Sistema de Gestión de Continuidad    del Negocio de Acuerdo con        BS25999 e ISO 22301                    October 2011...
Agenda• Introducción• Elementos que componen el SGCN• Gestión de incidentes en el SGCN• Similitudes y diferencias entre BS...
Nota• Al cierre de la preparación de esta presentación,  el estándar ISO 22301 no ha sido publicado en su  versión final, ...
Introducción
Introducción                                                                                                              ...
Introducción                                                                                                              ...
IntroducciónOpciones de Tratamiento de Riesgos         Aceptar / Retener       Transferir / Compartir          Terminar / ...
IntroducciónOpciones de Tratamiento de Riesgos            (Reducir*)         Reducir la posibilidad  Reducir el tiempo de ...
IntroducciónNo es opción: Amplificar
IntroducciónNo es opción: Simular
IntroducciónNo es opción: Desatender
IntroducciónNo es opción: Ignorar
IntroducciónNo es opción: Confiar
IntroducciónNo es opción: Aparentar
IntroducciónNo es opción: Disimular
Introducción• Ejemplos de incidentes             que     pueden      afectar   la  continuidad del negocio:  –   Percepció...
Introducción• Evento Internacional Adverso• El 31 de diciembre de 1986 ocurrió un incendio en el hotel  Dupont Plaza en Sa...
Introducción• Eventos que en ocasiones no son consideradas,  causadas por:  –   Un proveedor  –   Un prueba / ejercicio  –...
Introducción• Proveedores• En 1993 Play-Doh Co inhabilitó a 80 empleados debido a que  uno de sus proveedores en Illinois ...
Introducción• Pruebas / ejercicios mal ejecutados• En 1992 el Federal Reserve Bank de San Francisco realizó una  prueba de...
Introducción• Pruebas / ejercicios mal ejecutados• En 1996 cinco hombres “enmascarados” ingresaron a la sala  de emergenci...
Introducción – Evolución•   Plan de Contingencias (CP)•   Plan de Recuperación de Desastres (DRP)•   Plan de Continuidad d...
Introducción – Retos• No contar con una estrategia de continuidad•   Falta de apoyo de la dirección•   Inexistencia de aná...
Introducción
IntroducciónFuente: http://www.fema.gov/privatesector/preparedness/adoption_standards.shtm
Introducción
Introducción
IntroducciónBuenas prácticas BCM                       PAS56                                                 BS25999-1    ...
IntroducciónGestión de Continuidad el Negocio             (BCM)               VsSistema de Gestión de Continuidad       de...
Introducción - Definiciones• BCM  Proceso de gestión holístico que identifica amenazas      potenciales a la organización ...
Introducción - Definiciones• BCMS La parte del Sistema de Gestión general que   establece, implementa, opera, monitorea,  ...
Introducción – BS25999PARTE 1         PARTE 2
Elementos que componen el SGCN                                       Parte 2   Parte 1                         Requisitos ...
Elementos que componen el SGCN• Parte 1 – Ciclo de Vida de BCM• Parte 2 – BCMS basado en modelo P-D-C-A      Planear – Hac...
Elementos que componen el SGCN   Ciclo de         BCMS Vida de BCM
Elementos del Ciclo de Vida de BCM
Elementos del BCMS
Requerimientos de documentación de            BS 25999-2•   Alcance, objetivos y procedimientos•   Política de GCN•   Prov...
Requerimientos de documentación de            BS 25999-2•   Plan(es) de continuidad del negocio•   Plan(es) de gestión de ...
Requerimientos de documentación de            BS 25999-2 ¿Y el manual del SGCN?
Elementos de IRBC
Definición• IRBC – ICT Readiness for Business Continuity  (ICT – Information and Comunication Technology) Capacidad de una...
Elementos de IRBC
Elementos de PCMS
Gestión de Incidentes y el SGCN• Plan de Gestión de IncidentesPlan de acción claramente definido y documentado    para ser...
Gestión de Incidentes y el SGCNRPO                               t0 t1   t2         t3  RTO                             t...
Similitudes y diferencias entre          BS 25999-2 e ISO22301BS 25999-2                         ISO DIS 223011 - Alcance ...
Similitudes y diferencias entre          BS 25999-2 e ISO22301                 BS 25999-2                         ISO DIS ...
Similitudes y diferencias entre              BS 25999-2 e ISO22301                 BS 25999-2                             ...
Similitudes y diferencias entre                 BS 25999-2 e ISO22301              BS 25999-2                           IS...
BS 25999-2                           ISO DIS 22301Cláusula Descripción                    Cláusula                   Descr...
BS 25999-2                           ISO DIS 22301Cláusula Descripción                    Cláusula                   Descr...
Similitudes y diferencias entre               BS 25999-2 e ISO22301              BS 25999-2                          ISO D...
Similitudes y diferencias entre            BS 25999-2 e ISO22301                  BS 25999-2                              ...
Estatus de ISO 22301Fuente: www.iso.org
Estatus de ISO 22301Fuente: www.iso.org
Factores críticos de éxito•   Asegurar el apoyo de la dirección•   BCM requiere recursos permanentes (   $)•   Roles y ...
Conclusiones
Preguntas y respuestas                         ¡Gracias!Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA
Upcoming SlideShare
Loading in …5
×

Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con BS25999 e ISO22301

3,386 views

Published on

Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,386
On SlideShare
0
From Embeds
0
Number of Embeds
1,157
Actions
Shares
0
Downloads
184
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con BS25999 e ISO22301

  1. 1. Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO 22301 October 2011 Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
  2. 2. Agenda• Introducción• Elementos que componen el SGCN• Gestión de incidentes en el SGCN• Similitudes y diferencias entre BS 25999-2 e ISO/DIS 22301• Factores críticos de éxito• Conclusiones
  3. 3. Nota• Al cierre de la preparación de esta presentación, el estándar ISO 22301 no ha sido publicado en su versión final, por lo que la información contenida en esta presentación se refiere al documento ISO/DIS 22301.• La publicación de ISO 22301 en su versión final pudiera incluir cambios relevantes no incluídos en esta presentación.
  4. 4. Introducción
  5. 5. Introducción St Vincent and The Grenadines Antigua and Barbuda Trinidad and Tobago Northern Mariana Is Netherlands Antilles Turks and Caicos Is St Kitts and Nevis Cayman Islands Dominican Rep French Guiana Virgin Is (UK) Virgin Is (US) Guadeloupe Montserrat Puerto Rico Martinique El Salvador Guatemala Venezuela Costa Rica Nicaragua Argentina Honduras Suriname Colombia Barbados Dominica Paraguay Bermuda Bahamas Uruguay Grenada Ecuador Panama Anguilla Jamaica Guyana St Lucia Mexico Bolivia Belize Brazil Cuba Total Chile Peru HaitiDesastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2Sequía 1 1 2 0 1 0 0 10 16 0 2 1 3 6 0 1 3 5 0 1 0 4 3 7 9 3 0 6 0 0 4 0 1 6 8 1 0 1 0 0 1 0 1 1 0 0 109Terremoto (Actividad sísmica) 0 0 5 0 1 0 0 3 2 0 28 23 13 2 1 2 16 10 0 0 1 12 0 2 5 1 1 28 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 219Epidemia 5 0 2 0 0 0 0 12 16 0 1 2 1 2 0 6 11 9 0 0 1 7 0 3 8 5 1 3 0 0 11 0 5 8 12 0 0 0 0 0 0 0 0 7 0 0 138Temperatura extrema 0 0 8 0 0 1 0 4 8 0 6 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 3 8 0 0 0 0 0 0 0 4 0 0 0 61Inundación 1 0 46 1 2 4 0 35 110 0 26 65 25 21 0 20 27 14 1 1 1 19 6 44 28 13 0 57 0 0 16 0 31 15 40 6 1 1 5 3 2 0 12 25 0 0 724Accidente industrial 0 0 3 0 0 0 0 3 13 0 3 13 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 35 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 101Infestación por insectos 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3Movimiento de masas secas 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 10Movimiento de masas humedas 0 0 3 0 0 0 0 6 23 0 4 38 1 0 0 0 11 2 0 0 0 7 1 2 1 1 0 12 0 0 1 0 0 0 31 2 0 1 0 0 1 0 0 4 0 0 152Accidentes miscelaneos 0 0 6 0 1 1 0 0 23 0 6 10 2 1 0 2 4 4 0 1 0 5 4 13 5 1 0 15 0 0 2 0 6 1 10 2 0 0 0 0 2 0 1 7 0 0 135Tormenta 6 11 17 20 7 14 6 2 17 7 13 7 9 38 12 26 0 14 0 6 12 11 0 35 21 28 13 79 4 4 20 1 4 4 3 16 8 14 9 0 7 6 6 4 2 6 549Accidente de transporte 1 0 23 3 0 1 2 31 103 0 12 50 2 21 1 12 23 6 0 0 2 26 0 30 9 1 0 78 0 1 3 0 8 2 116 7 0 0 0 3 0 2 5 30 0 0 614Actividad volcánica 0 0 2 0 0 0 0 0 0 0 7 11 6 0 0 0 11 1 0 0 1 12 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 77Incendios forestales 0 0 5 0 0 0 0 4 3 0 7 3 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 43Total 14 12 122 24 12 21 8 110 335 7 115 227 65 95 14 72 114 68 1 9 18 110 15 137 90 56 16 342 8 5 77 1 61 40 277 37 9 18 17 6 16 8 29 91 2 6Source: "EM-DAT: The OFDA/CRED International Disaster Databasewww.emdat.be - Université Catholique de Louvain - Brussels - Belgium"
  6. 6. Introducción Trinidad and Tobago Dominican Rep Puerto Rico El Salvador Guatemala Venezuela Costa Rica Nicaragua Argentina Honduras Colombia Paraguay Uruguay Ecuador Panama Jamaica Mexico Bolivia Belize Brazil Cuba Chile Peru HaitiDesastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0Sequía 2 0 10 16 2 1 3 6 1 3 5 4 7 9 3 6 4 1 6 8 1 1 1 1Terremoto (Actividad sísmica) 5 0 3 2 28 23 13 2 2 16 10 12 2 5 1 28 9 4 0 39 1 1 0 8Epidemia 2 0 12 16 1 2 1 2 6 11 9 7 3 8 5 3 11 5 8 12 0 0 0 7Temperatura extrema 8 1 4 8 6 0 0 0 0 0 1 2 0 0 0 16 0 0 3 8 0 0 4 0Inundación 46 4 35 110 26 65 25 21 20 27 14 19 44 28 13 57 16 31 15 40 6 2 12 25Accidente industrial 3 0 3 13 3 13 1 2 0 5 2 1 1 2 2 35 2 0 0 4 2 1 0 5Infestación por insectos 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0Movimiento de masas secas 0 0 0 0 0 3 0 0 0 1 0 2 0 1 1 0 0 0 0 2 0 0 0 0Movimiento de masas humedas 3 0 6 23 4 38 1 0 0 11 2 7 2 1 1 12 1 0 0 31 2 1 0 4Accidentes miscelaneos 6 1 0 23 6 10 2 1 2 4 4 5 13 5 1 15 2 6 1 10 2 2 1 7Tormenta 17 14 2 17 13 7 9 38 26 0 14 11 35 21 28 79 20 4 4 3 16 7 6 4Accidente de transporte 23 1 31 103 12 50 2 21 12 23 6 26 30 9 1 78 3 8 2 116 7 0 5 30Actividad volcánica 2 0 0 0 7 11 6 0 0 11 1 12 0 0 0 10 5 0 0 2 0 1 0 0Incendios forestales 5 0 4 3 7 3 2 2 3 2 0 2 0 1 0 3 3 1 1 1 0 0 0 0Total 122 21 110 335 115 227 65 95 72 114 68 110 137 90 56 342 77 61 40 277 37 16 29 91 Source: "EM-DAT: The OFDA/CRED International Disaster Database www.emdat.be - Université Catholique de Louvain - Brussels - Belgium"
  7. 7. IntroducciónOpciones de Tratamiento de Riesgos Aceptar / Retener Transferir / Compartir Terminar / Evitar Reducir* / Mitigar
  8. 8. IntroducciónOpciones de Tratamiento de Riesgos (Reducir*) Reducir la posibilidad Reducir el tiempo de interrupciónReducir el impacto de una interrupción
  9. 9. IntroducciónNo es opción: Amplificar
  10. 10. IntroducciónNo es opción: Simular
  11. 11. IntroducciónNo es opción: Desatender
  12. 12. IntroducciónNo es opción: Ignorar
  13. 13. IntroducciónNo es opción: Confiar
  14. 14. IntroducciónNo es opción: Aparentar
  15. 15. IntroducciónNo es opción: Disimular
  16. 16. Introducción• Ejemplos de incidentes que pueden afectar la continuidad del negocio: – Percepción negativa del público hacia la organización – Problema con productos y servicios – Problema financiero – Problema de relaciones con empleados – Evento internacional adverso – Violencia en el lugar de trabajo – Pérdida de personal – Desastre natural
  17. 17. Introducción• Evento Internacional Adverso• El 31 de diciembre de 1986 ocurrió un incendio en el hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados. El fuego fue iniciado por un empleado inconforme. 2,300 demandantes. Drexel Heritage Furnishing fue encontrada “no responsable” por el jurado en 1989.
  18. 18. Introducción• Eventos que en ocasiones no son consideradas, causadas por: – Un proveedor – Un prueba / ejercicio – Acciones de los empleados – Acciones del departamento de Recursos Humanos – Acciones de los medios – Situación de espionaje industrial – Muerte precipitada de funcionarios
  19. 19. Introducción• Proveedores• En 1993 Play-Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer harina que se utiliza para la fabricación de masa para modelar. El proveedor fue afectado por la “gran inundación del ’93”. Los trabajadores fueron llamados cuando se encontró un nuevo proveedor.
  20. 20. Introducción• Pruebas / ejercicios mal ejecutados• En 1992 el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres. Como resultado de las actividades realizadas durante la prueba, un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona. 15 instituciones bancarias fueron afectadas. El banco atribuye el hecho a un error humano.
  21. 21. Introducción• Pruebas / ejercicios mal ejecutados• En 1996 cinco hombres “enmascarados” ingresaron a la sala de emergencia del Memorial Hospital en Martinsville, Virginia, apuntando sus armas al personal y demandando medicamentos. La prueba fue preparada por el staff de seguridad del hospital. “No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya…” Abogado representante de 3 enfermeras.
  22. 22. Introducción – Evolución• Plan de Contingencias (CP)• Plan de Recuperación de Desastres (DRP)• Plan de Continuidad de las Operaciones (COOP)• Plan de Continuidad del Negocio (BCP)• Plan de Reanudación del Negocio (BRP)• Gestión de la Continuidad del Negocio (BCM)• Programa de Gestión de la Continuidad del Negocio (BCMP)• Sistema de Gestión de Continuidad del Negocio (BCMS)• Sistema de Gestión de Preparación y Continuidad (PCMS) ?
  23. 23. Introducción – Retos• No contar con una estrategia de continuidad• Falta de apoyo de la dirección• Inexistencia de análisis de riesgos y de impacto al negocio• Falta de integración entre planes• Complejidad Tecnológica• Planes no actualizados• No se realizan pruebas, auditoría, revisiones gerenciales• Planes demasiado generales o demasiado específicos
  24. 24. Introducción
  25. 25. IntroducciónFuente: http://www.fema.gov/privatesector/preparedness/adoption_standards.shtm
  26. 26. Introducción
  27. 27. Introducción
  28. 28. IntroducciónBuenas prácticas BCM PAS56 BS25999-1 BCMS BS25999-2 Sistema de Gestión de Continuidad del Negocio
  29. 29. IntroducciónGestión de Continuidad el Negocio (BCM) VsSistema de Gestión de Continuidad del Negocio (BCMS)
  30. 30. Introducción - Definiciones• BCM Proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación del negocio que esas amenazas, en caso realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación, marca y actividades que crean valor. BS 25999-2:2007
  31. 31. Introducción - Definiciones• BCMS La parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio. BS 25999-2:2007
  32. 32. Introducción – BS25999PARTE 1 PARTE 2
  33. 33. Elementos que componen el SGCN Parte 2 Parte 1 Requisitos de Prácticas no Sistemas de auditables Requisitos Comunes Gestión (sugerencias, (auditoría, accióncomentarios, guías, correctiva y etc) preventiva, etc)
  34. 34. Elementos que componen el SGCN• Parte 1 – Ciclo de Vida de BCM• Parte 2 – BCMS basado en modelo P-D-C-A Planear – Hacer – Verificar - Actuar
  35. 35. Elementos que componen el SGCN Ciclo de BCMS Vida de BCM
  36. 36. Elementos del Ciclo de Vida de BCM
  37. 37. Elementos del BCMS
  38. 38. Requerimientos de documentación de BS 25999-2• Alcance, objetivos y procedimientos• Política de GCN• Provisión de recursos• Competencia del personal de GCN• Análisis de Impacto al Negocio• Evaluación de riesgos• Estrategia de Continuidad del Negocio• Estructura de respuesta a incidentes
  39. 39. Requerimientos de documentación de BS 25999-2• Plan(es) de continuidad del negocio• Plan(es) de gestión de incidentes• Ejercicio de GCN• Mantenimiento y revisión de arreglos de GCN• Auditoría interna• Revisión de la gerencia del SGCN• Acciones correctivas y preventivas• Mejora continua
  40. 40. Requerimientos de documentación de BS 25999-2 ¿Y el manual del SGCN?
  41. 41. Elementos de IRBC
  42. 42. Definición• IRBC – ICT Readiness for Business Continuity (ICT – Information and Comunication Technology) Capacidad de una organización para soportar sus operaciones a través de la prevención, detección y respuesta a la interrupción y recuperación de servicios de ICT. ISO 27031:2011
  43. 43. Elementos de IRBC
  44. 44. Elementos de PCMS
  45. 45. Gestión de Incidentes y el SGCN• Plan de Gestión de IncidentesPlan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos, servicios y acciones necesarias para implementar el proceso de gestión de incidentes. BS 25999-2:2007
  46. 46. Gestión de Incidentes y el SGCNRPO t0 t1 t2 t3  RTO t4 t5 MTPoD Nivel de operación normal Nivel de operación normal Nivel de operación en crisis Operación normal Recuperación Operación en continuidad Operación normal Plan de Gestión de Incidentes Plan de Continuidad del Negocio Regreso Nota: Esta información no es un requisito de BS25999
  47. 47. Similitudes y diferencias entre BS 25999-2 e ISO22301BS 25999-2 ISO DIS 223011 - Alcance 1 - Alcance2 - Términos y definiciones 2 - Referencias normativas3 - Planear el SGCN 3 - Términos y definiciones4 - Implementar y operar el SGCN 4 - Requerimientos generales5 - Monitorear y revisar el SGCN 5 - Liderazgo6 - Mantener y mejorar el SGCN 6 - Planeación 7 - Soporte 8 - Operación 9 - Evaluación del desempeño 10 - Mejora
  48. 48. Similitudes y diferencias entre BS 25999-2 e ISO22301 BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción Introducción Introducción 1 Alcance 1 Alcance 2 Referencias normativas 2 Términos y definiciones 3 Términos y definiciones
  49. 49. Similitudes y diferencias entre BS 25999-2 e ISO22301 BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 3 Planeación del SGCN 6 Planeación 3.1 General 3.2 Establecer y gestionar el SGCN 3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos Acciones para atender problemas y 6.2 preocupaciones 4 Requerimientos generales Entendimiento de la organización y su 4.1 contexto3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcance3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos 3.2.2 Política de GCN 5.3 Política
  50. 50. Similitudes y diferencias entre BS 25999-2 e ISO22301 BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 3.2.3 Provisión de recursos 7.1 Recursos 3.2.3.1 Recursos generales Roles, responsabilidades, Roles, responsabilidades y 5.4 3.2.3.2 competencias y autoridades autoridades organizacionales de GCN 7.2 Competencia Roles, responsabilidades y 5.43.2.3.3 Designación del responsable autoridades organizacionales 7.2 Competencia Integrar GCN en la cultura de 3.3 7.3 Concientización la organización 7.5 Información documentada 7.5.1 General Documentación y registros del 3.4 7.5.2 Crear y actualizar SGCN Control de información 7.5.3 documentada
  51. 51. BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 8 Operación 8.1 General 4 Implementar y operar el SGCN Planeación y control 8.2 operacional 4.1 Entender a la organización 8.3 Preparación 8.4 Planeación Análisis de Impacto al Negocio 8.4.3 y Evaluación de Riesgos 4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio 4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos Opciones de continuidad del 8.4.4 negocio Determinación y selección de 8.4.4.1 4.1.3 Determinar opciones opciones 8.4.4.3 Protección y mitigación Determinar estrategia de Establecer requerimientos de 4.2 8.4.4.2 continuidad del negocio recursos
  52. 52. BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 7.4 Comunicación Desarrollar e implementar la 7.4.1 Comunicación externa 4.3 GCN 7.4.2 Comunicación interna 8.5 Ejecución Desarrollar e implementar una 4.3.1 General 8.5.1 respuesta de continuidad del negocio 8.5.2 Estructura de respuesta 8.5.3 Alerta y comunicación 8.5.4 Respuesta Estructura de respuesta a Planes de continuidad el 8.5.5 incidentes negocio 4.3.2 Planes de continuidad del Requerimientos de 4.3.3 8.5.6 negocio y gestión de procedimientos de respuesta incidentes Contenido del procedimiento 8.5.7 de respuesta 8.5.8 Recuperación 8.5.9 Comunicación y consulta Ejercitar. Mantener y revisar 4.4 8.6.1 Ejercicios y pruebas los arreglos de BCM
  53. 53. Similitudes y diferencias entre BS 25999-2 e ISO22301 BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 9 Evaluación del desempeño 8.7 Revisión 8.6.2 Monitoreo del desempeño 5 Monitorear y revisar el SGCN Evaluación de procedimientos 8.7.2 de continuidad 9.1 Evaluación del desempeño 5.1 Auditoría interna 9.2 Auditoría interna Revisión de la gerencia del 8.7.1 Revisión de la gerencia 5.2 SGCN 9.3 Revisión de la gerencia
  54. 54. Similitudes y diferencias entre BS 25999-2 e ISO22301 BS 25999-2 ISO DIS 22301Cláusula Descripción Cláusula Descripción 6 Mantener y mejorar el SGCN 10 Mejora 6.1 Acciones preventivas y correctivas 6.1.1 General 6.1.2 Acción preventiva 6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva 6.2 Mejora continua 10.2 Mejora continua
  55. 55. Estatus de ISO 22301Fuente: www.iso.org
  56. 56. Estatus de ISO 22301Fuente: www.iso.org
  57. 57. Factores críticos de éxito• Asegurar el apoyo de la dirección• BCM requiere recursos permanentes (   $)• Roles y responsabilidades claramente establecidos• Programa de concientización adecuado• Documentación suficientemente detallada• Programa de ejercicios y pruebas• Promover la participación de toda la organización• Procedimiento de control de cambios efectivo• Auditoría, revisión de la gerencia y mejora continua
  58. 58. Conclusiones
  59. 59. Preguntas y respuestas ¡Gracias!Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA

×