Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Plan de Continuidad de Negocio - Parte 2 de 2

438 views

Published on

Segunda de 2 presentaciones Plan de Continuidad de Negocio.

En esta primera presentación se desarrollan todos estos temas:
1. ISO 22301:2012
2. Sistemas de Gestión de la Continuidad del Negocio (SGCN)
3. Ejemplos de Planes de Continuidad de Negocio

Published in: Business
  • Be the first to comment

Plan de Continuidad de Negocio - Parte 2 de 2

  1. 1. 1 ramirocid.com Ramiro Cid | @ramirocid Plan de Continuidad de Negocio Segunda parte
  2. 2. 2 ramirocid.com Video: Importancia de tener un BCP 2 https://www.youtube.com/watch?v=o_AE_fKrVoM
  3. 3. 3 ramirocid.com 3 Índice 6. ISO 22301:2012 Slide 4 7. Sistemas de Gestión de la Continuidad del Negocio (SGCN) Slide 50 8. Ejemplos de Planes de Continuidad de Negocio Slide 68
  4. 4. 4 ramirocid.com 6. ISO 22301:2012
  5. 5. 5 ramirocid.com Historia: Normativas para la creación de los Planes de Continuidad de Negocio Hito importante Hito importante (*) The Business Continuity Institute (*)
  6. 6. 6 ramirocid.com Historia: Normativas para la creación de los Planes de Continuidad de Negocio: BS 25999 Durante el año 2007 se presentó la primera normativa de carácter internacional en la que se indica que aspectos deben tenerse en consideración a la hora de la creación e implantación de un Plan de Continuidad de Negocio (PCN) en una organización. Esta normativa se denominó BS 25999.  Ha sido la primera norma con carácter internacional (5 años más tarde, en 2012 se creó a partir de esta la ISO IEC 22301:2012) que aporta unas buenas prácticas para la gestión de la continuidad del negocio.  Se elaboró la segunda parte de esta norma (la BS25999-2) con el objetivo de poder certificar el PCN.  La BS25999 determinó como debían gestionarse de la forma correcta los planes de continuidad de negocio con el objetivo de que se integren en las organizaciones.
  7. 7. 7 ramirocid.com Este estándar describe las diferentes fases que tienen que establecerse para la creación y gestión continua de un plan de continuidad de negocio. Programa de Gestión del PCN Comprensiónde la Organización Determinaciónde la estrategia del PCN Desarrollo e implementación del PCN Prueba, mantenimientoy revisióndelPCN Historia: Normativas para la creación de los Planes de Continuidad de Negocio: BS 25999
  8. 8. 8 ramirocid.com 8 La ISO 22301:2012 ha reemplazado a la BS 25999-2. Estos 2 estándares son bastante similares, pero la norma ISO 22301:2012 se puede considerar como una actualización de la BS 25999-2. ISO 22301 BS 25999-2 Nombre completo ISO 22301:2012 Societal security - Business continuity management systems - Requirements BS 25999-2 Business Continuity Management - Part 2: Specification Publicado por International Organization for Standardization British Standards Institution Fecha de publicación 15/05/2012 20/11/2007 Requerimientos 106 56 Reconocimiento internacional Internacionalmente aceptado por institutos de estándares en 163 países. Aceptada solo en el Reino Unido, pero implementada en todo el mundo. Diferencias entre ISO 22301:2012 y BS 25999-2
  9. 9. 9 ramirocid.com 9 ISO 22301:2012 no es tan diferente de BS 25999-2 en la mayoría de las áreas de continuidad del negocio, como análisis, estrategia o planificación de impacto empresarial; los cambios más importantes están en la parte de gestión del estándar. ISO 22301:2012 pone mucho más énfasis en comprender los requisitos (posee casi el doble), establecer objetivos y medir el desempeño (KPI’s, KRI’s, KGI’s). Por lo tanto, es aceptado más fácilmente por la alta dirección, lo que a su vez contribuye a la adopción generalizada de esta norma como ISO 27001, ISO 9001 o ISO 14001. Diferencias entre ISO 22301:2012 y BS 25999-2
  10. 10. 10 ramirocid.com 10 “ISO 22301 Societal security - Business continuity management systems - Requirements” Este estándar fue creado por expertos líderes en esta área para proporcionar el mejor marco para la gestión de la continuidad del negocio en una organización. Objeto: ISO 22301:2012 especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar, mantener y mejorar continuamente un sistema de gestión documentado para proteger la organización ante las contingencias, trabajando en los pasos necesarios en la preparación de la misma para responder y recuperarse de los incidentes perjudiciales cuando surgen procurando reducir el impacto (intensidad y temporalidad). ISO 22301:2012: Introducción
  11. 11. 11 ramirocid.com 11 Alcance: Los requisitos especificados en ISO 22301:2012 son genéricos y están destinados a ser aplicables a todas las organizaciones, o partes de las mismas, independientemente del tipo, tamaño y naturaleza de la organización. El grado de aplicación de estos requisitos depende del entorno operativo y la complejidad de la organización. ¿Quién puede implementar este estándar? Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. El estándar está concebido de tal manera que es aplicable a cualquier tamaño o tipo de organización. ISO 22301:2012: Introducción
  12. 12. 12 ramirocid.com 12 Aplicabilidad de la ISO 22301:2012: Este estándar internacional es aplicable a todos los tipos y tamaños de organizaciones que desean: a) Establecer, implementar, mantener y mejorar un SGCN. b) Asegurar la conformidad con la política de continuidad del negocio establecida. c) Demostrar conformidad con otros. d) Solicitar la certificación / registro de su SGCN por parte de un organismo de certificación acreditado. e) Hacer una autodeterminación y auto declaración de conformidad con esta norma internacional. Este estándar internacional se puede usar para evaluar la capacidad de una organización para cumplir con sus propias necesidades y obligaciones de continuidad. ISO 22301:2012: Aplicabilidad en las organizaciones
  13. 13. 13 ramirocid.com 13  Recovery Time Objective (RTO): El tiempo predeterminado en el que debe reanudarse una actividad, o en la que los recursos deben ser recuperados.  Recovery Point Objective (RPO): Pérdida máxima de datos, es decir, cantidad mínima de datos que deben restaurarse.  Maximum Tolerable Period of Disruption (MTPD): La cantidad máxima de tiempo que se puede interrumpir una actividad sin incurrir en daños inaceptables (también conocido como Maximum Acceptable Outage - MAO). ISO 22301:2012 - Términos básicos utilizados
  14. 14. 14 ramirocid.com 14  Business Continuity Management System (BCMS): El SGCN parte de un sistema de gestión general que cuida la continuidad del negocio, se planifica, implementa, mantiene y mejora continuamente.  Minimum Business Continuity Objective (MBCO): El nivel mínimo de servicios o productos que una organización debe producir después de reanudar sus operaciones comerciales. ISO 22301:2012 - Términos básicos utilizados
  15. 15. 15 ramirocid.com 15 RTO Contingencia MBCO RPO MTPD BCMS Referencias: BCMS: Business Continuity Management System. MTPD: Maximum Tolerable Period of Disruption. RTO: Recovery Time Objective. RPO: Recovery Point Objective. MBCO: Minimum Business Continuity Objective. 100% de reanudación del negocio Inicio reanudación del negocio ISO 22301:2012 - Esquema temporal Tiempo Nivel de servicio €€€€ 1º Momento 2º Momento 3º Momento 4º Momento
  16. 16. 16 ramirocid.com Esquema temporal ampliado (excede lo dicho en ISO 22301:2012)
  17. 17. 17 ramirocid.com ISO 22301:2012: ¿Cómo gestionarla? 17 ¿Cómo encaja la continuidad del negocio en la gestión general? La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.
  18. 18. 18 ramirocid.com 18 Introduction 5 Leadership 8 Operation 0.1 General 5.1 General 8.1 Operational planning and control 0.2 The Plan-Do-Check-Act (PDCA) model 5.2 Management commitment 8.2 Business impact analysis and risk assessment 0.3 Components of PDCA in this International Standard 5.3 Policy 8.3 Business continuity strategy 1 Scope 5.4 Organizational roles, responsibilities and authorities 8.4 Establish and implement business continuity procedures 2 Normative references 6 Planning 8.5 Exercising and testing 3 Terms and definitions 6.1 Actions to address risks and opportunities 9 Performance evaluation 4 Context of the organization 6.2 Business continuity objectives and plans to achieve them 9.1 Monitoring, measurement, analysis and evaluation 4.1 Understanding of the organization and its context 7 Support 9.2 Internal audit 4.2 Understanding the needs and expectations of interested parties 7.1 Resources 9.3 Management review 4.3 Determining the scope of the management system 7.2 Competence 10 Improvement 4.4 Business continuity management system 7.3 Awareness 10.1 Nonconformity and corrective action 7.4 Communication 10.2 Continual improvement 7.5 Documented information Bibliography Contenido de la ISO 22301:2012
  19. 19. 19 ramirocid.com 19 Si una organización quiere implementar este estándar, la siguiente documentación es obligatoria:  Lista de los requisitos legales, reglamentarios y de otro tipo aplicables.  Alcance del BCMS  Política de continuidad del negocio  Objetivos de continuidad del negocio  Evidencia de las competencias del personal  Registros de comunicación con las partes interesadas  Análisis de Impacto del Negocio (BIA)  Evaluación de riesgos, incluido el apetito por el riesgo  Estructura de respuesta al incidente  Planes de continuidad del negocio  Procedimientos de recuperación (DRP’s)  Resultados de acciones preventivas  Resultados de monitoreo y medición  Resultados de auditoría interna  Resultados de la revisión de la administración  Resultados de acciones correctivas ISO 22301:2012 - Documentación obligatoria
  20. 20. 20 ramirocid.com 20 Otros estándares que son útiles en la implementación de la continuidad del negocio son:  ISO/IEC 27031 - Guidelines for information and communication technology readiness for business continuity.  PAS 200 - Crisis management - Guidance and good practice.  PD 25666 - Guidance on exercising and testing for continuity and contingency programs.  PD 25111 - Guidance on human aspects of business continuity.  ISO/IEC 24762 - Guidelines for information and communications technology disaster recovery services.  ISO/PAS 22399 - Guideline for incident preparedness and operational continuity management  ISO/IEC 27001 - Information security management systems - Requirements. Estándares relacionados
  21. 21. 21 ramirocid.com ISO 22301 ha sido desarrollado por ISO/TC 223 (*) El comité ha publicado adicionalmente las siguientes normas y otros documentos:  ISO 22300:2012, Societal security - Terminology.  ISO 22320:2011, Societal security - Emergency management – Requirements for incident response.  ISO/TR 22312:2011, Societal security - Technological capabilities.  ISO/PAS 22399:2007, Societal security - Guideline for incident preparedness and operational continuity management. ISO 22300 Family - Normativa relacionada (*) Ha sido un comité técnico de la Organización Internacional de Normalización formado en 2001 para desarrollar estándares en el área de la seguridad social.
  22. 22. 22 ramirocid.com 22  ISO 22311, Societal security - Video-surveillance - Export interoperability.  ISO 22313, Societal security - Business continuity management systems – Guidance.  ISO 22315, Societal security - Mass evacuation.  ISO 22322, Societal security - Emergency management - Public warning.  ISO 22323, Organizational resilience management systems - Requirements with guidance for use.  ISO 22325, Societal security - Guidelines for emergency capability assessment for organizations.  ISO 22351, Societal security - Emergency management - Shared situation awareness.  ISO 22397, Societal security - Public Private Partnership - Guidelines to set up partnership agreements.  ISO 22398, Societal security - Guidelines for exercises and testing.  ISO 22324, Societal security - Emergency management - Colour-coded alert. ISO 22300 Family - Normativa relacionada
  23. 23. 23 ramirocid.com 23 ¿Cuáles son los beneficios de la gestión de la continuidad del negocio ISO 22301? Identificar y administrar las amenazas actuales y futuras para su empresa. Adoptar un enfoque proactivo para minimizar el impacto de los incidentes. Mantener las funciones críticas en funcionamiento durante los momentos de crisis. Minimizar el tiempo de inactividad durante los incidentes y mejorar el tiempo de recuperación. Demostrar capacidad de recuperación a clientes, proveedores y solicitudes de licitación. Beneficios de la gestión de continuidad de negocio ISO 22301
  24. 24. 24 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 24 La ISO 22301:2012 asegura la coherencia con el resto de normas relativas a sistemas de gestión, por ejemplo ISO 9001 (calidad), ISO 14001 (medioambiental) e ISO / IEC 27001 (seguridad de la información), ISO 20000: Sistema de Gestión del Servicio, ISO 31000: Sistema de gestión de riesgos), etc. futuras y revisadas, y la facilidad para la integración con otros sistemas de gestión.
  25. 25. 25 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 25 La ISO 22301:2012 es una norma de sistemas de gestión, en este caso de un Sistema de Gestión de la Continuidad del Negocio conocido también por sus siglas SGCN, que contiene la nueva estructura de alto nivel y el texto normalizado en ISO. La ISO 22301 se compone de 10 cláusulas principales, comenzando por el alcance, las referencias normativas y los términos y definiciones.
  26. 26. 26 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 26 1. Alcance El estándar internacional se aplica a todos los tipos y tamaños de organizaciones que desean: a) Establecer, implementar, mantener y mejorar un SGCN. b) Asegurar la conformidad con la política de continuidad del negocio establecida. c) Demostrar conformidad con otros. d) Buscar la certificación / registro de su SGCN por un organismo de certificación acreditado. e) Hacer una autodeterminación y autodeterminación de conformidad con esta norma internacional.
  27. 27. 27 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 27 2. Referencias Normativas La ISO 22301 comenta que existen documentos, en todo o en parte, que están referenciados normativamente en este documento y son indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento referenciado (incluidas las enmiendas). 3. Términos y definiciones La ISO 22301:2012 hace una definición de 55 términos (seguramente hay más en la ISO 22300).
  28. 28. 28 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 28 4. Contexto de la organización Primeramente hay que conocer la organización, tanto sus necesidades internas como externas, y establecer límites para el alcance del sistema de gestión. Esto requiere que la empresa entienda las necesidades de las partes interesadas pertinentes, como los reguladores, los clientes y el personal. En particular, debe comprender los requisitos legales y reglamentarios aplicables. Esto le permite determinar el alcance del sistema de gestión de la continuidad del negocio (SGCN).
  29. 29. 29 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 29 Esta fase resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El objetivo fundamental de esta primera fase del desarrollo del Plan de Continuidad de Negocio según la ISO 22301:2012, consiste en la comprensión total de las actividades que se realizan por parte de la organización así como todos los elementos que se requieren para la realización de estos procesos.
  30. 30. 30 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 30 El Objetivo de este capítulo es Definir el Alcance del SGCN, para ello se debe: a) Identificar los factores internos y externos que puedan ser afectados por una posible interrupción:  Actividades de la Organización  Productos  Funciones  Servicios  Cadenas de suministro  Obligaciones Legales  Relaciones con Terceros  Otras…
  31. 31. 31 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 31 b) Vincular y alinear Estratégicamente  Políticas de la Organización  Valores  Objetivos Estratégicos  Obligaciones Contractuales  Políticas de Gestión Riesgos Laborales  Inclinación al riesgo en la Organización.
  32. 32. 32 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 32 5. Liderazgo Las personas en la alta dirección y otras funciones de gestión relevantes en toda la organización deberán demostrar liderazgo con respecto al SGCN. Este liderazgo y compromiso se puede demostrar motivando y empoderando a las personas para que contribuyan a la efectividad del SGCN. En esta fase se definen los requisitos de la dirección de la empresa en cuanto a que debe asumir el liderazgo en las acciones de mantener, vigilar y dotar de recursos necesarios a la organización para garantizar el proceso de mejora continua.
  33. 33. 33 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 33 Las principales tareas de la dirección entre otras serán:  El SGCN debe formar parte de la Dirección estratégica.  Garantizar los recursos necesarios para el SGCN.  Comunicación a toda la empresa sobre la importancia del SGCN.  Velar por el alcance de los resultados esperados.  Apoyar el proceso de mejora continua.  Establecer y comunicar la política de continuidad del negocio.  Asegurar que se establecen los objetivos y planes del SGCN.  Asegurar que se asignen las responsabilidades sobre el SGCN.
  34. 34. 34 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 34 6. Planificación Esto requiere que la organización identifique los riesgos para la implementación del sistema de gestión y establezca objetivos claros y criterios que puedan usarse para medir su éxito. Se busca determinar los riesgos y oportunidades que deben ser dirigidos a: a) Asegurar que el sistema de gestión pueda lograr el resultado deseado. b)Prevenir o reducir los efectos no deseados. c) Lograr la mejora continua.
  35. 35. 35 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 35 En este capítulo se definen los Objetivos Estratégicos del SGCN como una expresión del propósito de la organización en el tratamiento de los riesgos identificados y el cumplimiento de los objetivos de la organización.
  36. 36. 36 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 36 Los principales objetivos del SGCN deben ser:  Estar alineados con la política de continuidad del negocio.  Establecer el mínimo de productos y servicios con los que la organización alcanza sus objetivos.  Los objetivos deben ser medibles.  Los objetivos consideran requisitos aplicables.  Deben ser controlados y revisados de forma periódica.
  37. 37. 37 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 37 7. Soporte Para llegar al éxito en la continuidad del negocio, se debe tener en la empresa personas con los conocimientos, experiencia y habilidades pertinentes, para que apoyen al SGCN y respondan a los incidentes. También es importante que todo el personal conozca su propio papel en la respuesta a los incidentes y esta cláusula se refiere a todas estas áreas.
  38. 38. 38 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 38 La necesidad de comunicación sobre el SGCN, por ejemplo, al decirle a los clientes que la organización tiene el GCN apropiado en su lugar, y la preparación para comunicarse después de un incidente (cuando los canales normales pueden verse afectados) también se trata aquí. Es importante recalcar la importancia de una buena comunicación en tiempo y forma a los clientes y terceras partes de la incidencia que hemos sufrido y que estamos realizando esfuerzos para poder volver a la situación normal lo antes posible (evitar que exista pánico o desinformación es muy importante).
  39. 39. 39 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 39 Los Recursos necesarios para la Gestión de la Continuidad del Negocio están contemplados en este capítulo. Estos recursos deben contemplar:  Personal competente (en base a la formación específica recibida).  Servicios de Soporte.  Recursos de formación y toma de conciencia de la organización.  Comunicaciones internas y externas (Su contenido, lugar, forma y oportunidad).  Requisitos para la creación, actualización y control de la documentación.
  40. 40. 40 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 40 8. Operaciones La empresa debe realizar el análisis de impacto en el negocio para comprender cómo su negocio se vería afectado por una interrupción y cómo cambia con el tiempo. Por otro lado, la evaluación de riesgos se encargará de tratar los riesgos para el negocio de forma estructurada e informar de éstos en el desarrollo de la estrategia de continuidad del negocio.
  41. 41. 41 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 41 Los hitos más importantes son: a) Establecer criterios para los procesos. b) Implementar el control de los procesos de acuerdo con los criterios. c) Mantener la información documentada en la medida necesaria para tener la confianza de que los procesos se llevaron a cabo según lo planificado.
  42. 42. 42 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 42 Esta cláusula contiene el cuerpo principal de experiencia específica e instaura los requisitos para la continuidad de negocio, hace referencia a los ejercicios y ensayos, parte esencial en el SGCN, ISO 22301. Como es imposible predecir y prevenir por completo todos los incidentes, el enfoque debe equilibrar la reducción del riesgo y la planificación de todas las eventualidades complementarias. Se podría decir: “Espero lo mejor y planifique lo peor".
  43. 43. 43 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 43 9. Evaluación Para cualquier sistema de gestión, es esencial evaluar el rendimiento en comparación con el plan. ISO 22301 requiere que la organización seleccione y se mida a sí misma frente a las métricas de desempeño apropiadas. Es imprescindible contar con auditorías internas, con la revisión de los SGCN por parte de la organización y actúe sobre dichas revisiones.
  44. 44. 44 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 44 La norma ISO 22301 establece la necesidad de una permanente revisión y seguimiento del sistema para mejorar su operación. ¿En que medida se cumplen los objetivos y metas establecidas en el SGCN?. ¿Cuál es el desempeño de los procesos enfocados a proteger las actividades críticas?.
  45. 45. 45 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 45 ¿Cual es el grado de conformidad con la Norma y los requisitos de la continuidad del Negocio?. Guardar el seguimiento histórico de los puntos anteriores. Realizar Auditorias internas y planificadas. Realización de revisiones por la dirección de todos los puntos anteriores.
  46. 46. 46 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 46 10. Mejora Ante el cambio constate de las organizaciones y sus entornos, aquí se definen las acciones para mejorar el SGCN. Ningún sistema de gestión es perfecto desde el principio, y las organizaciones y sus entornos cambian constantemente. La cláusula 10 define las acciones a seguir para mejorar el SGCN a lo largo del tiempo y garantizar que se aborden las acciones correctivas derivadas de auditorías, revisiones, ejercicios, etc.
  47. 47. 47 ramirocid.com ISO 22301:2012: Cláusulas para la continuidad de un negocio 47 La mejora continua (*) cumple el objetivo de aumentar permanentemente la eficiencia del sistema de continuidad del negocio y de toda la organización contribuyendo a una permanente:  Mejora de la eficiencia: Costo/Beneficio.  Cumplimiento de Objetivos. (*) Mejora Continua …Una organización puede mejorar continuamente su eficiencia a través de la implantación de un SGCN (Sistema de Gestión de continuidad de negocio).. utilizando todas sus herramientas propias como: los resultados de auditorías, el análisis de eventos controlados, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección…
  48. 48. 48 ramirocid.com ISO 22301: Ciclo PDCA aplicado al proceso de BCP
  49. 49. 49 ramirocid.com Adobe Acrobat Document Diagrama del proceso de implementación de la ISO 22301:2012
  50. 50. 50 ramirocid.com 7. Sistemas de Gestión de la Continuidad del Negocio (SGCN)
  51. 51. 51 ramirocid.com 51 Un Sistemas de Gestión de la Continuidad del Negocio (SGCN) siguiendo la definición de la ISO 22301:2012 es parte del sistema de gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio. El sistema de gestión incluye estructura organizativa, políticas, actividades de planificación, responsabilidades, procedimientos, procesos y recursos. Definición de SGCN según ISO 22301:2012 Concepto Similar a PDCA (Círculo de Deming) El SGCN debe integrase dentro de otros SG (SGSI, Sistemas de gestión de la calidad, del servicio, etc.)
  52. 52. 52 ramirocid.com Sistemas de Gestión de la Continuidad del Negocio (SGCN) según ISO 22301:2012 52 Desde su establecimiento (el SGCN) hasta el momento de obtención de la certificación (en caso de ser este el deseo de la organización), se deben llevar a cabo distintos aspectos relacionados con la monitorización y seguimiento permanentes que aseguran el mantenimiento continuo del SGCN. La organización debe establecer, implementar, mantener y mejorar continuamente un SGCN, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional.
  53. 53. 53 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 53 La ISO 22301:2012 da lugar a la implantación de un Sistema de Gestión de la Continuidad del Negocio (SGCN), el cual permite a las empresas controlar continuamente los riesgos de su negocio y saber cuál es el nivel de preparación ante situaciones imprevisibles con el que cuenta la misma para hacerle frente.
  54. 54. 54 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 54 Los requisitos establecidos en la norma ISO 22301 para programar, implantar, especificar, elaborar, controlar, mejorar continuamente un SGCN son comunes y procuran ser de aplicación a todas las organizaciones con independencia del tipo, naturaleza o tamaño. La aplicación de estos requisitos depende de la complejidad de la empresa y del entorno operativo.
  55. 55. 55 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 55 El SGCN ayuda a reducir el impacto de posibles incidentes en el negocio:  Disminuyendo costes generales.  Garantizando la dirección corporativa.  Cumpliendo con las exigencias aplicables.  Haciendo que la cadena de suministro sea cada vez más solida y fiable.  Protegiendo y haciendo que su imagen corporativa adquiera más prestigio.  Creando un ambiente de seguridad y franqueza con los empleados, clientes, proveedores e interesados.
  56. 56. 56 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 56 La ISO 22301 hace que la estandarización de la continuidad de negocio se produzca añadiendo:  Perspectivas claras y precisas sobre la dirección.  Mayor redundancia en la creación de objetivos, búsqueda del desempeño y de los indicadores.  Proyección y organización de los recursos necesarios con más detenimiento para la continuidad del negocio.
  57. 57. 57 ramirocid.com Sistemas de Gestión de la Continuidad del Negocio (SGCN) según ISO 22301:2012 57 Hitos en el desarrollo del SGCN:  Análisis de impacto en el negocio (BIA).  Planes de continuidad del negocio y recuperación ante desastres (DRP).  Elaboración del manual del sistema de gestión.  Establecimiento de indicadores para medir la eficacia (métricas e indicadores).
  58. 58. 58 ramirocid.com Sistemas de Gestión de la Continuidad del Negocio (SGCN) según ISO 22301:2012 58 Hitos en el desarrollo del SGCN:  Formación y concienciación en seguridad.  Auditoría interna SGCN.  Acompañamiento en la fase de certificación.  Oficina técnica/servicio de oficial de seguridad (normalmente liderada por el CISO).
  59. 59. 59 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 59 El proceso de planificación de continuidad del negocio se realiza de la siguiente manera:  Involucrando a la dirección en los procesos de un SGCN.  Transmitir la necesidad de establecer un SGCN.  Instaurar un Comité de Proyecto.  Reconocer y efectuar los requerimientos presupuestales.
  60. 60. 60 ramirocid.com Cómo poner en funcionamiento el SGCN en la organización: ISO 22301:2012 60 El proceso de planificación de continuidad del negocio se realiza de la siguiente manera:  Desarrollar y combinar las actividades de implementación del SGCN.  Reconocer los grupos de planificación y sus respectivas obligaciones o responsabilidades.  Dar respuesta a las exigencias de la dirección y de la documentación de los procesos del SGCN.  Lograr la aprobación de la evolución del proyecto.
  61. 61. 61 ramirocid.com Desarrollo de los PCN 61 Nº Función Responsable Resultado 1 Considerando el Análisis de Riesgos. Describir el esquema de los PCN. Comité Seguridad Responsable Seguridad Estructura PCN PCN a desarrollar por los responsables PCN 2 Para cada PCN describir los puntos y procesos de cada uno de ellos. Responsable de los PCN PCN Registros definitivos 3 Revisar los PCN para coordinar acciones y asegurar la coherencia. Comité seguridad Responsable Seguridad Aprobación formal de los planes 4 Establecer y aprobar la programación de las pruebas y revisiones de los PCN. Comité seguridad Responsable seguridad Aprobación formal de los planes de pruebas 5 Asegurar la disponibilidad de los recursos necesarios para aplicar los planes. Responsables del PCN Recursos disponibles 6 Distribución de los planes y formación del personal. Responsable de los PCN Conocimiento y preparación del personal implicado 7 Desarrollo de pruebas y revisiones. Responsable de PCN Mejora y mantenimiento de los PCN
  62. 62. 62 ramirocid.com 62 ISO 22301:2012 - PDCA
  63. 63. 63 ramirocid.com 63 ISO 22301:2012 - PDCA Plan (establecer) Establecer una política de continuidad del negocio, objetivos, metas, controles, procesos y procedimientos relevantes para mejorar la continuidad del negocio con el fin de entregar resultados que se alineen con las políticas y objetivos generales de la organización. Hacer (implementar y operar) Implementar y operar la política de continuidad del negocio, controles, procesos y procedimientos. Verificar (monitorear y revisar) Monitorear y revisar el desempeño en contra de la política y objetivos de continuidad del negocio, informar los resultados a la gerencia para su revisión, y determinar y autorizar acciones para remediar y mejorar. Actuar (Mantener y mejorar) Mantener y mejorar el SGCN mediante la adopción de medidas correctivas, sobre la base de los resultados de la revisión por parte de la administración y la nueva evaluación del alcance del SGCN y las políticas y objetivos de continuidad del negocio.
  64. 64. 64 ramirocid.com Trazabilidad completa de un ciclo de vida de un BCP
  65. 65. 65 ramirocid.com Alcance del SGCN según ISO 22301:2012 65 La organización deberá: a) Establecer las partes de la organización que se incluirán en el SGCN. b) Establecer los requisitos SGCN, teniendo en cuenta la misión de la organización, los objetivos, las obligaciones internas y externas (incluidas las relacionadas con las partes interesadas) y las responsabilidades legales y reglamentarias. c) Identificar productos y servicios y todas las actividades relacionadas dentro del alcance del SGCN.
  66. 66. 66 ramirocid.com Alcance del SGCN según ISO 22301:2012 66 d) Tener en cuenta las necesidades e intereses de las partes interesadas, tales como los clientes, los inversores, los accionistas, la cadena de suministro, los aportes y necesidades públicas, comunitarias y las expectativas e intereses (según corresponda). e) Definir el alcance del SGCN en términos de y apropiado al tamaño, naturaleza y complejidad de la organización.
  67. 67. 67 ramirocid.com Video: Desarrollo de un PCN 67 https://www.youtube.com/watch?v=8JmCGv1oEcI
  68. 68. 68 ramirocid.com 8. Ejemplos de Planes de Continuidad de Negocio
  69. 69. 69 ramirocid.com Diagrama completo de un BCP
  70. 70. 70 ramirocid.com Diagrama completo de un BCP
  71. 71. 71 ramirocid.com Ejemplo de Plan de Continuidad de Negocio
  72. 72. 72 ramirocid.com Referencias Documentación para ampliar conocimientos: BSI e ISO: 1. Normas BSI: http://www.bsi-global.com/ 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 22301): https://en.wikipedia.org/wiki/ISO_22301 ISO 22301: 1. Business continuity - ISO 22301 when things go seriously wrong (ISO): https://www.iso.org/news/2012/06/Ref1602.html 2. Nuevo standard internacional en PCN: http://www.gestion.com.do/pdf/018/018-nuevo-estandar-internacional.pdf 3. Documentación sobre la ISO 22301: http://info.advisera.com/27001academy/es/descarga-gratuita/diagrama-de- implementacion-de-iso-22301 Resiliencia: 1. Business continuity: https://en.wikipedia.org/wiki/Resilience_%28organizational%29 2. Business Cyber Security Resilience: https://es.slideshare.net/RamiroCid/cyber-security-resilience-risk-aggregation
  73. 73. 73 ramirocid.com ¿Preguntas? ¡Muchas gracias! Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro

×