Este documento describe los principales aspectos de un sistema de gestión de continuidad del negocio (BCMS) de acuerdo con la norma ISO 22301. Explica que un BCMS permite a las organizaciones anticiparse a eventos no deseados y mantener las operaciones del negocio ante cualquier interrupción. Detalla los pasos del ciclo de vida de un BCMS, incluyendo la comprensión de la organización, el desarrollo e implementación de planes de respuesta, y las pruebas y revisiones continuas. También resalta los beneficios de ISO 22301 como la
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
1. Maestría en Auditoria y Seguridad
de Sistemas de Información
CURCE UASD
GRUPO 4:
Melvin Brian Jáquez
Verenice Javier
Emmanuel Ynoa
ISO 22301
Facilitador: Ing. Franklin Cruz
2. Escenario de situación
Cada día nuestra economía se está volviendo más compleja e
interdependiente.
Los incidentes que ocurren en nuestro negocio o entorno
pueden frenar o incluso paralizar nuestra actividad, impactando
directamente en nuestros clientes y en los procesos críticos del
negocio.
Esto es especialmente cierto en sectores como: TIC,
administración pública, financiero e industrial.
Es esencial anticiparse a los eventos no deseados y diseñar e
implantar planes de contingencia efectivos para mantener la
actividad de su negocio sin importar qué pueda ocurrir.
6. Sistema de Gestión de la Continuidad del Negocio:
Una parte integral de su Estrategia de Gestión de Riesgos
Un Sistema de Gestión de la Continuidad del Negocio (BCMS, en inglés) le permite
revisar constantemente los riesgos de su negocio y el conocer el grado real de
preparación para responder ante situaciones imprevistas, ayudándole a
minimizar el impacto en el negocio de las posibles interrupciones:
Construyendo una cadena de suministro más resistente y fiable.
Preservando y mejorando su imagen corporativa.
Reduciendo los costes globales.
Asegurando la gobernanza corporativa y cumplimiento con los requerimientos aplicables.
Creando un clima de confianza con los empleados, proveedores, partes interesadas y
clientes.
7. ISO 22301 - Continuidad del Negocio
ISO 22301 identifica los fundamentos de un sistema de gestión de la
continuidad estableciendo el proceso, los principios y la terminología de la
gestión de la continuidad del negocio.
La norma proporciona a las organizaciones un marco para garantizar que
puedan seguir operando durante las circunstancias más difíciles e
inesperadas protegiendo a su personal, preservando su reputación y
ofreciendo la capacidad de seguir operando.
ISO 22301 le ayudará a:
Establecer, implementar, mantener y mejorar sus BCMS,
Cumplir con los requisitos de su política de continuidad de negocio,
Dar confianza a las partes interesadas clave respecto de la conformidad y
su compromiso con las mejores prácticas reconocidas internacionalmente
11. Ciclo de vida de un BCM,
principales etapas:
• Comprender la organización
• Definir la estrategia BCM
• Desarrollar e implantar una
respuesta BCM
• Probar, mantener y revisar
12. Mejores Prácticas
El comité directivo revisa anualmente el programa
La alta gerencia es responsable del BCM
La función de BCM abarca todos los aspectos de la empresa
BCM es un proceso continuo y de administración de riesgo, para asegurarse
que negocio continúe operando aun en caso de que el riesgo se materialice.
Política comprensible de respaldo de registros vitales.
Existencia de estrategias de recuperación basadas en prioridades, momento e
impacto en la empresa (BIA)
Existencia de un programa de concientización, capacitación, pruebas y
ejercicios
El plan de continuidad debe estar actualizado y disponible
Un programa de continuidad de negocios NO es un proyecto, NO es una tarea
de una sola vez, NO es por un periodo fijo de tiempo. Debe ser un programa
permanente, vivo, consistente en varios proyectos interdependientes y
reiterativos.
14. Practicas Profesionales - DRI (Disarter
Recovery Institute International)
1. Inicio y Administración del Proyecto
2. Evaluación y Control de Riesgos
3. Análisis de Impacto al Negocio (BIA)
4. Selección y Desarrollo de Estrategias de Continuidad
5. Respuesta y Operaciones de Emergencia
6. Desarrollo e Implementación Planes de Continuidad
7. Programas de Concientización y Entrenamiento
8. Prueba, Ejercitación y Mantenimiento de los Planes
de Continuidad
9. Comunicación de Crisis
10.Coordinación con Autoridades Públicas
15. Planificación del Proyecto
Establecer la necesidad de la continuidad del
negocio.
Comunicar la necesidad de un BCP.
Comprometer la Alta Gerencia en los procesos de
BCP.
Establecer el Comité de Proyecto.
Identificar y ejecutar los requerimientos
presupuestales.
Identificar los equipos de planificación y sus
responsabilidades
Desarrollar y coordinar las actividades de
implementación del BCP.
Dar respuesta a los requerimientos de la Gerencia
y de documentación de los procesos de BCP.
Reportar y obtener aprobación del avance del
proyecto.
16. Evaluación de Riesgos
Objetivos
• Entender las pérdidas potenciales
• Identificar la exposición de la organización a pérdidas
potenciales
• Identificar controles y medidas para prevenir o mitigar
el efecto de las pérdidas potenciales
- Protección física
- Protección lógica
- Localización de activos
• Evaluar, seleccionar y utilizar apropiadas
metodologías y herramientas de análisis de riesgos
• Identificar e implementar las actividades de
recolección de información
• Evaluar la efectividad de los controles y medidas
• Evaluación de riesgos y controles
- Escenarios de riesgo
• Seguridad
• Administración de registros vitales
17. Análisis de Impacto al Negocio
Consiste en realizar una evaluación de los procesos
y sistemas del negocio, con el objetivo de
identificar:
– Áreas, funciones y/o procesos sensibles a
interrupciones
– Interdependencia entre procesos internos y
externos
– Impactos financieros de las interrupciones
– Impactos Operacionales de las interrupciones
– Sistemas de información críticos para la operación
– Tiempos objetivo de recuperación (RTO)
– Puntos Objetivo de recuperación (RPO)
– Clientes y proveedores críticos de la organización
– Recursos necesarios para la recuperación de
operaciones
– Épocas críticas para la operación del negocio
18. Desarrollo de Estrategias de
Continuidad
1. Se desarrollan alternativas de estrategias
para:
• Refinar los requerimientos mínimos para la
recuperación.
• Incluyendo consideraciones para:
– RTO’s
– Capacidad del Sitio de Recuperación
– Requerimientos de comunicaciones (voz y
datos)
– Viabilidad de recuperación de acuerdo al
planteo del peor escenario
– Requerimientos de áreas de trabajo
(espacio, equipos, insumos, archivos
vitales, etc.)
– Requerimientos de recursos humanos
– Situación geográfica y de transporte.
19. Cont. Desarrollo de Estrategias de
Continuidad
2. Identificar las alternativas viables para la recuperación:
• Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite,
etc.)
• Recuperación interna
• Acuerdos recíprocos
• Procedimientos manuales
• Respuesta de reducción de servicios
• Suspensión de servicios
• Combinación de estrategias.
3. Seleccionar una estrategia de recuperación eficiente.
20. Desarrollo de Planes de
Continuidad
–Identifique requerimientos para el desarrollo de los planes
– Definir requerimientos de control y administración de la
continuidad
– Identifique y defina un formato y la estructura principal de los
componentes de los planes
– Elabore un borrador de los planes
– Defina procedimientos de manejo de crisis y continuidad del
negocio
– Defina las estrategias de evaluación de daños y reanudación
– Desarrolle una introducción general a los planes
– Desarrolle la documentación de los equipos de operación del
negocio
– Desarrolle la documentación de los equipos de recuperación
de tecnología informática
– Desarrolle el sistema de comunicaciones
– Desarrolle los planes de los usuarios finales de aplicaciones
– Implemente los planes
– Establezca los procedimientos de control y distribución de los
planes
Diseñar, desarrollar e implementar planes de continuidad del negocio para proveer
continuidad en los marcos establecidos por los RTO’S y RPO’S.
21. Ejercicios y Mantenimiento de los
Planes
– Establecer un programa de ejercicios (pruebas)
– Determinar requerimientos de los ejercicios
– Definir escenarios de desastre
– Establecer criterios de evaluación y documentar los
hallazgos
– Crear un cronograma de ejercicios
– Crear un plan de control y reporte de los ejercicios
– Facilitar la realización de los ejercicios
– Reporte post-ejercicios
– Retroalimentar y monitorear los resultados de los
ejercicios
– Definir un cronograma de mantenimiento de los planes
– Formular los procedimientos de control de cambios
– Establecer procedimientos para informar el estado de los
planes
– Objetivos de auditoria
Planificar y coordinar el plan de ejercicios y evaluar y documentar los
resultados de los mismos.
22. Concientización y Capacitación
Preparar un programa para crear y mantener
conciencia corporativa y ampliar las habilidades
requeridas para desarrollar e implementar el
programa de Administración de la continuidad
del negocio y sus procesos de soporte.
– Definir objetivos de concientización y
entrenamiento
– Desarrollar e implementar varios tipos de
programas de entrenamiento
– Desarrollar programas de concientización
– Identificar otras oportunidades de educación
23. Beneficios ISO 22301
Los principales beneficios para la empresa cuando implantamos
un SGCN eficaz, se pueden resumir en:
Preservar los intereses de los accionistas.
Mejorar el resultado operacional de la empresa:
Reducción de Riesgos, se traduce en una reducción de costes.
reducción del tiempos de inactividad.
mejora en la competitividad
Mayor eficacia operativa: Reingeniería de negocios
Protección de los bienes materiales y el “Know How” del negocio
Mejora en el cumplimiento de las legislaciones de Seguridad y
Salud.
Mejora de la Seguridad Global.
Evita las acciones derivadas de la responsabilidad empresarial.
24. ¿Porqué un plan de continuidad del
Negocio?
La Norma ISO
22301 es una
respuesta a los
imprevistos que
pueden ocurrir en
cualquier momento
y poner en jaque la
continuidad de
cualquier
organización
25. Los planes de recuperación del negocio deben
revisarse y probarse con frecuencia para:
Incluir y considerar todos los tipos de amenazas
posibles a través del análisis de riesgo
Analizar las interdependencias de nuestros
procesos
Incluir los factores clave: Telecomunicaciones,
infraestructuras etc.
Involucrar a toda la empresa teniendo en cuenta
la importancia del apoyo de todos los empleados
26. ¿Por qué se ha desarrollado una
normativa internacional?
Después de los
acontecimientos traumáticos
sufridos por empresas a
nivel global en las últimas
décadas, se ha impulsado
por parte de todas las
organizaciones el desarrollo
de una normativa coherente
a nivel mundial para
promover la toma de
conciencia ante la necesidad
de estar preparados para
superar el posible impacto
de incidentes que puedan
interrumpir la actividad de
una organización.
28. Compatibilidad con otros sistemas
de gestión
ISO 22301 está alineada con ISO 27001, ISO
9001 e ISO 20000 con el objeto de facilitar la
consistencia necesaria y permitir la sinergia en la
implantación y operación del sistema de gestión.
Esta norma ha sido diseñada para permitir a las
organizaciones alinear e intregrar su Sistema de
Gestión de la Continuidad del Negocio (BCMS) con
los requisitos de los sistemas de gestión
relacionados.