. Identificacin de la Infraestructura

ISO 22301, clusula 3.20Infraestructura: Sistema de instalaciones, equipos y servicios

Necesarios para el funcionamiento de una organizacin

Categora

(Ejemplo)

Ejemplos

Sitios Oficinas, centro de datos, residenciad e los empleados, reas seguras,Sitio de fabricacin, etc.

Utilidades Electricidad, gas, aire acondicionado, control de humedad, etc.

Equipo industrial Almacenamiento y manejo de equipos, cintas transportadoras, robotsindustriales,

Servicio Contabilidad, recursos humanos, compras, logstica, etc.

Transporte Camiones, automviles, barcazas, ferrocarriles, transporte pblico, etc.

telecomunicaciones Telfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.

Tecnologa de la

informacin

Servidor, ordenador porttil, red, sistema operativo, software decontabilidad, etc.


67/464

1.2.6. Identificacin y Anlisis de las Partes Interesadas

Anlisis de sus necesidades y expectativas

1. Identificar lasNecesidades yexpectativas

Identificar las necesidadesy expectativas de todas laspartes interesadas

Las necesidades yexpectativas puedes serimplcitas o explcitas

Ejemplo: la tasa de

disponibilidad del serviciodel 99,5%

3. Identificar roles yresponsabilidades

2. Validar lasnecesidades y

expectativa

Analizar las necesidades deseguridad y confirmar siresponde a laspreocupaciones de laorganizacin en este momento

Se puede hacer mediante el

envo de un cuestionario,realizando entrevistas o facilitargrupos de enfoque

Definir lo que se espera de lasdiferentes partes interesadasen el proyecto: las f unciones,las responsabilidades y losniveles de participacin que senecesita

Establecer un consenso conellos durante la etapa deplanificacin de suparticipacin


68/464

Partes Interesadas

Influencia positiva y negativa

Partes interesadas negativas

Por estas, el SGCN podra tener un impacto negativo

Ejemplo: un departamento de recursos humanosinvolucrado en la implementacin del SGCNsufrir una pesada carga con la documentacinde los expedientes de los empleados

Partes interesadas negativas

Los que se beneficiaran del SGCN

Ejemplo: los clientes de una empresa deservicios de TI

Nota importante: Las partes interesadas negativas a menudo ponen su inters en primer lugar al momentode evaluar el riesgo que pudieran experimentar debido a la aplicacin del SGCN


69/464

1.2.7. Identificacin y Anlisis de los Requisitos del Negocio

Legal yRegulatorio

Todas las leyes yreglamentos con los

debe cumplir laorganizacin

EstndaresLas normas internacionales

Y cdigos de prcticasrelacionados con el sector,que son voluntariamente

Implementados por laorganizacin

Mercado

Todas las obligacionescontractuales que la

organizacin ha firmadocon sus partes

interesadas

Polticas Internas

Todos los requisitosdentro de la organizacin:

las polticas internas, elcdigo de tica, normas de

trabajo, etc.

Externos

Obligatorios Voluntarios

Internos


70/464

Cumplimiento de los Requisitos Legales

La organizacin debe cumplir con

las leyes y reglamentos aplicables

En la mayora de los pases, la

aplicacin de una norma ISO es una

decisin voluntaria de la organizacin,

no una condicin jurdica

Las organizaciones que operan en

varios lugares a menudo tienen que

satisfacer las necesidades de lasdiferentes jurisdicciones

En todos los casos, las leyes tienen

precedencia sobre las normas


71/464

Leyes y Reglamentos

Los cuatro sectores de la industria ms afectados

Requiere plan de copia deseguridad de datos, plan derecuperacin ante desastres y unplan de operacin en el modo deemergencia

Requisitos para los registroselectrnicos

Asis

tencia

sanitaria

Requiere plan de copia deseguridad de datos, plan derecuperacin ante desastres y unplan de operacin en el modo deemergencia

Requisitos para los registroselectrnicos

Go

bierno

Requiere que los bancos tenganplanes de CN y RD para garantizar

el funcionamiento continuo y con elfin de limitar las prdidas

Requiere que los planes deContinuidad del Negocio (PCN) seactualicen y prueben paraincorporar los riesgos detectados

Requiere un PCN para garantizarque la contina misin de la

agencia durante una crisis

Se requieren planes de restauracinde emergencia como condicinpara servicios continuados

Finanza

s

Utilidad

es


72/464

1.2.8. Determinacin del Apetito por el Riesgo y los Criteriosde Riesgo

ISO 22301, clusula 3.49 y 4.1

Apetito por el Riesgo

Definicin: Cantidad y tipo de

de que una organizacin estdispuesta a conseguir o conservar

Es el nivel de riesgo que unaorganizacin est dispuesta aaceptar, antes de que la accin esconsiderada necesaria parareducirlo

Representa un equilibrio entre losbeneficios potenciales de lainnovacin y las amenazas que elcambio inevitablemente trae consigo

0

20

101. Aversin

2. Mnimo

3. Prudente

4. Abierto

5. Hambriento

30

40

50

60

70

80

Ejemplo de escala de apetitopor el riesgo


73/464

Criterios de Riesgo

ISO 22301, clusula 4.1 y la norma ISO 31000, clusula 5.3.51 Evaluacin de riesgo

2 Impactos

3 Aceptacin del riesgo

Nota: Este paso slo consiste en definir los criterios bsicos para la gestin del riesgo. Los criterios detalladosse definirn durante la evaluacin del riesgo.


74/464


75/464

Ejercicio 3

Comprensin de la organizacin


76/464


Seccin 7

Anlisis del sistema de gestin existente

a. Recopilacin de la Informacin

b. Realizacin de una Entrevista

c. Anlisis de Brechas


77/464

1.3. Anlisis del Sistema de Gestin Existente

Hacer

3. Verificar

4.1 Noconformidadesy accin correctiva

4.2 Mejoracontinua

4. Actuar

3.1 Seguimiento,medicin, anlisis y

evaluacin

3.2 Auditorainterna


2.1 Anlisis delImpacto al Negocio

(AIN)



2.4 Medidas dePresentacin &

Mitigacin


2.6 Comunicacin


1.1. Inicio delSGCN

1.2 Comprensin

de la organizacin


1.4 Alcance


1.6 Poltica de CN




1. Planificar 2. Hacer


78/464

Lista de las actividades

Anlisis del sistema de gestin existente



1.3.1 Recoleccinde informacin

1.3.2 Anlisisde brechas

1.3.3. Objetivos einforme del anlisis

de brechas


79/464

1.3.1. Recopilacin de la Informacin

Tcnicas

CuestionariosEncuestas

El envo de cuestionarios a una muestra de personas que representana las partes interesadas

Entrevistas

Revisin de ladocumentacin

Las entrevistas con personas la claves en diferentes niveles jerrquicosdentro de la organizacin

Lectura y anlisis de la documentacin pertinente, las polticas internas,procedimientos, informes de auditoras previas, dictmenes jurdicos,contratos, etc.


80/464

Entrevista Individual y Grupal

Las entrevistas individuales suelesProporcionar informacin msprecisa y detallada y permiten teneruna evaluacin del riesgo mscorrecta

Individual GrupalEntrevista

Las entrevistas grupales son efectivaspara comprender rpidamente lasoperaciones de un proceso desdeperspectiva global


81/464


82/464

1.3.2. Anlisis de Brechas

Anlisis de Brechas

Tcnica para determinar los pasos parapasar de la situacin actual a un estado

futuro deseado.

1. Comparacin del rendimiento actualdel sistema de continuidad delnegocio con los requisitos de la ISO22301

2. Identificacin de las necesidades demejora

3. Bases para la elaboracin del plandel proyecto del SGCN


83/464

Determinar el Estado Actual

El anlisis de brechas y el nivel de madurez

Las preguntas tpicas:

1. El proceso est presente en la organizacin? Est estandarizado?

2. Es el proceso seguido por los usuarios relevantes?3. Est el proceso documentado? Cmo?

4. hay un responsable designado para la eficacia del proceso? Estndeterminadas las funciones y responsabilidades?

5. Se ha comunicado a todas las personas en cuestin? Por quin? Haycapacitacin disponible?

6. El proceso est controlado Cmo lo est? Medido?7. El proceso est automatizado? Se utilizan herramientas?

8. Existe un proceso para actualizar el proceso?

9. El rendimiento del proceso se compara con las prcticas de la industria?


84/464

1.3.3. Establecimiento de Objetivos y la Publicacin de un Informe deAnlisis de Brechas

1Inicial

4Gestionado

cuantitativamente

0No existe

2Gestionado

3Definido

Situacin actual Objetivo

5Optimizado


85/464

Establecimiento de Objetivos

El anlisis de brechas y el nivel de madurez

Usted puede fijar las metas para los procesos

segn el nivel de madurez

No hay procesosestndarvigentes

Los procesos estndocumentadosy comunicados

Procesos

monitoreados ymedidos

Procesosoptimizados

Hay implementacinde proceso caso

por caso sin ningnmtodo

0.Inexistentes

1.Inciales

2.Gestionadas

3.Definidos

4.Cuantitativa

Mente

gestionados

5.Optimizados

Ausencia total deProcesos

identificables


86/464


Seccin 8

Alcance del SGCN

a. Lmites de la organizacin

b. Los lmites de las lneas de negocio

c. Lmites Fsicos

d. mbito de aplicacin


87/464


88/464


89/464

mbito de la aplicacin

Importancia

Una clara definicin del alcance, centrndose en actividades clave de laorganizacin, es un factor de xito importante para la implementacin del SGCN.

Esto har que sea ms fcil:

1. Conseguir el apoyo de la direccin

2. Movilizar a los interesados por el proyecto

3. Justificar un valor agregado a las partes interesadas

Nota importante: la extensin del mbito de aplicacines el primer factor que determina la cantidad

de esfuerzo requerido por el proyecto.


90/464

1.4. mbito de Aplicacin del SGCN



1.3 Analiza elSistema existente

1.5 Liderazgo &planificacin

1.6 Polticade CN

1.4.1 LmitesOrganizacionales

1.4.2 Lmites de lasLneas de negocio

1.4.3 Los lmitesfsicos

1.4.4 mbitode aplicacin


91/464

Lmites del SGCN

Las 3 dimensiones a considerar

del negocio


92/464

1.4.1 Definiendo los Lmites Organizacionales del Alcance

Un proceso clave

Un departamento

La organizacincomo un todo

La organizacin y suspartes interesadas

Nota: Donde una parte de unaorganizacin, queda excluida del mbitode aplicacin de su SGCN, laorganizacin debera documentar yexplicar la exclusin


93/464

1.4.2. Definir los Lmites de las Lneas de Negocio del mbito deAplicacin

La organizacin debe identificar los productos y servicios en el mbito

Ejemplo:

Un hospital podra incluir slo los servicios de emergencia en elmbito de aplicacin

La oficina de correos podra incluir todos los servicios en el

mbito de aplicacin con la exclusin de la entrega de paquetes/

encomiendas

Una fbrica podra mantener slo la produccin de un producto. Etc.


94/464

1.4.3. Definir las Fronteras Fsicas del mbito de Aplicacin

Deberan tomarse en cuenta todos lo lugares fsicos, tanto internos comoexternos incluidos en el SGCN

Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del

alcance y los medios fsicos necesarios para que funcionen

En el caso de los sitios fsicos subcontratados, tienen que ser consideradas las

interfaces con el SGCN y los acuerdos de servicios aplicables


95/464

1.4.4. Definir el mbito de Aplicacin del SGCN

El documento de definicin del mbito de aplicacin debera incluir:

1. Las principales caractersticas de la organizacin

2. Los procesos de negocios cubiertos por el SGCN

3. La lista de productos y servicios y todas las actividades relacionadas en elmbito de aplicacin del SGCN

4. La lista de los principales recursos (sistemas de Informacin, instalaciones, etc.)

5. La lista de ubicaciones geogrficas

6. Los detalles y motivos para las exclusiones


96/464

Declaracin del mbito de Aplicacin

Ejemplo

La declaracin del alcance es pblica y, en general, est disponible en el

sitio web del organismo de certificacin que haya expedido el certificado

Esta declaracin resumida estar escrita en el certificado. Deber ser:

1. Tan simple como sea posible2. Comprensible para alguien externo a la organizacin

3. Lo suficientemente precisa para expresar lo que est cubierto por

la certificacin

Ejemplo: Este sistema de gestin de la continuidad del negocioSe aplica al centro de distribucin global proveyendo

Servicios de tercerizacin y contacto con el clienteY externalizacin de ABC S.A.


97/464

Cambios en el mbito de Aplicacin

Cualquier cambio en elalcance debe ser evaluado,aprobado y documentado


98/464

Extensin del mbito de Aplicacin


Varias empresas auditadas prefieren definir un alcance reducido para unacertificacin inicial y complementar una solicitud de extensin en los aos

siguientes

La auditora de extensin se puede realizar durante una auditora de control

Si no se concede la certificacin de extensin, la organizacin no pierde su

certificado actual


99/464

Ejercicio 4

Definicin del mbito de aplicacin


100/464


101/464

Capacitacin Implementador Lder ISO 22301

Seccin 9Liderazgo y planificacin

a. Caso de negocios del SGCN

b. Equipo del proyecto

c. Objetivos del SGCNd. Plan del proyecto

e. Plan de comunicacin para el proyecto SGCN

f. Aprobacin de la Direccin


102/464

1.5. Liderazgo y Planificacin

1. Planificar

Negocio

1.1. Iniciar el SGCN



1.4 Alcance


1.6 Poltica de CN

1.7 Estructuraorganizativa


1.9 Competencia ysensibilizacin

2. Hacer

2.1 Anlisis del Impactoen el Negocio (AIN)

2.2 Evaluacindel riesgo

2.3 Estrategia de laContinuidad del

Negocio

2.4 Medidas deProteccin &

Mitigacin

2.5 Plan yprocedimientos de lacontinuidad del negocio

2.6 Comunicacin


3. Verificar 4. Actuar

3.1 Supervisin,medicin, anlisis y

evaluacin

3.2 Auditorainterna


4.1 No

conformidadesy accin correctiva

4.2 Mejoracontinua


103/464

Requisitos

Norma ISO 22301, clusula 5.1. 7.1 y 8.3.2

5.1 Liderazgo y compromisoLas personas en los niveles superiores de la administracin y otras en funciones de gestin en toda laorganizacin bebern demostrar liderazgo con respecto al SGCN.

5.2 Compromiso de la DireccinLa alta direccin deber demostrar su liderazgo y compromiso con respecto al SGCN a travs de :

- Asegurar que sean establecidos polticas y objetivos, para el sistema de gestin de la

- continuidad del negocio y que sean compatibles con la direccin estratgica de la organizacin.

- Asegurar que estn disponibles los recursos necesarios para la continuidad del negocio

- Comunicar la importancia de una buena gestin de la continuidad del negocio y deconformidad con los requisitos del SGCN

- Asegurar que el SGCN logre el resultado (s) esperados(s)

- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN

- Promover la mejora continua: y

- Apoyar a otras funciones de gestin pertinentes para demostrar su liderazgo y compromiso

en lo que aplica sus reas de responsabilidad

7.1 RecursosLa organizacin deber determinar y proporcionar los recursos necesarios para el SGCN


104/464


105/464

1.5.1. Crear y Presentar un Caso de Negocio

Un caso de negocio es:

1. Una herramienta de apoyo deapoyo de la Direccin para latoma de decisiones

2. Un documento que se utilizapara promover el proyectodel SGCN

3. Una primera estructuracindel proyecto


106/464

Contenido del Caso de Negocios

PMBOK

1.Medioambiente

2. Finalidad yobjetivos

3. ResumenDel proyecto

4. Beneficiosesperados

5. Alcancepreliminar

9. Funciones yResponsabili-

dades

6. FactoresCrticos de xito

7. Anteproyecto

10. Recursosnecesarios

8. Plazos ehitos

11. Presupuesto 12. Restricciones

Nota: El contenido sobre gestin de proyectos en esta seccin se basa en PMBOKpero otros marcos como el Prince 2 son equivalentes


107/464

1.5.2. Establecer el Equipo del Proyecto del SGCN

Equipo del Proyecto

Partes Interesadas

Gerente

del SGCNDirector

del proyecto

Equipo de Gestin delProyecto

DefensorDel

ProyectoDel SGCN


108/464

Director del Proyecto SGCN

Competencias requeridas

El director del proyecto SGCN debe tener los conocimientos y habilidades en lassiguientes reas:

1. Conocimiento y habilidades en Gestin de Proyectos

2. Conocimiento de la organizacin y su entorno3. Conocimiento de gestin de la continuidad del negocio

4. Habilidades interpersonales (comunicacin efectiva,

negacin, resolucin de problemas,

habilidades de liderazgo, etc..)


109/464

Comit Directivo

Durante el proyecto SGCN

Objetivo Asegurar la planificacin y el seguimiento del SGCN

Misiones

Miembros

Frecuencia de lasreuniones

1. Planificar la implementacin del SGCN2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos

por la Direccin3. Definir las funciones y responsabilidades para el proyecto SGCN4. Definir las funciones y responsabilidades relacionadas con las operaciones

y el mantenimiento del SGCN (despus de la aplicacin)5. Seleccionar el mtodo de anlisis de riesgo y el AIN6. Gestionar los recursos7. Realizar revisiones de los proyectos de la aplicacin del SGCN

Director del Proyecto SGCN, responsables de los servicios claves queparticipan en los siguientes dominios de aplicacin (TI, auditora, legales,finanzas, recursos humanos, seguridad fsica etc.)

Mensuales


110/464

1.5.3. Determinacin de los objetivos del SGCN

ISO 22301, clusula 3.32 y 6.2Determinar los objetivos

2

31

Una mayor flexibilidad(resilencia) de la

Empresa Puede el SGCN mejorar

la resilencia de laorganizacin en caso deun incidente perjudicial?

Gestin de continuidaddel negocio eficiente

Puede el SGCNmejorar la eficacia de lagestin de continuidaddel negocio?

Ventaja del negocio L a implementacin de

un SGCN puedeproporcionar ventajascompetitivas


111/464

Determinar los Objetivos

Ejemplos

Los objetivos relacionados con la aplicacin del SGCN pueden ser:

Velar por el cumplimiento de las obligaciones legales, reglamentarias y

contractuales de la organizacin

Demostrar la debida diligencia y el cuidado debido de la gestin Inspirar confianza de las partes interesadas de la organizacin

Proteger la disponibilidad de las actividades fundamentales de la organizacin

Asegurar la gestin eficaz de continuidad del negocio de acuerdo a las mejores

prcticas

Mejorar el tiempo de respuesta a incidentes y desastres Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la

entrega de un servicio o producto, etc.

1 5 4 Determinacin de los Requisitos de Recursos para el


112/464

1.5.4. Determinacin de los Requisitos de Recursos para elProyecto SGCN


Los recursos son los medios que se utilizan para alcanzar los objetivosdel proyecto

El recurso principal es evidentemente, las personas con habilidades y

competencias aplicables

El resto de las principales agrupaciones de recursos que se necesitan

son el capital, las instalaciones, los equipos, los materiales y la

informacin

Generalmente hay un desfase entre el tope de la inversin de un proyecto

y las demandas del proyecto


113/464

1.5.5. Elaboracin del Plan del Proyecto SGCN

PMBOK

Un mtodo iterativo

ContenidoDel

Proyecto

Recursos Costos

Retrasos Riesgos

Plan delproyecto


114/464

Contenido del plan del proyecto SGCN

PMBOK

Un plan de proyecto incluye lo siguiente:

1. Carta del Proyecto

2. Descripcin del enfoque o estrategia de gestin de proyectos

3. Formulacin del contenido del proyecto, con resultados y objetivos del

proyecto4. Estructura Detallada de Trabajo del proyecto (estructura WBS)

5. Costos estimados, fecha de inicio prevista, y la asignacin deresponsabilidad

6. Referencias; medicin de costos y el tiempo de funcionamiento

7. Hitos principales con su fecha provisional

8. Personal clave o necesario

9. Riesgos claves, con las limitaciones y supuestos, y las respuestas

propuestas

10. Problemas corrientes y decisiones pendientes


115/464

Revisin y Presentacin del Plan del Proyecto SGCN

PMBOK

Revisin de los objetivos del proyecto y los factores de xito

Revisin de las funciones

Definicin de la frecuencia y el contenido de las reuniones de progreso

Revisin de los documentos del proyecto

Estimacin de los recursos internos necesarios

Definicin de la planificacin y sucesivas fases de ejecucin

Revisin de las presentaciones que deben proveerse

Revisar el mtodo propuesto

Destacar los riesgos e incertidumbres inherentes en el proyecto


116/464

1.5.6. Plan de Comunicacin para el Proyecto SGCN

Norma ISO 22301, clusula 7.4

Cuando se establece el SGCN, la organizacin necesita tener comunicacinefectiva y procedimientos de consulta para el intercambio de informacin con

las partes interesadas

La organizacin debera disponer de una comunicacin eficaz como parte de

su programa de sensibilizacin

El plan de comunicacin ser detallado en el Da 3
http://www.google.cl/imgres?biw=1280&bih=587&tbm=isch&tbnid=fdhgVBjFbUBpCM:&imgrefurl=http://es.123rf.com/photo_11949129_personas-3d-en-circulo.html&docid=MM59xCOOIChPrM&itg=1&imgurl=http://us.cdn2.123rf.com/168nwm/3ddock/3ddock1206/3ddock120600234/14228108-las-personas-3d-en-el-circulo.jpg&w=168&h=151&ei=mAavUvvZJIrloASJoICICw&zoom=1&iact=rc&dur=656&page=2&tbnh=120&tbnw=134&start=20&ndsp=29&ved=1t:429,r:41,s:0,i:204&tx=100&ty=26


117/464

1.5.7. Aprobacin por la Direccin del Proyecto SGCN


Beneficios Claves delCompromiso de la Direccin

Mayor conocimiento de las leyesptima asignacin de recursosIdentificacin de los activos crticosProcesos y plan de la continuidaddel negocio controlados y medidos


118/464

Funciones de la Direccin

Durante el proyecto SGCN

Objetivo

Misiones

Miembros

Frecuencia delas reuniones

Alinear el SGCN con los objetivos y estrategia de negocio

1. Asegurarse de que el SGCN es compatible con la direccin estratgica de laorganizacin

2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales

3. Validar las funciones y responsabilidades de las principales partes interesadas en elproyecto

4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluacin delriesgo

5. Comunicar la importancia de una buena gestin de la continuidad del negocio y enconformidad con los requisitos SGCN

6. Proveer de recursos suficientes para la implementacin del SGCN7. Asegurar que se llevan a cabo auditorias internas8. Hacer revisin del SGCN por la direccin

9. Prestar apoyo al mejoramiento del SGCN

Alta Direccin (CEO, CIO, CFO)

Algunas de las reuniones de los hitos de este proyecto: reunin de lanzamiento, anlisisde riesgo e informe del AIN, revisin por la direccin, etc.


119/464

Ejercicio 5

Roles y responsabilidades de las partes interesadas


120/464


Seccin 10

Poltica de la continuidad del negocio

a. Crear modelos de poltica

b. Proceso de redaccin de poltica

c. Aprobacin por la Direccin

d. Publicacin

e. Capacitacin, comunicacin y sensibilizacin

f. Control, evaluacin y revisin

1.6. Poltica de la Continuidad del Negocio


121/464


1. Planificar 3. Verificar 4. Actuar2. Hacer




1.4 Alcance


1.6 Poltica de CN




4.1 No


4.2 Mejoracontinua


evaluacin

3.2 Auditorainterna





Negocio


Mitigacin


2.6 Comunicacin


Requisitos


122/464

Requisitos


PolticaLa alta direccin deber establecer una poltica de continuidad del negocio que:a) Sea apropiada para los fines de la organizacinb) Proporciones un marco para establecer objetivos de continuidad del negocioc) Incluya un compromiso de cumplir los requisitos aplicables

d) Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:- Estar disponible como informacin documentada- Ser comunicada dentro de la organizacin- Estar a disposicin de todas las partes interesadas, segn corresponda

- Ser revisada para su adecuacin continuada a intervalos definidos y cuando seproduzcan cambios significativos

La organizacin deber retener informacin documentada sobre la polticaDe continuidad del negocio.


123/464

Definicin de Poltica de la Continuidad del Negocio


Las intenciones generales y la direccin de la organizacin, relacionadas con supreparacin ante incidencias y continuidad operacional, tal y como ha sidoexpresado por la alta direccin
http://www.google.cl/imgres?start=364&biw=1280&bih=587&tbm=isch&tbnid=05SjpMPqVZ_nRM:&imgrefurl=http://es.dreamstime.com/fotos-de-archivo-libres-de-regal%C3%ADas-neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-image3235568&docid=sJjX8_RVYFXyaM&imgurl=http://thumbs.dreamstime.com/x/neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-3235568.jpg&w=400&h=300&ei=dGivUvu4EMH8kQec6YGABg&zoom=1&iact=rc&dur=485&page=14&tbnh=142&tbnw=183&ndsp=32&ved=1t:429,r:91,s:300,i:277&tx=112&ty=74


124/464



1.5 Liderazgo &planificacin

1.6.4 Publicacin

1.6.3 Aprobacinpor la Direccin

1.6.2 Redaccin dela Poltica

1.6.1 Proceso deredaccin de la

Poltica

1.6.5 Capacitacin,comunicacin ysensibilizacin

1.6.6 Control,evaluacin y

revisin


1.6 Poltica de C. N.


125/464

1.6.1. Definicin del Proceso de Redaccin de la Poltica

Proceso General

2.Definir los

componentesde la poltica

3.Redactar

lasSecciones

4.Validacin

de loscontenidos yel formato

5.Aprobacin

por lasPartesInteresadas

1.Designar una

PersonaResponsable

Es importante asegurar el apoyo a y la comprensin de una poltica antes de su publicacin


126/464

1.6.2. Redaccin de la Poltica de Continuidad del Negocio

Temas que suelen incluirse en la poltica

1. Un marco que permite definir objetivos y establecer una direccin y directricesde poltica para la gestin de Continuidad del Negocio

2. Una consideracin de las obligaciones legales y reglamentarias impuestas a la

organizacin, as como otros compromisos

3. La alineacin de la gestin de continuidad del negocio con los objetivosestratgicos de la organizacin

4. Atribucin de las funciones y responsabilidades

5. Aprobacin oficial de los anteriores por la Direccin


127/464

1.6.3. Aprobacin por la Direccin

La poltica del SGCN debe:

Demostrar el compromiso de la direccin

Ser aprobada por la Direccin

La poltica debe ser firmada por una persona (a menudo el director general),

pero el proceso de aprobacin puede pertenecer a un comit:

Junto de Directores

Consejo de Administracin

1 6 4 P bli i d l P l i d C i id d d l N i


128/464

1.6.4. Publicacin de la Poltica de Continuidad del Negocio

Principales modos de comunicacin

Intranet

Distribucin deCopias en papel

Reunin

Sesin de orientacinde nuevos empleados

1 6 5 C it i C i i S ibili i


129/464

1.6.5. Capacitacin, Comunicacin y Sensibilizacin

Plan de comunicacin

Pblico de destino

Difusin (reuniones, intranet,extranet, documentos)

Comunicacin

Sensibilizacin Capacitacin

Objetivoalcanzado?

Control, evaluacin y revisin

Procesorecurrente

No

Si Nota: Esta temtica sediscutir durante elDa 3

1 6 6 Control Evaluacin y Revisin


130/464

1.6.6. Control, Evaluacin y Revisin

Control

Evaluacin

Revisin

Mantener Asegurarconformidad

Medir el grado deconformidad

Capacitacin Implementador Lder en la ISO 22301


131/464


Seccin 11

Estructura Organizativa

a. Estructura de gestin

b. Estructura Orgnica para la gestin de la continuidad delnegocio

c. Designacin de un coordinacin de la continuidad del negocio

d. Roles y responsabilidades de las partes interesadas

e. Roles y responsabilidades de los comits clave

f. Equipos de la continuidad del negocio

g. Proceso de decisin y de control

1 7 Estructura Organizativa


132/464

1.7. Estructura Organizativa

1. Planificar 2. Hace 3. Verificar 4. Actuar

4.1 No


4.2 Mejoracontinua


evaluacin

3.2 Auditorainterna





Negocio


Mitigacin


2.6 Comunicacin





1.4 Alcance


1.6 Poltica de CN




Req isitos


133/464

Requisitos


Funciones, responsabilidades y autoridades organizativas

La alta direccin deber asegurarse de que las responsabilidades y autoridadespara funciones pertinentes sean asignadas y comunicadas dentro de la

organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para :

a) Garantizar que el sistema de gestin se establece y ejecuta en conformidadcon los requisitos de esta Norma Internacional; e

b) Informar sobre la eficacia de la gestin del SGCN a la alta direccin

Estructura organizativa


134/464

Estructura organizativa

Principios

Para ser eficaz, un programa de continuidad empresarial debera ser un

proceso integrado de gestin impulsado desde las altas esferas de laorganizacin, apoyado y promovido por los principales directores y

ejecutivos

Debera ser administrado en los niveles operativos y de la organizacin

Puede requerirse una serie de profesionales y personal de otras disciplinas

relacionadas con la gestin y los servicios necesarios para apoyar y gestionar

el programa

La continuidad de recursos necesarios, depender del tamao y la diversidad

de la organizacin



135/464



1.6 Poltica decontinuidaddel negocio

1.7.1 Estructurade gobierno yorganizacin

1.7.2 Coordinadorde la continuidad

del negocio

1.7.3 Roles yResponsabilidades

de las partesinteresadas

1.7.6 Proceso dedecisin y control

1.7.5 Equipos de lacontinuidaddel negocio

1.7.4 Roles yResponsabilidades

de los comitsprincipales


1.7 Estructura organizativa

1.7.1. Definicin de la Gestin de Gobierno y de la EstructuraO i l G ti d C ti id d d l N i


136/464

Orgnica para la Gestin de Continuidad del Negocio

Estructura de gobierno

Junta deDirectores

CEO

Comit de Crisis

Comit deContinuidad del

negocio

OperacionesRecursoshumanos

AuditoraInterna

ServiciosAdministrativos

Tecnologa dela informacin

(TI)

Ventas &Marketing



137/464


138/464


139/464

1.7.4. Definicin de la Funciones y Responsabilidades de losC it Cl


140/464

Comits Claves

1. Comit Ejecutivo y Comit de Crisis

2. Comit de Continuidad del Negocio

3. Comits Operativos yComit Local de CN

1.7.5. Creacin de los Equipos Necesarios de Continuidad delNegocio


141/464

Negocio

Ejemplo

Lder del Equipo deGestin de Crisis(Director Ejecutivo)

Gerente deEvaluacin de

Riesgo

Coordinar dela Continuidaddel Negocio

TI/RR.HH./Legales/Finanzas

Representantes deLa unidad de

Negocio

Equipo deRespuesta deEmergencia

Equipo deEvaluacin de

Daos

Equipo deRelaciones

Pblicas

Equipo deRecuperacin

Equipo deRestauracin

Equipo deTelecomuni-

caciones

Equipo deObtencin deRecursos yLogstica

Nota importante: La creacin de equipos y comits no es un requisito. Aplicarlo, si es necesario

1.7.6. Definir un Proceso de Decisin y Control


142/464

y

Modelo de la estructura de comando y control

Nivel 2Tctico

Nivel 3Operativo

Nivel 1Estratgico



143/464

p p

Seccin 12

Informacin documentada

a. Requisitos de la informacin documentada

b. Valor de la documentacin

c. Creacin de plantillas

d. Gestin de la documentacin

e. Implementacin de un sistema de gestin de

documentos

f. Redaccin de la informacin documentada de

l SGCN

g. Control de los registros

1.8. Informacin documentada


144/464

1.8. Informacin documentada

1. Planificar 2. Hacer 3. Verificar 4. Actuar




1.4 Alcance

1.6 Poltica de CN





2.1 Anlisis delImpacto

en el Negocio (AIN)



Negocio


Mitigacin


2.6 Comunicacin



evaluacin

3.2 Auditorainterna


4.1 No


4.2 Mejoracontinua

Requisitos


145/464


7.5 Informacin documentada

7.5.1 Generalidades

El SGCN de la organizacin incluir:

- La informacin documentada requerida por esta norma internacional- Informacin documentada determinada por la organizacin como necesaria para la

eficacia del SGCN

7.5.2 Creacin y actualizacin

Al crear y actualizar la informacin documentada, la organizacin deber garantizar laadecuada:

a) Identificacin y descripcin (por ejemplo, un ttulo, fecha, autor o nmero de referencia),

b) Formato (por ejemplo, el idioma, la versin del software, grficos) y los medios (por ejemplo,papel, electrnico), y la revisin y aprobacin de idoneidad y suficiencia.

Requisitos


146/464

Norma ISO 22301, clusula 7.57.5.3 Control de la informacin documentadaLa informacin documentada requerida por el SGCN y por esta Norma Internacional deber ser controlada paraasegurar que:

a) Est disponible y apta para su uso, cundo y dnde sea necesario,

b) Est protegida adecuadamente (por ejemplo, de prdida de la confidencialidad, uso indebido, o la prdida deintegridad).

Para el control de la informacin documentada, la organizacin deber abordar las siguientes

actividades, segn corresponda:- Distribucin, acceso, recuperacin y uso,

- Almacenamiento y conservacin, incluida la conservacin de la legibilidad,

- Control de los cambios (p. ej., control de versiones).

- Retencin y disposicin

- Recuperacin y uso,

- Preservacin de la legibilidad (es decir lo suficientemente claro para leer), y

- Prevencin del uso no intencionado de informacin obsoleta.

La informacin documentada de origen externo determinada por la organizacin como necesaria

para la planificacin y el funcionamiento del SGCN deber ser identificada, segn corresponda, y

controlada.

Cuando se establece el control de la informacin documentada, la organizacin deber asegurarse de que exista

una proteccin adecuada d la informacin documentada (por ejemplo, la proteccin ante cualquier peligro, la

modificacin no autorizada o la eliminacin).

Requisitos de Informacin Documentada


147/464

equ s tos de o ac ocu e tada

Resumen

Contenido Formato Ciclo de Vidadel Documento

Documentacin del Sistema de Gestin


148/464

Tipos de informacin documentada

DescripcionesDel

Marco de Gestin

Describe los procesos,

Procedimientos y controles(quin, qu, cundo, cmo,Dnde y por qu)

Describe en detalle cmo se llevan aCabo las tareas y actividades

Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Polticas, el alcance, revisin por la direccin,y otros documentos estratgicos

Descripcin del proceso, actividades,controles y procedimientos

Hojas de clculo, formularioslistas de control, etc.

Registros

Valor de la Documentacin


149/464

Notas importantes

En muchas organizaciones, la creacin de la

documentacin est desproporcionada

La preparacin de los documentos no debera

ser un objetivo en s mismo. Esta debe seractividad de valor aadido, soporte del SGCN

La documentacin que es demasiado es difcil

de manejar, a menudo no es comprendida por

los usuarios, por lo tanto, no se utiliza

Cada organizacin determina la extensin de

la documentacin necesaria y los medios de

comunicacin a utilizar



150/464




1.8.1 Creacin deplantillas

1.8.2 Control delos documentos

1.8.3Sistema de gestin

de documentos

1.8.4 Establecer laDocumentacin

del SGCN

1.8.5 Control delos registros


1.8.1. Creacin de Plantillas


151/464

Tipo de documentos

Tipo Objetivos

Poltica Intenciones y directrices generales de una organizacin formalmente expresadas por la Direccin

Procedimiento

Directrices

Plan deContinuidad del Negocio

Carta

Esquema de proceso

Normativa de proceso

Formulario

Gua

Hoja de datos

Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la poltica, lasdirectrices y las normas de apoyo se aplicarn realmente en un entorno operativo

Declaracin general para alcanzar los objetivos de la poltica al proporcionar orientacin sobre buenas

prcticas a seguirAmplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseadas para facilitarla actividad de la continuidad del negocio o la ordenada y rpida recuperacin de los procesos crticos (de negocio) enel caso de una crisis

Descripcin de los acuerdos en vigor entre la organizacin y un grupo de actores como usuariosempleados, proveedores o prestadores de servicios

Esquema que ilustra el trabajo de un proceso

Explicacin detallada de funcionamiento de un proceso como una descripcin

Formulario de papel o en formato electrnico que est diseado para proporcionarlo o registrar la informacin sobre unaoperacin (solicitud de cambio, solicitud de autorizacin, notificacin de incidentes, etc.)

Documento prctico con instrucciones detalladas sobre el uso y/o instalacin mantenimiento operacin

Documento que resume la informacin tcnica (especificaciones) necesaria para instar, usar, mantener, etc.

1.8.2. Gestin de la documentacin


152/464

El desarrollo de un proceso de gestin de la documentacin y

redaccin de un procedimiento

c) Clasificacin, indexado yseguridad

b) Identificacina) Creacin

d) Modificacin

e) Aprobacin

f) Distribucin

g) Uso adecuado

h) Conservacin yarchivado

i) Eliminacin


153/464

1.8.4. Redaccin de la Informacin Documentada Requerida delSGCN


154/464

SGCN

Como mnimo, el SGCN debera contener la siguiente documentacin:

1. El contexto de la organizacin

2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)

3. El mbito de aplicacin del SGCN y cualquier exclusin (4.3.2)

4. Poltica de la continuidad del negocio (5.3)

5. Objetivos de continuidad del negocio (6.2)

6. Competencia (7.2)7. Anlisis del impacto en el negocio y proceso de evaluacin de riesgos (8.2)

8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategiaconsideradas

9. Procedimientos de continuidad , gestin de incidentes y de recuperacin (8.4)

10. Informes pos-ejercicio (8.5)

11. Monitoreo del SGCN (9.1)

12. Auditoras Internas (9.2)13. Revisin por la direccin (9.3)

14. No Conformidades y acciones correctivas (10.1)

Informacin Documentada que puede ser Requerida


155/464

Adems puede ser requerida la informacin documentada que abarca la siguiente

informacin necesaria para asegurar la eficacia del SGCN:

1. Los contratos con clientes y los niveles de servicio

2. Resultados de los anlisis de impacto en el negocio

3. Resultados de las evaluaciones de riesgo

4. Determinacin y seleccin de las estrategias de continuidad del negocio5. Resumen de respuesta ante incidentes

6. Programa de sensibilizacin

7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas

8. Programas de capacitacin para la organizacin y los individuos.

9. Calendario de ejercicios

10. Contratos y acuerdos de nivel de servicio con los proveedores11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta

12. Las pruebas de inspeccin, mantenimiento y calibracin

13. Despus de los incidentes los informes de incidentes y casi incidentes

14. Acta de la reunin de la revisin del SGCN

Crear una Lista Maestra de Documentos


156/464

Buenas prcticas

Es una buena prctica crear una lista nica de todos los documentos relacionadoscon el SGCN con informacin bsica tal como:

El identificador nico

Ttulo

El tipo de documento

Los nombres, funciones y servicios de los autores (y / o los propietarios)

El nombre del responsable y la fecha de la aprobacin

Fecha de emisin

Fecha de la versin y de la revisin

Numeracin de pginas Nivel de clasificacin

1.8.5. Control de los Registros


157/464

o Los controles para garantizar la identificacin, almacenamiento, proteccin,

disponibilidad, tiempo de conservacin y eliminacin de registros deben estardocumentados e implementados

o Los registros deben ser protegidos, permanecen legibles, fcilmente

identificables y accesibles

o Ejemplos de registros:

Las actas de reunin

Certificados de capacitacin

Enviar cartas a las partes interesadas

Los informes de auditora

Informe de resultados de pruebas

Lista Maestra de Documentos


158/464

Ejemplo

Identificacin Almacenamiento ResponsabilidadDuracin de laconservacin

Clasificacin

Registro decapacitacin

Departamento deRecursos Humanos

Director deRecursos Humanos

3 aos Uso interno

Hoja de informeDe incidentes

Centro de ServiciosDirector

Centro de Servicios 2 aos Confidencial

Ejercicios yRegistros de las

Pruebas delSGCN

Departamento deGestin de Riesgos

Director de CN5 aos Muy confidencial

7 aosSecretario del

Comit EjecutivoComit EjecutivoRevisin por la

Direccin Muy confidencial


159/464

Ejercicio 6


160/464

Lista maestra de documentos



161/464

Seccin 13

Competencia y sensibilizacin

a. Diferencia entre capacitacin, sensibilizacin y comunicacin

b. Definicin de un programa de desarrollo de competencias

c. Evaluacin de las competencias requeridas

d. Definicin de un programa de capacitacin

e. Definicin de un programa de sensibilizacin

f. Evaluacin y mejora continua del programa de

desarrollo de competencias

1.9. Competencia y Sensibilizacin


162/464

1. Planificar 2. Hacer 3. Verificar 4. Actuar

4.1 No


4.2 Mejoracontinua


evaluacin

3.2 Auditorainterna





Negocio


Mitigacin


2.6 Comunicacin





1.4 Alcance



1.6 Poltica de CN



Requisitos


163/464

ISO 22301, clusula 7.2 y 7.3

7.2 CompetenciaLa organizacin deber:

a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta surendimiento.

b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitacin yexperiencia.

c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de lasmedidas adoptadas, y

d) Mantener adecuada informacin documentada como evidencia de su competencia.

e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formacin para la

Implementador Lider ISO 22301.pptx

Documents

Transcript of Implementador Lider ISO 22301.pptx