Curso: "Implementador Líder Certificado en la ISO 22301"

Implementador LíderCertificado en la ISO 22301

Agenda de la Semana

Día 1

Día 2

Día 3

Día 4

Día 5

Introducción a la norma ISO 22301 y el inicioDe un SGCN

Planificar la implementación del SGCN

Despliegue del SGCN

Monitoreo del SGCN, mejora continúa yPreparación para la auditoría de certificación

Examen final

Capacitación del Implementador Líder

Certificado en la norma ISO 22301

Sección 2

Estándar y marco normativo

a. ¿Qué es la ISO?

b. Principios fundamentales de la ISO

c. Normas de sistemas de gestión

d. Sistema de gestión integrado

e. Normas de Continuidad del Negocio

f. ISO 22301 e ISO 27001

g. Ventajas de la ISO 22301

¿Qué es ISO?

• ISO es una red de organismos nacionales de estandarización de más de 160 países

• Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales

• Se han publicado más de 19000 normas desde 1947

Principios Básicos – Normas ISO

1. 1. Representación igualitaria: 1 voto por país

2. Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas

3. Orientación al negocio: ISO sólo desarrolla normas para existe demanda del mercado

a 4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas

5. Cooperación internacional: más de 160 países además de organismos de enlace

PRINCIPIOSBásicos de las Normas

ISO

Los Ocho Principios de Gestión de la ISO

Enfoque en el cliente

Liderazgo

Participación de Las personas

Enfoque en losprocesos

Enfoque delSistema para la

gestiónMejora continua

Enfoque basadoen hechos para la

Toma de decisiones RelacionesMutuamente

Beneficiosas con el proveedor

Normas de Sistemas de Gestión

Normas primarias en las que una organización puede estar

certificada

ISO 9001Calidad

ISO 14001Medioambiente

OHSAS 18001

Salud ySeguridad en

el trabajo

ISO 20000Servicios

de TI

ISO 22000Sanidad

Alimentaria

ISO 22301Continuidad del Negocio

ISO 27001Seguridad de la

Información

ISO 28000Seguridad de la Cadena de

Suministro

Sistema de Gestión Integrado

Estructura típica de las normas ISO

RequisitosISO

9001:2008ISO

14001:2004ISO

20000:2011ISO

22301:2012ISO

27001:2005

Objetivos del sistema de gestión

5.4.1 4.3.3 4.5.2 6.2 4.2.1

Política del sistemade gestión

5.3 4.2 4.1.2 5.3 4.2.1

Compromiso de la Dirección

5.1 4.4.1 4.1 5.2 5

Requisitos de Documentación

4.2 4.4 4.3 7.5 4.3

Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6

Mejora continua 8.5.1 4.5.3 4.5.5 10 8

Revisión por la Dirección

5.6 4.6 4.5.4.3 9.3 7

ISO 22301

• Especifica los requisitos de gestión de un SGCN

• Los requisitos (cláusulas) son escritos utilizando el verbo “deberán” en imperativo

• Integrar el modelo PDCA (PLAN, DO, CHECK Y Act)

• Auditable

• La organización puede

ser certificada en esta norma

INTERNATIONAL ISO STANDARD 22301

_______________________________________________Societal security- Business continuityManagement Systems –Requirements

_________________________________________________

ISO 22301

Contenido

Sección 1 Ámbito de aplicación

Sección 2 Referencias normativas

Sección 3 Términos y definiciones

Sección 4 Contexto de la organización

Sección 5 Liderazgo

Sección 6 Planificación

Sección 7 Apoyo

Sección 8 Funcionamiento

Sección 9 Evaluación del desempeño

Sección 10 Mejora

ISO 22313

• Guía para el código de buenas prácticas para implementar, mejorar un Sistema de Gestión de la Continuidad de los Negocios (Documento de referencia).

• Cláusula escrita utilizando el verbo “debería” a fin de proporcionar orientación en materia de aplicación.

• La organización no puede ser certificada en esta norma

INTERNATIONAL ISO STANDARD 22313

_______________________________________________

Societal security-Business continuitManagement Systems –Gidance

_________________________________________________

Historia de la norma ISO 22301

1988 – 2013

2012

Creación del DRI Internacional conocido

originalmente como Disaster Recovery

Institute (Instituto de Recuperación ante

Desastres)en los EEUU

1984

2002

2003

2006

2007

1988

2013

Creación del Business Continuity Institute

(BCI) en el Reino Unido

BCI publica Guías de Buenas

Prácticas de la GCN

Publicación de PAS 56

Publicación de la

norma BS 25999-1

Publicación de la norma

BS 25999-2

ISO publicó la primera versión de la norma

ISO 22301

ISO publica la primera versión de la norma ISO

22313

Otras Normas sobre Continuidad del Negocio

Ejemplos

ISO 24762

NIST 800-34

ISO 27031

Norma NFPA1600

El Contenido y la Relación entre ISO 22301 e ISO 27001

ISO 27001, A. 14: Gestión de Continuidad del Negocio

A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocioObjetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna

A.14.1.1Incluir seguridad de lInformación en el proceso de Gestión de la continuidaddel negocio

Control

Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.

A.14.1.2 Continuidad del negocio yevaluación del riesgo

Control

Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.

A.14.1.3 Desarrollo e implementarPlanes de continuidadIncluyendo seguridad de la información

Control

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falta en los procesos de negocios críticos.

A.14.1.4 Marco referencial para laPlaneación de la continuidadDel negocio

Control

Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar las prioridades de pruebas y mantenimiento.

A.14.4.5 Prueba mantenimiento y re-Evaluación de planes de continuidadDe negocio

Control

Los planes de continuidad de negocio se deben probar y actualizar regularmente para asegurar que estén actualizados y sean efectivos.

ISO 22301Requisitos

Continuidad del negocio4.4 sistema de gestión

8.2 AIN y la Evaluación de los riesgo

8.4 Procedimientos de la continuidad del negocio

6 Planificación del SGCN

8.5 Ejercicio y pruebas

Ejercicio 1

Mitos y Realidades – Continuidad del Negocio

Continuidad del Negocio

Ventajas

Mejorcomprensión de la organización

Mantenimiento de las actividades esenciales de la

organización

Protección delas personas

Previsible yeficaz respuesta

a las crisis

Reducción de costos:

Protección dela reputación y la

marca

Respeto de laspartes

interesadas

Cumplimiento de normativas

El cumplimientode los requisitos

legales

Ventajacompetitiva

Confianza de los clientes

Cumplimientode los

contratos

Capacitación del Implementador Líder Certificado en la norma ISO 22301

a. Definición de un SGCN

b. Enfoque en los procesos

c. Visión general – Cláusulas 4 a 10

d. Los componentes claves de un SGCN

Sección 3Sistema de Gestión de la Continuidad del Negocio (SGCN)

¿Qué es la Continuidad del Negocio?

Proceso impulsado por el negocio que establece un marco

Estratégico y táctico de ajuste a los objetivos que:

Mejora la organización pro activa de resistencia contra la interrupción de su capacidad de lograr sus objetivos clave 1

Proporciona un método ensayado para restaurar la capacidad de una organización para garantizar el suministro de sus productos y servicios clave

después de una interrupción

Proporciona una capacidad demostrada para gestionar una interrupción del negocio y proteger la reputación de la organización y de la marca

2

3

Gestión de Continuidad del Negocio

ISO 22301, cláusula 3.4:

Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación de valor

Nota: El sistema de gestión incluye la estructura, las políticas, las actividades de planificación, las responsabilidades,

Las prácticas, los procedimientos,Los procesos y los recursos de la organización

Los componentes claves de un SGCN

ISO 22301, Introducción

Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales :

1. Una política2. Personas con responsabilidades definidas;3. Procesos de gestión asociados con:

- Política- Planificación- Implementación y

operación- Evaluación del

rendimiento- Revisión por la

Dirección- Mejora

4. Documentación que provea pruebas auditables

5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización

El ciclo Planificar – Hacer – Verificar – Actuar (PHVA)

ISO 22301, Introducción

PartesInteresadas

Requerimientosexpectativas

de laContinuidad del

Negocio

Partes Interesadas

Continuidad delNegocio

Gestionada

Planificar

Actuar Hacer

Verificar

Establecer unSGCN

Mantener yMejorar el SGCN

ImplementarEl SGCN

Supervisar yRevisar el SGCN

Requisitos generales

ISO 22301

En resumenLa organización deberá establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas

1.Conocimientode la

organizacióny su entorno

2. Determinar las

necesidades yrequisitos

3. Implementar yAdministrar un

SGCN

Contexto de la organización

ISO 22301, cláusula 4

Conocimiento de laOrganización y su

entorno

Comprensión de lasNecesidades y

Expectativas de lasPartes interesadas

Determinar elAlcance del SGCN

•Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas.

•Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas•El apetito de la organización por el riesgo

•Las necesidades de las partes interesadas que son pertinentes para el SGCN•Los requisitos de estas partes interesadas•Requisitos jurídicos y normativos

•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance

•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y externas y los requisitos

Liderazgo y Compromiso de la Dirección

ISO 22301, cláusula 5.1 y 5.2

Orientación estratégica

•Asegurarse de que el SGCN es compatible con la orientación estratégica de la organización

•Integrar los requisitos del SGCN en los procesos de negocio de una organización

Hacer que los recursos esténdisponibles

• La Dirección deberá determinar y proporcionar losRecursos necesarios para el SGCN

• Dirección deberá comunicar la importancia de una buena Gestión de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN

Comunicación

Política de Continuidad del Negocio


• La alta dirección debe establecer una política de continuidad del negocio que:

- Sea apropiada para los fines de la organización- Proporcione un marco para establecer objetivos de continuidad del negocio- Incluya un compromiso de cumplir los requisitos aplicables

- Incluya un compromiso de mejora continua del SGCN

• La política del SGCN deberá:

- Estar disponible como información documentada- Ser comunicada dentro de todas las partes interesadas, según corresponda- Ser revisada para su adecuación continuada a intervalos definidos y cuando se

reduzcan cambios significativos

Funciones, Responsabilidades y Autoridades


• La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas

dentro de la organización.

• La alta gerencia deberá asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestión

se ejecuta en conformidad con los

los requisitos de la norma ISO 22301.-Informar sobre la eficacia de la

gestión a la alta dirección.

Los Objetivos y los Planes para Alcanzarlos


• La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organización• Los objetivos deberán:

a) Ser coherentes con la política de continuidad del negocio

b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar sus objetivos

c) Ser mensurables

d) Tener en cuenta los requisitos aplicables

e) Ser monitoreados y actualizados según proceda

Apoyo

ISO 22301, cláusula 7:

La organizacióndeberá determinar y proporcionar los recurso necesarios para el SGCN

Las personas que realizanTrabajo en el marco delControl de a organizaciónDeberán ser conscientesDe la política de la CN,Sus funciones en el SGCNY los requisitos para la organización

El SGCN de laOrganización deberá Incluir informaciónDocumentada requeridaPor la ISO 22301 yRegistros para demostrarLa eficacia del SGCN

Recursos Competencia DocumentaciónComunicaciónSensibilización

La organizaciónDeberá asegurarTener personasCompetentes para realizar las tareas relacionadas con el SGCN

La organización deberáEstablecer, implementar y mantener mecanismosDe comunicación con las partes interesadas internas y externas

Información documentada

• ISO 22301, cláusula 7.5:

1. Creación

2. Identificación 3. Clasificacióny seguridad

4. Modificación

5. Aprobación

6. Distribución

7. Uso adecuado

8. Archivado

9. Disposición

Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos

Análisis del impacto en el Negocio y Evaluación de los Riesgos


Proceso de análisis de lasfunciones delnegocio y del efecto que unainterrupción delnegocio podríatener sobredichas funciones

Análisis deImpacto en el

Negocio

Evaluaciónde riesgo

Proceso generalde identificación,Análisis yEvaluación de riesgos

Estrategia de Continuidad del Negocio

ISO 22301, cláusula 8.3

La organización deberá determinar las opciones apropiadas de continuidad para:

A) Proteger las actividades

prioritarias

B) Estabilizar, continuar, reanudar y recuperar

actividades prioritarias

C) Mitigar, responder a los impactos y gestionarlos

Establecer y Aplicar Procedimientos de Continuidad del Negocio

ISO 22301, CLÁUSULA 8.4.1

La organiza deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión d de

un incidente perjudicial

La respuesta en Casos de

Emergencia y la Gestión de

Crisis

Contingencia

Recuperación y Restauración

Protección y mitigación

Capacitación

y Concienciación

Generalidades

•La organización deberáestablecer, implementar ymantener procedimientos decontinuidad del negocio paragestionar un incidenteperjudicial y continuar susactividades sobre la base de objetivos de recuperaciónidentificados en el análisisdel impacto en el negocio

Ejercicios y Pruebas


La organizacióndeberá ejercitar y Probar susProcedimientos deContinuidad del negocio para garantizar que sonCoherentes con susObjetivos de Continuidad delnegocio

Evaluación del desempeño


6. Revisión de la gestióny actualización de los planes de continuidad delNegocio y de los Procedimientos.

3. Medición de la eficacia de los procedimientos

5. Realización de las auditoriasinternas.

2. Revisión periódica de la eficacia del SGCN teniendo en cuenta las proposiciones y sugerencias de los interesados.

1. Revisión del ejercicio y la prueba de los procedimientos de continuidad, después de los informes sobre incidentes.

4. Revisión de las evaluacionesDe riesgo y del AIN.

Monitoreoy revisión del SGCN

Nota: Cada una de estas acciones debe ser documentada y registrada.

Mejora


• La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN.

• La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño, para lograr la mejora.

Capacitación Implementador Líder Certificado en la norma ISO 22 301

Sección 4

Principios fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperación de desastres

b. Evento: de un incidente a una emergencia

c. Organización y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia

Continuidad del Negocio y Recuperación ante Desastres

Diferencias

Continuidad del NegocioRecuperación ante

desastres

Asegurar que el negocioPueda continuar duranteUna emergencia

Los Objetivos son:

•En primer lugar, el capitalHumano de la empresa

•Entrega de productos o prestación de servicios a los clientes de la empresa

•Funciones críticas dl negocio en la empresa

Recuperar la “tecnología” Lo más rápidamente posible.

Se incluyen:• Los Datos, el hardware y el software necesarios para

reanudar las operacionesCríticas de la empresa

•Un plan de recuperación ante desastres (DRP) también incluye la elaboración de planes para hacer frente a la inesperadao repentina pérdida de personal clave

•En u PCN, es uno de los aspectos del plan

Participación de todos los elementos de la organización

La Gestión de Continuidad del Negocio

Está en relación con:

GE

ST

IÓN

DE

RIE

SG

O

SE

GU

RID

AD

GE

ST

IÓN

DE

CA

LID

AD

GE

ST

IÓN

DE

L M

ED

IO

AM

BIE

NT

E

AD

MIN

IST

RA

CIÓ

N D

E

LA

S I

NS

TAL

AC

ION

ES

GE

ST

IÓN

AN

TE

UN

A E

ME

RG

EN

CIA

RE

CU

PE

RA

CIÓ

N D

E T

IA

NT

E D

ES

AS

TR

E

GE

ST

IÓN

DE

LA

CA

DE

NA

DE

S

UM

INIS

TR

O

CO

MU

NIC

AC

ION

ES

&R

RP

P

SA

LU

D Y

SE

GU

RID

AD

GE

ST

IÓN

DE

CR

ISIS

RE

CU

RS

OS

HU

MA

NO

S

Evento: de incidente a una Emergencia

Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399

Evento(ISO 22301, 3.17)

Incidente(ISO 22301, 3.19)

Interrupción(ISO 22399. 3.4

Crisis(USO 22399, 3.3)

Desastre (ISO 22300, 2.

Emergencia (ISO22399, 3.6)

• Ocurrencia de un conjunto particular de circunstancias.

• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.

•Situación en la que se han producido amplias pérdidas humanas, materiales, económicas o ambientales que superaron la capacidad de la

organización, la comunidad y la sociedad afectadas para responder y recuperarse utilizando sus propios recursos.

• Cualquier incidente(s), causado por los humanos o causas naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.

• Suceso o evento repentino, urgente, generalmente inesperado querequiere acción inmediata.

• Evento que pudiera constituir o pudiera redundar en una interrupción del negocio, en una pérdida, emergencia o crisis.

Organización y Actividades

ISO 22301, CLÁUSULA 3.1,3.33 y 3.42

Organización (3.33)

Persona o grupo de personas que tiene suspropias funciones con responsabilidades,autoridades y relaciones para lograr sus objetivos.

Actividad (3.1)

Proceso o conjunto de procesos acometidos por una organización (o en su nombre) que producen o dan apoyo a uno o más productos y servicios.

Las actividades a las que deben darse prioridad tras un incidente con el fin de mitigar los impactos.

Actividades Prioritarias (3.42)

Proceso


Conjunto de actividades mutuamente relacionadas o que interactúan, que

transforman elementos de entrada en resultados.

Entrada Actividades Salida

Recurso

ISO 22301, CLÁUSULA 3.47

Recursos•Todos los archivos, personal,

habilidades, información, tecnología (incluyendo maqui-naria y equipos), locales, y suministros e información (yasea electrónica o no) que unaorganización debe tener dispo-nibles para uso, cuando sea necesario, para operar y cumplir sus objetivos.

Las Personas

Locales Tecnologías Suministros

Activos Información

Riesgo

ISO 22301

Riesgo (3.48)

Efecto de incertidumbre sobre los objetivos

Apetito por el riesgo (3,49)

Evaluación de Riesgo (3.50)

Gestión del riesgo (3.51)

Cantidad de riesgo que una organización estáDispuesta a conseguir o conservar

Proceso general de identificación, análisis yEvaluación de riesgos.

Actividades coordinadas para dirigir y controlarUna organización con respecto al riesgo K

SIR

Probabilidad, Consecuencia e Impacto

ISO 22399

Probabilidad (3.28)

Grado al que es probable que se produzcaun evento

Impacto (3.10)

Consecuencia (3.2)

Consecuencia evaluada de un resultado enparticular

Resultado de un evento

Parte interesada (interesados)

ISO 22301, CLÁUSULA 3.21:

Persona u organización que puede afectar, pueden verse afectados por,

o se consideran afectados por una decisión o actividad

ProveedoresInstitucionesfinancieras

Regulador Público

GruposInteresados

Clientes

Medios Accionistas

Consejo deAdministración

Equipo de Gestión

Empleados Sindicatos

Organización

Resilencia

ISO 22300, cláusula 2.1.17

Resilencia

Capacidad de adaptación de una organización en un ambiente complejo y cambiante

Capacitación Implementador Líder Certificado en la norma ISO 22301

Sección 5

Iniciando la implementación del SGCN

a. Enfoque para la implementación del SGCN

b. Metodología de implementación del SGCN

c. Alimentación con las mejores prácticas

Requisitos


5.4 Funciones organizativas, responsabilidades y autoridades

La alta gerencia deberá asigna la responsabilidad y autoridad para :

Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional

1.1. Iniciando la Implementación del SGCN

Lista de actividades

Intención de Implementar

un SGCN

1.1.1 Definición del enfoque para la implementación

1.1.2. Selección de un marco

metodológico

1.1.3. AlineaciónCon las mejores

Prácticas

1.2. ComprensiónDe la organización

1.1.1. Definición del Enfoque de Aplicación del SGCN

Posibles Enfoques

2. Nivel de madurez de los Procesos en uso

1. Velocidad de implementación

3. Expectativasy alcance

Enfoque Propuesto

Directrices

1. Enfoque del negocio

Se integra en el contexto de las actividades comercialesa través de la organización 2. Enfoque de sistemas

La aplicación general delproceso de SGCN, nomediante al aislamiento delos procesos

3. Enfoque Sistemático

Aplicar las mejores prácticas en gestión deproyectos

4. Enfoque Integrado

Integración del SGCN o armonizarlocon los demás requisitos de laorganización

5. Método iterativo

La rápidaImplementación delSGCN respetando loRequisitos mínimos yCambiar a mejoraContinua a partir de entonces

Directrices

Las Directrices de Aplicación

Recomendaciones

1. Evitar la integración de nuevas tecnologías

2. Integrar el DGCN en los procesos existentes

3. Aplicar los principios de mejora continua

4. Involucrar a los participantes en la organización

5. Obtener el apoyo de la Dirección

6. Identificar y formalmente nombrar a un Director del proyecto del SGCN

1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de

Implementación del SGCN

1. Planificar2. Hacer 3. Verificar 4. Actuar

1.1. Inicio del SGCN

2.3 Estrategia de Continuidad del Negocio

2.2 Evaluacióndel negocio

2.1 Análisis del Impacto al Negocio

(AIN)

3.3 Revisiónpor la Dirección

3.2 Auditoría interna

3.1 Seguimiento, medición, análisis yevaluación

4.1 No conformidadesy acción correctiva

4.2 Mejora continua

1.8 Informacióndocumentada

1.9 Competencia &sensibilización


2.6 Comunicación

2.5 plan y procedimientos de la continuidad del negocio

2.4 Medidas de Presentación & Mitigación

1.4 Alcance

1.5 Liderazgo yplanificación

1.6 Política de CN

1.7 Estructurade la organización

1.2 Comprensiónde la organización

1.3 Analizar el sistema existente

Metodología de Implementación Integrada para los Sistemas de Gestión y las Normas (IMS)

Metodología de PECB para la aplicación del SGCN

ProyectoDel

SGCN

Hacer

Planificar

Verificar

Actuar

4 FASES 21 Pasos 101 actividades Tareas sin definir

Enfoque y Metodología

Basado en las mejores prácticas

ISO 10006Directrices para la gestión de

calidad en proyectos

PMBOKConjunto de Conocimientosde la gestión de Proyectos(PMBOK en idioma inglés

22313Orientación para laImplementación del

sistemade gestión de


1.1.3. Alineación con las Mejores Prácticas

Uso de las normas ISO

ISO 27031

ISO 22301

ISO 22301

ISO 22313

ISO 24762

ISO 27001 ISO XXXXX

Ejercicio 2

Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN


Sección 6

Comprensión de la organización

a. Comprensión de la organización

b. Identificación y análisis de las partes interesadas

c. Identificación y análisis de los requisitos y expectativas

d. Definición preliminar del alcance

1.2. Comprensión de la organización

1. Planificar





(AIN)



3.1 Seguimiento, medición, análisis y

evaluación

4.1 No conformidades

y acción correctiva

4.2 Mejora continua




2.6 Comunicación



1.4 Alcance


1.6 Política de CN




2. Hacer 3. Verificar 4. Actuar

Requisitos


Comprensión de la organización y su entornoLa organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que afectan su capacidad de alcanzar los resultados esperados de su SGCN.

Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN.

La organización deberá identificar y documentar lo siguiente:

a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;

b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas incluyendo su estrategia global de gestión de riesgos.

c) El apetito por el riesgo de la organización.

Para establecer el contexto, la organización deberá:

1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,

2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.

3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y

4) Definir el objetivo del SGCN.

1.2. Comprensión de la organización


1.1 Iniciar el SGCN

1.2.1 Misiónobjetivos, valores

estrategias

1.2.2 Entornoexterno

1.2.3 Entornointerno

1.2.5 Infraestructura

1.2.6 Partes interesadas

1.2.7 Requisitosdel negocio

1.2.9 AlcancePreliminar

1.2.8 Apetito porel riesgo y

criterios de riesgo

1.2.4 proceso y actividades

1.4 Alcance1.3 Análisisde brechas

1.2 Comprensión de laorganización

1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias

Misión

Valores

Los objetivos

DeContinuidaddel Negocio

EstratégicoAlineamiento

Estrategias

Objetivos

Políticas CorporativasPolíticas de Continuidad

del Negocio

1.2.2. Análisis del Ambiente Externo

Consejos Prácticos

•La ISO 22301 no ofrece enfoques prácticos para analizar el contexto de una organización

•Existen varias metodologías para entender cómo funciona una organización

•Lo importante es identificar las características de los factores ambientales internos y externos que influyen en la gestión de la continuidad del negocio: misión, actividades principales, organización interna, partes interesadas, ttc.

Fortalezas Debilidades

Oportunidades Amenazas

1.2.3. Análisis del Entorno Interno

Estructura organizativa y actores claves

Comprender la estructura y los principales actores de la organización relacionados con el ámbito de aplicación en losplanos:

Estratégico (¿Quién establece las orientaciones estratégicas?) Gobierno (¿Quién coordina y gestiona las operaciones?)

Operacional (¿Quién participa en las actividades de producción y apoyo?)

1.2.4. identificación de los Principales Procesos y Actividades

3. Activos de Información Claves

¿Cuáles son losActivos de

informaciónClaves de la

Organización?

1. Oferta de Productosy servicios

¿Cuáles son los bienes yServicios producidos por

la organización?

2. Procesos deNegocios

¿Cuáles so losProcesos claves que

Permiten a laOrganización cumplir

Con su misión?

Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni un inventario detallado de activos, sino sólo establecer una lista general

1.2.5. Identificación de la Infraestructura


Infraestructura: Sistema de instalaciones, equipos y servicios

Necesarios para el funcionamiento de una organización

Categoría(Ejemplo)

Ejemplos

Sitios Oficinas, centro de datos, residenciad e los empleados, áreas seguras, Sitio de fabricación, etc.

Utilidades Electricidad, gas, aire acondicionado, control de humedad, etc.

Equipo industrial Almacenamiento y manejo de equipos, cintas transportadoras, robots industriales,

Servicio Contabilidad, recursos humanos, compras, logística, etc.

Transporte Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.

telecomunicaciones Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.

Tecnología de la información

Servidor, ordenador portátil, red, sistema operativo, software de contabilidad, etc.

1.2.6. Identificación y Análisis de las Partes Interesadas

Análisis de sus necesidades y expectativas

1. Identificar lasNecesidades yexpectativas

• Identificar las necesidades y expectativas de todas las partes interesadas• Las necesidades y expectativas puedes ser implícitas o explícitas• Ejemplo: la tasa de disponibilidad del servicio del 99,5%

3. Identificar roles y

responsabilidades

2. Validar las necesidades y

expectativa

•Analizar las necesidades de seguridad y confirmar si responde a las preocupaciones de la organización en este momento

• Se puede hacer mediante el envío de un cuestionario, realizando entrevistas o facilitar grupos de enfoque

• Definir lo que se espera de las diferentes partes interesadas en el proyecto: las f unciones, las responsabilidades y los niveles de participación que se necesita

• Establecer un consenso con ellos durante la etapa de planificación de su participación

Partes Interesadas

Influencia positiva y negativa

Partes interesadas negativas

•Por estas, el SGCN podría tener un impacto• negativo

•Ejemplo: un departamento de recursos humanos involucrado en la implementación del SGCN sufrirá una pesada carga con la documentación de los expedientes de los empleados

Partes interesadas negativas

• Los que se beneficiarían del SGCN

• Ejemplo: los clientes de una empresa de servicios de TI

Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN

1.2.7. Identificación y Análisis de los Requisitos del Negocio

Legal yRegulatorio

Todas las leyes y reglamentos con los

debe cumplir laorganización

EstándaresLas normas internacionales

Y códigos de prácticas relacionados con el sector,que son voluntariamente

Implementados por laorganización

Mercado

Todas las obligacionescontractuales que la

organización ha firmadocon sus partes

interesadas

Políticas Internas

Todos los requisitosdentro de la organización:

las políticas internas, el código de ética, normas de

trabajo, etc.

Ext

ern

os

Obligatorios VoluntariosIn

tern

os

Cumplimiento de los Requisitos Legales

• La organización debe cumplir con

las leyes y reglamentos aplicables

• En la mayoría de los países, la

aplicación de una norma ISO es una

decisión voluntaria de la organización,

no una condición jurídica

• Las organizaciones que operan en

varios lugares a menudo tienen que

satisfacer las necesidades de las

diferentes jurisdicciones

• En todos los casos, las leyes tienen

precedencia sobre las normas

La ISO 22301

Puede ser utilizada

Para cumplir con

Varias leyes y

regularizaciones

Leyes y Reglamentos

Los cuatro sectores de la industria más afectados

Requiere plan de copia de seguridad de datos, plan de recuperación ante desastres y un plan de operación en el modo de emergencia

Requisitos para los registros electrónicos

Asi

ste

nc

iasa

nit

aria

Requiere plan de copia de seguridad de datos, plan de recuperación ante desastres y un plan de operación en el modo de emergencia

Requisitos para los registros electrónicos

Go

bie

rno

Requiere que los bancos tengan planes de CN y RD para garantizar el funcionamiento continuo y con el fin de limitar las pérdidas

Requiere que los planes de Continuidad del Negocio (PCN) se actualicen y prueben para incorporar los riesgos detectados

Requiere un PCN para garantizar que la continúa misión de la agencia durante una crisis

Se requieren planes de restauración de emergencia como condición para servicios continuados

Fin

anza

s

Uti

lid

ad

es

1.2.8. Determinación del Apetito por el Riesgo y los Criterios de Riesgo


Apetito por el Riesgo

Definición: Cantidad y tipo de de que una organización está dispuesta a conseguir o conservar

Es el nivel de riesgo que una organización está dispuesta a aceptar, antes de que la acción es considerada necesaria para reducirlo

Representa un equilibrio entre los beneficios potenciales de la innovación y las amenazas que el cambio inevitablemente trae consigo

0

20

101. Aversión

2. Mínimo

3. Prudente

4. Abierto

5. Hambriento

30

40

50

60

70

80

Ejemplo de escala de apetitopor el riesgo

Criterios de Riesgo

ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5

1 Evaluación de riesgo

2 Impactos

3 Aceptación del riesgo

Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados se definirán durante la evaluación del riesgo.

Criterios

1.2.9. Definición Preliminar del Alcance

El alcance preliminar del SGCN debería incluir:

Las principales características dela organización

Procesos de negocio que podrían estar dentro del ámbito

Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito del aplicación propuesto

Lista de ubicaciones geográficas en las que se aplicaría el SGCN

Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)

Ejercicio 3

Comprensión de la organización


Sección 7

Análisis del sistema de gestión existente

a. Recopilación de la Información

b. Realización de una Entrevista

c. Análisis de Brechas

1.3. Análisis del Sistema de Gestión Existente

Hacer

3. Verificar



4.2 Mejora continua

4. Actuar

3.1 Seguimiento, medición, análisis y

evaluación




(AIN)





2.6 Comunicación





1.4 Alcance


1.6 Política de CN




1. Planificar 2. Hacer

Lista de las actividades

Análisis del sistema de gestión existente

1.2 Comprensión de la organización


1.3.1 Recolecciónde información

1.3.2 Análisis de brechas

1.3.3. Objetivos einforme del análisis

de brechas

1.3.1. Recopilación de la Información

Técnicas

CuestionariosEncuestas

El envío de cuestionarios a una muestra de personas que representana las partes interesadas

Entrevistas

Revisión de ladocumentación

Las entrevistas con personas la claves en diferentes niveles jerárquicosdentro de la organización

Lectura y análisis de la documentación pertinente, las políticas internas, procedimientos, informes de auditorías previas, dictámenes jurídicos, contratos, etc.

Entrevista Individual y Grupal

Las entrevistas individuales suelesProporcionar información másprecisa y detallada y permiten tener una evaluación del riesgo más correcta

Individual

Grupal

Entrevista

Las entrevistas grupales son efectivas para comprender rápidamente las operaciones de un proceso desde perspectiva global

Realización de una Entrevista

Utilice preguntas abiertas y evite las preguntas cerradas o guiadas

Asegúrese de cubrir todos los temas, mientras controla el tiempo

Tome notas durante la entrevista

Realice preguntas para clarificar una respuesta o situación

1.3.2. Análisis de Brechas

Análisis de Brechas

Técnica para determinar los pasos para pasar de la situación actual a un estado futuro deseado.

1. Comparación del rendimiento actual del sistema de continuidad del negocio con los requisitos de la ISO 22301

2. Identificación de las necesidades de mejora

3. Bases para la elaboración del plan del proyecto del SGCN

Determinar el Estado Actual

El análisis de brechas y el nivel de madurez

Las preguntas típicas:

1. ¿El proceso está presente en la organización? ¿Está estandarizado?

2. ¿Es el proceso seguido por los usuarios relevantes?

3. ¿Está el proceso documentado? ¿Cómo?

4. ¿hay un responsable designado para la eficacia del proceso? ¿Están determinadas las funciones y responsabilidades?

5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay capacitación disponible?

6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido?

7. ¿El proceso está automatizado? ¿Se utilizan herramientas?

8. ¿Existe un proceso para actualizar el proceso?

9. ¿El rendimiento del proceso se compara con las prácticas de la industria?

1.3.3. Establecimiento de Objetivos y la Publicación de un Informe deAnálisis de Brechas

1Inicial

4Gestionado

cuantitativamente

0No existe

2Gestionado

3Definido

Situación actual Objetivo

5Optimizado

Establecimiento de Objetivos

El análisis de brechas y el nivel de madurez

Usted puede fijar las metas para los procesos

según el nivel de madurez

No hay procesosestándarvigentes

Los procesos estándocumentadosy comunicados

Procesosmonitoreados y

medidos

Procesosoptimizados

Hay implementaciónde proceso caso

por caso sin ningúnmétodo

0.Inexistentes

1.Iníciales

2.Gestionadas

3.Definidos

4.Cuantitativa

Mentegestionados

5.Optimizados

Ausencia total deProcesos

identificables


Sección 8

Alcance del SGCN

a. Límites de la organización

b. Los límites de las líneas de negocio

c. Límites Físicos

d. Ámbito de aplicación

1.4. Alcance del SGCN

n

1. Planificar




1.4 Alcance


1.6 Política de CN





2.6 Comunicación





2.1 Análisis del Impacto en el Negocio (AIN) 3.1 Seguimiento,

medición, análisis yevaluación





4.2 Mejora continua

2. Hacer 3. Verificar 4. Actuar

Requisitos


Alcance del SGCNLa organización deberá:

a) Establecer las partes de la organización que se incluirán en el SGCN

b) Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las

obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las

responsabilidades legales y reglamentarias.

c) Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de

aplicación del SGCN.

d) Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con

clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus

necesidades, expectativas e intereses (según corresponda), y

e) Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado

de complejidad de la organización.

En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales

exclusiones no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos aplicables.

Ámbito de la aplicación

Importancia

Una clara definición del alcance, centrándose en actividades clave de la organización, es un factor de éxito importante para la implementación del SGCN.

Esto hará que sea más fácil:

1. Conseguir el apoyo de la dirección

2. Movilizar a los interesados por el proyecto

3. Justificar un valor agregado a las partes interesadas

Nota importante: la extensión del ámbito de aplicaciónes el primer factor que determina la cantidad

de esfuerzo requerido por el proyecto.

1.4. Ámbito de Aplicación del SGCN



1.3 Analiza elSistema existente

1.5 Liderazgo &planificación

1.6 Política de CN

1.4.1 Límites Organizacionales

1.4.2 Límites de lasLíneas de negocio

1.4.3 Los límitesfísicos

1.4.4 Ámbitode aplicación

Límites del SGCN

Las 3 dimensiones a considerar

Las

línea

s fís

icas

Organizacional

del negocio

1.4.1 Definiendo los Límites Organizacionales del Alcance

Un proceso clave

Un departamento

La organizacióncomo un todo

La organización y suspartes interesadas

Nota: Donde una parte de una organización, queda excluida del ámbitode aplicación de su SGCN, laorganización debería documentar yexplicar la exclusión

1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de Aplicación

• La organización debe identificar los productos y servicios en el ámbito

• Ejemplo: Un hospital podría incluir sólo los servicios de emergencia en el

ámbito de aplicación La oficina de correos podría incluir todos los servicios en el

ámbito de aplicación con la exclusión de la entrega de paquetes/

encomiendas Una fábrica podría mantener sólo la producción de un producto. Etc.

1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación

• Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como

externos incluidos en el SGCN

• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del

alcance y los medios físicos necesarios para que funcionen

• En el caso de los sitios físicos subcontratados, tienen que ser consideradas las

interfaces con el SGCN y los acuerdos de servicios aplicables

1.4.4. Definir el Ámbito de Aplicación del SGCN

El documento de definición del ámbito de aplicación debería incluir:

1. Las principales características de la organización

2. Los procesos de negocios cubiertos por el SGCN

3. La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN

4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.)

5. La lista de ubicaciones geográficas

6. Los detalles y motivos para las exclusiones

Declaración del Ámbito de Aplicación

Ejemplo

• La declaración del alcance es pública y, en general, está disponible en el

sitio web del organismo de certificación que haya expedido el certificado

• Esta declaración resumida estará escrita en el certificado. Deberá ser:

1. Tan simple como sea posible

2. Comprensible para alguien externo a la organización

3. Lo suficientemente precisa para expresar lo que está cubierto por

la certificación

Ejemplo: Este sistema de gestión de la continuidad del negocioSe aplica al centro de distribución global proveyendo

Servicios de tercerización y contacto con el clienteY externalización de ABC S.A.

Cambios en el Ámbito de Aplicación

Cualquier cambio en elalcance debe ser evaluado,aprobado y documentado

Extensión del Ámbito de Aplicación


• Varias empresas auditadas prefieren definir un alcance reducido para una certificación inicial y complementar una solicitud de extensión en los años

siguientes

• La auditoría de extensión se puede realizar durante una auditoría de control

• Si no se concede la certificación de extensión, la organización no pierde su

certificado actual

Ejercicio 4

Definición del ámbito de aplicación

Día 2

Implementador Líder

Certificado en la ISO 22031

Capacitación Implementador Líder ISO 22301

Sección 9Liderazgo y planificación

a. Caso de negocios del SGCNb. Equipo del proyectoc. Objetivos del SGCNd. Plan del proyectoe. Plan de comunicación para el proyecto SGCNf. Aprobación de la Dirección

1.5. Liderazgo y Planificación

1. Planificar

Negocio

1.1. Iniciar el SGCN



1.4 Alcance

1.5 Liderazgo y planificación

1.6 Política de CN

1.7 Estructura organizativa

1.8 Información documentada

1.9 Competencia y sensibilización

2. Hacer

2.1 Análisis del Impacto en el Negocio (AIN)

2.2 Evaluación del riesgo

2.3 Estrategia de la Continuidad del

Negocio

2.4 Medidas de Protección &

Mitigación

2.5 Plan y procedimientos de la continuidad del negocio

2.6 Comunicación


3. Verificar 4. Actuar

3.1 Supervisión, medición, análisis y

evaluación





4.2 Mejora continua

Requisitos

Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2

5.1 Liderazgo y compromisoLas personas en los niveles superiores de la administración y otras en funciones de gestión en toda la organización beberán demostrar liderazgo con respecto al SGCN.

5.2 Compromiso de la DirecciónLa alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de :- Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la - continuidad del negocio y que sean compatibles con la dirección estratégica de la organización.

- Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio- Comunicar la importancia de una buena gestión de la continuidad del negocio y de conformidad con los requisitos del SGCN- Asegurar que el SGCN logre el resultado (s) esperados(s)- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN- Promover la mejora continua: y- Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso

en lo que aplica sus áreas de responsabilidad

7.1 RecursosLa organización deberá determinar y proporcionar los recursos necesarios para el SGCN

1.5. Liderazgo y Planificación


1.4 Alcance(ámbito de aplicación)

del SGCN

1.6 Política de CN

1.5.1 Caso de negocio

1.5.2 equipo de proyecto del SGCN

1.5.3 Determinación de los objetivos

1.5.4 Requisitosde los recursos

1.5.5 Plan delproyecto del SGCN

1.5.6 Plan de comunicación

1.5.7 AprobaciónPor la Dirección

1.5.1. Crear y Presentar un Caso de Negocio

Un caso de negocio es:

1. Una herramienta de apoyo de apoyo de la Dirección para la toma de decisiones

2. Un documento que se utiliza para promover el proyecto del SGCN

3. Una primera estructuración del proyecto

Contenido del Caso de Negocios

PMBOK

1.Medioambiente

2. Finalidad yobjetivos

3. ResumenDel proyecto

4. Beneficiosesperados

5. Alcancepreliminar

9. Funciones yResponsabili-

dades

6. FactoresCríticos de éxito

7. Anteproyecto

10. Recursosnecesarios

8. Plazos e hitos

11. Presupuesto 12. Restricciones

Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK pero otros marcos como el Prince 2 son equivalentes

1.5.2. Establecer el Equipo del Proyecto del SGCN

Equipo del Proyecto

Partes Interesadas

Gerentedel SGCN

Directordel proyecto

Equipo de Gestión delProyecto

DefensorDel

ProyectoDel SGCN

Director del Proyecto SGCN

Competencias requeridas

El director del proyecto SGCN debe tener los conocimientos y habilidades en las siguientes áreas:

1. Conocimiento y habilidades en Gestión de Proyectos

2. Conocimiento de la organización y su entorno

3. Conocimiento de gestión de la continuidad del negocio

4. Habilidades interpersonales (comunicación efectiva,

negación, resolución de problemas,

habilidades de liderazgo, etc..)

Comité Directivo

Durante el proyecto SGCN

Objetivo Asegurar la planificación y el seguimiento del SGCN

Misiones

Miembros

Frecuencia de las reuniones

1. Planificar la implementación del SGCN2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos

por la Dirección3. Definir las funciones y responsabilidades para el proyecto SGCN4. Definir las funciones y responsabilidades relacionadas con las operaciones

y el mantenimiento del SGCN (después de la aplicación)5. Seleccionar el método de análisis de riesgo y el AIN6. Gestionar los recursos7. Realizar revisiones de los proyectos de la aplicación del SGCN

Director del Proyecto SGCN, responsables de los servicios claves que participan en los siguientes dominios de aplicación (TI, auditoría, legales, finanzas, recursos humanos, seguridad física etc.)

Mensuales

1.5.3. Determinación de los objetivos del SGCN


Determinar los objetivos

2

31

Una mayor flexibilidad(resilencia) de la

Empresa• ¿Puede el SGCN mejorar la resilencia de la organización en caso de un incidente perjudicial?

Gestión de continuidaddel negocio eficiente

• ¿Puede el SGCN mejorar la eficacia de la gestión de continuidad del negocio?

Ventaja del negocio• ¿L a implementación de un SGCN puede proporcionar ventajas competitivas

Determinar los Objetivos

Ejemplos

Los objetivos relacionados con la aplicación del SGCN pueden ser:

Velar por el cumplimiento de las obligaciones legales, reglamentarias y

contractuales de la organización Demostrar la debida diligencia y el cuidado debido de la gestión Inspirar confianza de las partes interesadas de la organización Proteger la disponibilidad de las actividades fundamentales de la organización Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores

prácticas Mejorar el tiempo de respuesta a incidentes y desastres Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la

entrega de un servicio o producto, etc.

1.5.4. Determinación de los Requisitos de Recursos para el Proyecto SGCN


• Los recursos son los medios que se utilizan para alcanzar los objetivos

del proyecto• El recurso principal es evidentemente, las personas con habilidades y

competencias aplicables• El resto de las principales agrupaciones de recursos que se necesitan

son el capital, las instalaciones, los equipos, los materiales y la

información• Generalmente hay un desfase entre el tope de la inversión de un proyecto

y las demandas del proyecto…

1.5.5. Elaboración del Plan del Proyecto SGCN

PMBOK

Un método iterativo

ContenidoDel

Proyecto

Recursos Costos

Retrasos Riesgos

Plan delproyecto

Contenido del plan del proyecto SGCN

PMBOK

Un plan de proyecto incluye lo siguiente:

1. Carta del Proyecto

2. Descripción del enfoque o estrategia de gestión de proyectos

3. Formulación del contenido del proyecto, con resultados y objetivos del

proyecto

4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”)

5. Costos estimados, fecha de inicio prevista, y la asignación de responsabilidad

6. Referencias; medición de costos y el tiempo de funcionamiento

7. Hitos principales con su fecha provisional

8. Personal clave o necesario

9. Riesgos claves, con las limitaciones y supuestos, y las respuestas

propuestas

10. Problemas corrientes y decisiones pendientes

Revisión y Presentación del Plan del Proyecto SGCN

PMBOK

Revisión de los objetivos del proyecto y los factores de éxito

Revisión de las funciones

Definición de la frecuencia y el contenido de las reuniones de progreso

Revisión de los documentos del proyecto

Estimación de los recursos internos necesarios

Definición de la planificación y sucesivas fases de ejecución

Revisión de las presentaciones que deben proveerse

Revisar el método propuesto

Destacar los riesgos e incertidumbres inherentes en el proyecto

1.5.6. Plan de Comunicación para el Proyecto SGCN

Norma ISO 22301, cláusula 7.4

• Cuando se establece el SGCN, la organización necesita tener comunicación

efectiva y procedimientos de consulta para el intercambio de información con

las partes interesadas

• La organización debería disponer de una comunicación eficaz como parte de

su programa de sensibilización

• El plan de comunicación será detallado en el Día 3

http://www.google.cl/imgres?biw=1280&bih=587&tbm=isch&tbnid=fdhgVBjFbUBpCM:&imgrefurl=http://es.123rf.com/photo_11949129_personas-3d-en-circulo.html&docid=MM59xCOOIChPrM&itg=1&imgurl=http://us.cdn2.123rf.com/168nwm/3ddock/3ddock1206/3ddock120600234/14228108-las-personas-3d-en-el-circulo.jpg&w=168&h=151&ei=mAavUvvZJIrloASJoICICw&zoom=1&iact=rc&dur=656&page=2&tbnh=120&tbnw=134&start=20&ndsp=29&ved=1t:429,r:41,s:0,i:204&tx=100&ty=26

SGCN

1.5.7. Aprobación por la Dirección del Proyecto SGCN


Beneficios Claves delCompromiso de la Dirección

•Mayor conocimiento de las leyes• óptima asignación de recursos• Identificación de los activos críticos• Procesos y plan de la continuidad del negocio controlados y medidos

Apr

obac

ión

por

La D

irecc

ión

Funciones de la Dirección

Durante el proyecto SGCN

Objetivo

Misiones

Miembros

Frecuencia de las reuniones

Alinear el SGCN con los objetivos y estrategia de negocio

1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la organización

2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales3. Validar las funciones y responsabilidades de las principales partes interesadas en el

proyecto4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del

riesgo5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en

conformidad con los requisitos SGCN6. Proveer de recursos suficientes para la implementación del SGCN7. Asegurar que se llevan a cabo auditorias internas8. Hacer revisión del SGCN por la dirección9. Prestar apoyo al mejoramiento del SGCN

Alta Dirección (CEO, CIO, CFO…)

Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis de riesgo e informe del AIN, revisión por la dirección, etc.

Ejercicio 5

Roles y responsabilidades de las partes interesadas


Sección 10

Política de la continuidad del negocio

a. Crear modelos de política

b. Proceso de redacción de política

c. Aprobación por la Dirección

d. Publicación

e. Capacitación, comunicación y sensibilización

f. Control, evaluación y revisión

1.6. Política de la Continuidad del Negocio

1. Planificar 3. Verificar

4. Actuar2. Hacer




1.4 Alcance


1.6 Política de CN






4.2 Mejora continua


evaluación






Negocio


Mitigación


2.6 Comunicación


Requisitos


Política

La alta dirección deberá establecer una política de continuidad del negocio que:

a) Sea apropiada para los fines de la organización

b) Proporciones un marco para establecer objetivos de continuidad del negocio

c) Incluya un compromiso de cumplir los requisitos aplicables

d) Incluya un compromiso de mejora continua del SGCN

La política del SGCN deberá:- Estar disponible como información documentada- Ser comunicada dentro de la organización- Estar a disposición de todas las partes interesadas, según corresponda- Ser revisada para su adecuación continuada a intervalos definidos y cuando se

produzcan cambios significativos

La organización deberá retener información documentada sobre la política

De continuidad del negocio.

Definición de Política de la Continuidad del Negocio


Las intenciones generales y la dirección de la organización, relacionadas con su preparación ante incidencias y continuidad operacional, tal y como ha sido expresado por la alta dirección

http://www.google.cl/imgres?start=364&biw=1280&bih=587&tbm=isch&tbnid=05SjpMPqVZ_nRM:&imgrefurl=http://es.dreamstime.com/fotos-de-archivo-libres-de-regal%C3%ADas-neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-image3235568&docid=sJjX8_RVYFXyaM&imgurl=http://thumbs.dreamstime.com/x/neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-3235568.jpg&w=400&h=300&ei=dGivUvu4EMH8kQec6YGABg&zoom=1&iact=rc&dur=485&page=14&tbnh=142&tbnw=183&ndsp=32&ved=1t:429,r:91,s:300,i:277&tx=112&ty=74

1.6. Política de la Continuidad del Negocio


1.5 Liderazgo & planificación

1.6.4 Publicación

1.6.3 Aprobación por la Dirección

1.6.2 Redacción de la Política

1.6.1 Proceso de redacción de la

Política

1.6.5 Capacitación, comunicación y sensibilización

1.6.6 Control, evaluación y

revisión


1.6 Política de C. N.

1.6.1. Definición del Proceso de Redacción de la Política

Proceso General

2.Definir los

componentesde la política

3.Redactar

lasSecciones

4.Validación

de loscontenidos yel formato

5.Aprobación

por lasPartes

Interesadas

1.Designar una

PersonaResponsable

Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación

1.6.2. Redacción de la Política de Continuidad del Negocio

Temas que suelen incluirse en la política

1. Un marco que permite definir objetivos y establecer una dirección y directrices de política para la gestión de Continuidad del Negocio

2. Una consideración de las obligaciones legales y reglamentarias impuestas a la organización, así como otros compromisos

3. La alineación de la gestión de continuidad del negocio con los objetivos estratégicos de la organización

4. Atribución de las funciones y responsabilidades

5. Aprobación oficial de los anteriores por la Dirección

1.6.3. Aprobación por la Dirección

La política del SGCN debe:

Demostrar el compromiso de la dirección

Ser aprobada por la Dirección

La política debe ser firmada por una persona (a menudo el director general),

pero el proceso de aprobación puede pertenecer a un comité:

Junto de Directores

Consejo de Administración

1.6.4. Publicación de la Política de Continuidad del Negocio

Principales modos de comunicación

Intranet

Distribución deCopias en papel

Reunión

Sesión de orientaciónde nuevos empleados

1.6.5. Capacitación, Comunicación y Sensibilización

Plan de comunicación

Público de destino

Difusión (reuniones, intranet,extranet, documentos…)

Comunicación

Sensibilización Capacitación

¿Objetivoalcanzado?

Control, evaluación y revisión

Procesorecurrente

No

Si Nota: Esta temática se discutirá durante el Día 3

1.6.6. Control, Evaluación y Revisión

Control

Evaluación

Revisión• Mantener • Asegurar

conformidad

• Medir el grado deconformidad

Capacitación Implementador Líder en la ISO 22301

Sección 11

Estructura Organizativa

a. Estructura de gestión

b. Estructura Orgánica para la gestión de la continuidad del negocio

c. Designación de un coordinación de la continuidad del negocio

d. Roles y responsabilidades de las partes interesadas

e. Roles y responsabilidades de los comités clave

f. Equipos de la continuidad del negocio

g. Proceso de decisión y de control

1.7. Estructura Organizativa

1. Planificar 2. Hace 3. Verificar 4. Actuar



4.2 Mejora continua


evaluación






Negocio


Mitigación


2.6 Comunicación





1.4 Alcance


1.6 Política de CN




Requisitos


Funciones, responsabilidades y autoridades organizativas

La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización.

La alta gerencia deberá asignar la responsabilidad y autoridad para :

a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad con los requisitos de esta Norma Internacional; e

b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección

Estructura organizativa

Principios

• Para ser eficaz, un programa de continuidad empresarial debería ser un

proceso integrado de gestión impulsado desde las altas esferas de la organización, apoyado y promovido por los principales

directores y

ejecutivos

• Debería ser administrado en los niveles operativos y de la organización

• Puede requerirse una serie de profesionales y personal de otras disciplinas

relacionadas con la gestión y los servicios necesarios para apoyar y gestionar

el programa

• La continuidad de recursos necesarios, dependerá del tamaño y la diversidad

de la organización

1.7. Estructura Organizativa


1.6 Política de continuidaddel negocio

1.7.1 Estructurade gobierno yorganización

1.7.2 Coordinador de la continuidad

del negocio

1.7.3 Roles yResponsabilidades

de las partesinteresadas

1.7.6 Proceso de decisión y control

1.7.5 Equipos de lacontinuidaddel negocio

1.7.4 Roles yResponsabilidades

de los comitésprincipales



1.7.1. Definición de la Gestión de Gobierno y de la Estructura Orgánica para la Gestión de Continuidad del Negocio

Estructura de gobierno

Junta de Directores

CEO

Comité de Crisis

Comité de Continuidad del

negocio

OperacionesRecursoshumanos

AuditoríaInterna

ServiciosAdministrativos

Tecnología de la información

(TI)

Ventas &Marketing


Partes Involucradas

Actores Principales

Unidad de negocio 1 Unidad de negocio 2 Gestión de TI Gestión de Instalaciones

Organismos Externos

Comité de CrisisAlta DirecciónMedios de comunicación

Medios de

Director de la Continuidad delNegocio

Comité de Continuidad del Negocio

Plan de Continuidaddel Negocio

Seguridad pública

Autoridades del Gobierno

CERT

Director del Sitio

Coordinador de gestiónde CN del Sitio

Plan deContinuidad del

Negocio adaptadoPara la unidad

LosProcedimientos

locales

Director del Sitio

Coordinador de gestiónDe CN del Sitio

Director del Sitio

Coordinador de Recuperación de TI

Gerente de lasInstalaciones

Coordinador de la Respuesta de Emergencia

Plan de Continuidad del

Negocio adaptado para la unidad

Planes deRecuperación y

Restauración de TI

Planes de Recuperación yRestauración de

TI

Los Procedimientos

de TI

Planes deRespuesta deEmergencia

ProcedimientosDe emergencia

Procesos de Negocios Procesos de Soporte

1.7.2. Designación de un Coordinador de la Continuidad del Negocio

Funciones y responsabilidades

• El Coordinador de la continuidad del negocio tiene la responsabilidad general de la concepción, el desarrollo, la coordinación, ejecución, administración,

capacitación, programas de sensibilización, y el mantenimiento del Plan de continuidad de Negocios y el SGCN

• El CCN debería estar en una función de nivel de dirección

• Es responsable de la cooperación y colaboración en la Continuidad del Negocio de los gerentes, usuarios, administradores de sistemas, auditores, personal de seguridad, y habilidades de especialistas en áreas como los seguros, las

cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos

1.7.3. Definir las Funciones y Responsabilidades de las Partes Interesadas

Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)

Encargado de TI

Encargado de Seguridad de la Información

Encargado de RRHH

Encargado de Patrimonio

Oficial de RRPP

Encargado del centroDe servicios / ”Help Desk”

Responsable de la Gestión de documentos

Auditor interno

Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación

Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección contra incendios, mantenimiento eléctrico, etc.)

Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso, gestión de incidencias, etc.)

Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes interesadas externas

Validación del Cumplimiento del SGCN

Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación de las pruebas

Coordinar las actividades relativas a la gestión de seguridad de la información

Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones

1.7.4. Definición de la Funciones y Responsabilidades de los Comités Claves

1. Comité Ejecutivo y Comité de Crisis

2. Comité de Continuidad del Negocio

3. Comités Operativos y Comité Local de CN

1.7.5. Creación de los Equipos Necesarios de Continuidad del Negocio

Ejemplo

Líder del Equipo de Gestión de Crisis (Director Ejecutivo)

Gerente de Evaluación de

Riesgo

Coordinar de la Continuidad

del Negocio

TI/RR.HH./Legales/Finanzas

Representantes de La unidad de

Negocio

Equipo de Respuesta de Emergencia

Equipo de Evaluación de

Daños

Equipo de Relaciones

Públicas

Equipo de Recuperación

Equipo de Restauración

Equipo de Telecomuni-

caciones

Equipo de Obtención de Recursos y Logística

Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario

1.7.6. Definir un Proceso de Decisión y Control

Modelo de la estructura de comando y control

Nivel 2Táctico

Nivel 3Operativo

Nivel 1Estratégico

Esca

lada

del Control


Sección 12

Información documentada

a. Requisitos de la información documentada

b. Valor de la documentación

c. Creación de plantillas

d. Gestión de la documentación

e. Implementación de un sistema de gestión de

documentos

f. Redacción de la información documentada de

l SGCN

g. Control de los registros

1.8. Información documentada

1. Planificar 2. Hacer 3. Verificar 4. Actuar




1.4 Alcance

1.6 Política de CN





2.1 Análisis del Impacto

en el Negocio (AIN)



Negocio


Mitigación


2.6 Comunicación



evaluación





4.2 Mejora continua

Requisitos



7.5.1 Generalidades

El SGCN de la organización incluirá:- La información documentada requerida por esta norma internacional- Información documentada determinada por la organización como necesaria para la

eficacia del SGCN

7.5.2 Creación y actualización

Al crear y actualizar la información documentada, la organización deberá garantizar la adecuada:

a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia),

b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por ejemplo, papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.

Requisitos

Norma ISO 22301, cláusula 7.57.5.3 Control de la información documentadaLa información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para asegurar que:

a) Está disponible y apta para su uso, cuándo y dónde sea necesario,

b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida de integridad).

Para el control de la información documentada, la organización deberá abordar las siguientes

actividades, según corresponda:- Distribución, acceso, recuperación y uso,- Almacenamiento y conservación, incluida la conservación de la legibilidad,- Control de los cambios (p. ej., control de versiones).- Retención y disposición- Recuperación y uso,- Preservación de la legibilidad (es decir lo suficientemente claro para leer), y - Prevención del uso no intencionado de información obsoleta.

La información documentada de origen externo determinada por la organización como necesaria

para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y

controlada.

Cuando se establece el control de la información documentada, la organización deberá asegurarse de que exista

una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la

modificación no autorizada o la eliminación).

Requisitos de Información Documentada

Resumen

Contenido Formato Ciclo de Vidadel Documento

Documentación del Sistema de Gestión

Tipos de información documentada

DescripcionesDel

Marco de Gestión

Describe los procesos,Procedimientos y controles(quién, qué, cuándo, cómo,

Dónde y por qué)

Describe en detalle cómo se llevan aCabo las tareas y actividades

Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Políticas, el alcance, revisión por la dirección, y otros documentos estratégicos

Descripción del proceso, actividades, controles y procedimientos

Hojas de cálculo, formularios listas de control, etc.

Registros

Valor de la Documentación

Notas importantes

• En muchas organizaciones, la creación de la

documentación está desproporcionada

• La preparación de los documentos no debería

ser un objetivo en sí mismo. Esta debe ser

actividad de valor añadido, soporte del SGCN

• La documentación que es demasiado es difícil

de manejar, a menudo no es comprendida por

los usuarios, por lo tanto, no se utiliza…

• Cada organización determina la extensión de

la documentación necesaria y los medios de

comunicación a utilizar



1.7 Estructuraorganizativa

1.9 Competencia ysensibilización

1.8.1 Creación deplantillas

1.8.2 Control de los documentos

1.8.3 Sistema de gestión

de documentos

1.8.4 Establecer laDocumentación

del SGCN

1.8.5 Control de los registros


1.8.1. Creación de Plantillas

Tipo de documentos

Tipo Objetivos

Política Intenciones y directrices generales de una organización formalmente expresadas por la Dirección

Procedimiento

Directrices

Plan de Continuidad del Negocio

Carta

Esquema de proceso

Normativa de proceso

Formulario

Guía

Hoja de datos

Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las directrices y las normas de apoyo se aplicarán realmente en un entorno operativo

Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas prácticas a seguir

Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en el caso de una crisis

Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios empleados, proveedores o prestadores de servicios

Esquema que ilustra el trabajo de un proceso

Explicación detallada de funcionamiento de un proceso como una descripción

Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)

Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación

Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.

1.8.2. Gestión de la documentación

El desarrollo de un proceso de gestión de la documentación y redacción de un procedimiento

c) Clasificación, indexado yseguridad

b) Identificacióna) Creación

d) Modificación

e) Aprobación

f) Distribución

g) Uso adecuado

h) Conservación y archivado

i) Eliminación

1.8.3. Implementación de un Sistema de Gestión de Documentos

• Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su

información• Custodiar el ciclo de visa complement0 de los documentos

• Garantizar la trazabilidad

• Garantizar el acceso a los documentos

Optimizar búsqueday actualización

1.8.4. Redacción de la Información Documentada Requerida del SGCN

Como mínimo, el SGCN debería contener la siguiente documentación:

1. El contexto de la organización

2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)

3. El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2)

4. Política de la continuidad del negocio (5.3)

5. Objetivos de continuidad del negocio (6.2)

6. Competencia (7.2)

7. Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2)

8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia consideradas

9. Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4)

10. Informes pos-ejercicio (8.5)

11. Monitoreo del SGCN (9.1)

12. Auditorías Internas (9.2)

13. Revisión por la dirección (9.3)

14. No Conformidades y acciones correctivas (10.1)

Información Documentada que puede ser Requerida

Además puede ser requerida la información documentada que abarca la siguiente información necesaria para asegurar la eficacia del SGCN:

1. Los contratos con clientes y los niveles de servicio

2. Resultados de los análisis de impacto en el negocio

3. Resultados de las evaluaciones de riesgo

4. Determinación y selección de las estrategias de continuidad del negocio

5. Resumen de respuesta ante incidentes

6. Programa de sensibilización

7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas

8. Programas de capacitación para la organización y los individuos.

9. Calendario de ejercicios

10. Contratos y acuerdos de nivel de servicio con los proveedores

11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta

12. Las pruebas de inspección, mantenimiento y calibración

13. Después de los incidentes los informes de incidentes y casi incidentes

14. Acta de la reunión de la revisión del SGCN

No van en el manual

Crear una Lista Maestra de Documentos

Buenas prácticas

Es una buena práctica crear una lista única de todos los documentos relacionados con el SGCN con información básica tal como:

El identificador único Título El tipo de documento Los nombres, funciones y servicios de los autores (y / o los propietarios) El nombre del responsable y la fecha de la aprobación Fecha de emisión Fecha de la versión y de la revisión Numeración de páginas Nivel de clasificación

1.8.5. Control de los Registros

o Los controles para garantizar la identificación, almacenamiento, protección,

disponibilidad, tiempo de conservación y eliminación de registros deben estar

documentados e implementados

o Los registros deben ser protegidos, permanecen legibles, fácilmente

identificables y accesibleso Ejemplos de registros:

Las actas de reunión Certificados de capacitación Enviar cartas a las partes interesadas Los informes de auditoría Informe de resultados de pruebas

Lista Maestra de Documentos

Ejemplo

Identificación Almacenamiento ResponsabilidadDuración de laconservación

Clasificación

Registro decapacitación

Departamento de Recursos Humanos

Director de Recursos Humanos

3 años Uso interno

Hoja de informeDe incidentes

Centro de ServiciosDirector

Centro de Servicios 2 años Confidencial

Ejercicios yRegistros de las

Pruebas delSGCN

Departamento de Gestión de Riesgos

Director de CN5 años Muy confidencial

7 añosSecretario del

Comité EjecutivoComité Ejecutivo

Revisión por laDirección

Muy confidencial

Gestión de la documentación

Problemas más comunes

Problema Causa potencial

Dificultad para encontrar o gestionar un documento

Cantidad demasiado grande de documentos mal clasificados y no catalogados

Incapacidad para extraer rápidamente información útil de un documento

Documento voluminoso, demasiado literario, a menudo con varios anexos

Actualizaciones de carácter tediosoLos procesos de gestión de documentos no están establecidos o poco explotados

Los empleados relacionados con las operaciones no han participado en la redacción de documentos

Diferencia entre los registros y procesos de negocio reales

Textos o gráficos ambiguos / incomprensiblesNo hay validación con los usuarios, la falta de formación y sensibilización, editor incompetente

Proliferación de versiones de los documentosNingún sistema de gestión de documentos en uso

Ejercicio 6

Lista maestra de documentos

Capacitación Implementador Líder en la ISO 22301

Sección 13

Competencia y sensibilización

a. Diferencia entre capacitación, sensibilización y comunicación

b. Definición de un programa de desarrollo de competencias

c. Evaluación de las competencias requeridas

d. Definición de un programa de capacitación

e. Definición de un programa de sensibilización

f. Evaluación y mejora continua del programa de

desarrollo de competencias

1.9. Competencia y Sensibilización




4.2 Mejora continua


evaluación






Negocio


Mitigación


2.6 Comunicación





1.4 Alcance



1.6 Política de CN



Requisitos


7.2 CompetenciaLa organización deberá:

a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su rendimiento.

b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y experiencia.

c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las medidas adoptadas, y

d) Mantener adecuada información documentada como evidencia de su competencia.

e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la re-asignación de los empleados; o la contratación o subcontratación de personas competentes.

7.3 ConcienciaLas personas que realizan trabajos en el control de la organización deberán tener en cuenta:

f) La política de continuidad del negocio,

g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad del negocio,

h) Las consecuencias de no conformidad con los requisitos del SGCN

i) Su papel durante los incidentes disruptivos.

Competencia y Capacitación

Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2

Capacidad demostrada para aplicar conocimientos y habilidades

Competencia

Capacitación

Proceso para proporcionar y desarrollar los conocimientos, las habilidades y las conducta para cumplir con los requisitos

CompetenteDesempeño

Practicante

Habilidades

Habilidadesde

conducta

Conocimiento

Con

ocim

ient

osde

Contexto

ContextoC

ontexto

Capacitación, Sensibilización y Comunicación

Diferencias

Sensibilización ComunicaciónCapacitación

Adquisición de habilidades

Cambio de hábitos Estar informado

Dirigida al intelectoDirigida principalmente a

las emociones y el comportamiento

Dirigida al intelecto

¿Qué habilidadesTienen que adquirir?

¿Qué comportamiento queremos reforzar o

cambiar?

¿Qué mensajes enviamos?

1.9. Competencia y Sensibilización


1.7 Estructuraorganizativa

1.8.2 Evaluación de las

competencias necesarias

1.9.1 Definir un programa de desarrollo de competencias

1.9.3 Definir un programa de capacitación

1.9.4 Definir unprograma de

sensibilización

1.9.5 Evaluacióny mejora continua


2.1 AIN

1.9.1. Definición de un Programa de Desarrollo de Competencias

ISO 22301 e ISO 22313 cláusula 7.2

La organización debería desarrollar un programa de desarrollo de competencias

que incluya: La evaluación de competencias para las función (es) que se llevarán a

cabo Creación de un programa de desarrollo personal que identifica

capacitación, supervisión, etc. Servicios de capacitación y tutoría incluyendo la selección de métodos

y materiales adecuados Intercambio de Conocimientos Trabajo compartido Contratación de una persona o personas competentes Evaluación y mejora continua del programa

1.9.2. Evaluación de las Competencias Requeridas

Ejemplo

Funciones

Función A

Función B

Función C

Función D

Función E

Políticas Crisis AIN LegalesAuditorias

A

BB R

C

BC

B

C

B A C

A A

A

A

Experiencia Conocimiento Nivel de Sensibilización

1.9.3. Definición de un Programa de Capacitación

Tipos de programa y sus objetivos

Sesión de Iniciación

Educación continua

Educación Básica (Universidad)

Obtener información sobre temas específicos

Mantenimiento de las habilidades y adquisición de habilidades especificas

Adquisición de habilidades generales

Principales Métodos de Capacitación


Taller

Cuando se selecciona una solución de capacitación para cerrar las brechas de competencia, deberían ser especificadas y documentadas las necesidades de capacitación

Deberían enumerarse los posibles métodos de capacitación a fin de satisfacer las necesidades de formación. La forma adecuada de capacitación dependerá de los recursos enumerados, las limitaciones y objetivos

Aprendizajea distancia

Autocapacitación

Aprendizaje

Métodos de capacitación

Cursoen el sitio o

fuera delsitio

Instrucciónen el puestode trabajo

1.9.4. Definición de un Programa de Sensibilización

Temas principalesLas personas que realizan trabajos en el control de la organización deberán tener en cuenta:

La política de continuidad del negocio,

Su contribución al SGCN prevista

Los beneficios de la continuidad del negocio

Su papel durante los incidentes

Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio de la organización es un Proceso en curso

1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de Competencias

El objetivo de la evaluación es confirmar que se han cumplido los objetivos de ambas competencias de la organización y las individuales, es decir, el programa de desarrollo ha sido efectivo

Capacitación Implementador Líder Certificado en la ISO 22301

Sección 14

Análisis de Impacto en el Negocio (AIN)

a. Propósito de un AIN

b. Planificación de un AIN

c. La recopilación de datos

d. Análisis de los datos

e. Validación de los datos

f. Presentación del informe del AIN

2.1. Análisis del Impacto en el Negocio (AIN)




4.2 Mejora continua


evaluación


3.3 Revisión por la Dirección




Negocio


Mitigación


2.6 Comunicación





1.4 Alcance


1.6 Política de CN




Requisitos

ISO 22301, cláusula 8.2.2Análisis del impacto en el negocio

La organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para determinar las prioridades, objetivos y metas de continuidad y recuperación. Este proceso deberá incluir la evaluación del impacto de interrumpir las actividades que apoyan las actividades de productos y servicios de la organización.

El análisis del impacto en el negocio deberá incluir lo siguiente:

a) Identificación de las actividades que favorezcan la presentación de los productos y servicios;

b) Evaluar el impacto en el tiempo de no realizar estas actividades;

c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas serían inaceptables; e

d) Identificar las dependencias y recursos de soporte para estas actividades,

e) Incluyendo a proveedores, socios externos y otras partes interesadas.

Actividades y Recursos Prioritarios

Propósito de un AINObtener una comprensión de los productos y servicios clave de la organización y la actividades que los ofrecen

Determinar las prioridades y los plazos para reanudar actividades

Identificar los principales recursos que puedan ser necesarios para la continuidad y recuperación

Identificar las dependencias (tanto internas como externas)

2.1. Análisis del Impacto en el Negocio (AIN)


1.9 Competencia y capacitación

2.2 Evaluación del Riesgo

2.1.1 Planificación del AIN

2.1.2 Recolección de los datos

2.1.3 Análisis de los datos

2.1.4 Validación de los datos

2.1.5 Presentación del Informe del AIN

2.1.1. Planificación de un AIN

Actividades

1 Determinación del enfoque y el método de recolección de datos

2

3

4

Identificación de las actividades que soportan los productos y servicios clave

Selección de los impactos que se van a analizar

Preparación de las herramientas del AIN

1. Determinación del Enfoque y el Método de Recolección de Datos

Determinación del enfoque

El enfoque puede ser cuantitativo (con cálculo de consecuencias financieras) y/o cualitativo (evaluación de impactos no financieros como la reputación, el servicio de atención al cliente, etc.)

Determinación del método

La recopilación de datos del AIN puede hacerse con una combinación de métodos como taller, entrevistas y cuestionario

Crear un equipo de AIN e identificar a quienes van a responder las entrevistas (de las funciones de negocio y las funciones de apoyo)

Identificación de los participantes

II. Identificar la Actividades que dan Apoyo a sus Productos y Servicios Principales

NADA

Las actividades a considerar• Las que apoyan la misión de la organización y que son vitales para sus logros

• Relacionadas con obligaciones legales y/o contractuales

Principales Actividades de Negocio

Ejemplo basado en la cadena de valor de Porter

Gestión de Infraestructuras

Gestión de Recursos Humanos

Finanzas y contabilidad

I+D Marketing Diseño Producción Distribución Atención alcliente

InvestigaciónY Desarrollo

Ventas

Marketing Diseño

Suministros

Transformación

Control de calidad

Fabricación

Exportación

Embalaje

Servicios Pos venta

III. Selección de los Impactos a Analizar

La

s i

nte

rru

pc

ion

es

IMPACTOS

SANCIONES• Contractuales• Regulatorias• Legales

PÉRDIDA DE INGRESOS• Pérdida Directa• Pagos Compensatorios• Ingresos Futuros Perdidos• Pérdida de Inversión

DAÑOS A LAREPUTACIÓN• Clientes, Proveedores, Socios, Bancos Mercados Financieros• Calificaciones de Crédito

GASTOS ADICIONALES• Costo de la Recuperación• Gastos Extras• Mayor Riesgo de Fraude• Una Mayor Tasa de Error• Los Gastos de Viaje• Los Empleados Temporales

RECAUDACIONES RETRASADAS• Las Pérdidas de Facturación• Descuentos Perdidos

PÉRDIDA DE PRODUCTIVEDAD• Número de Empleados afectados• Número de horas perdidas• % de Capacidad perdida

IMPACTOS EN SEGURIDAD• La pérdida de vida o lesiones• Irritación de las vías respiratorias• Enfermedad

IMPACTO AMBIENTALES• Contaminación del suelo• Contaminación del aire• Contaminación del agua• Devastación de la flora y la fauna

IV. Preparación de las Herramientas del AIN

Principales herramientas

o “Peor de los casos”

o Cuestionario

o Guía para al responder a los cuestionarios

o Guía para facilitadores y entrevistadores de talleres

o El Programa y la presentación de un taller

o Presentación de lanzamiento

o El software del AIN

2.1.2. La Recopilación de Datos

Durante el análisis del impacto en el negocio, es recomendable recoger datos a través de cuestionarios, entrevistas, o talleres

o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero estos datos se deberían recopilar sólo para respaldar o complementar los datos a través del contacto directo con expertos en la materia

o Durante la fase de recolección de datos, la siguiente información debería ser recopilada:

Evaluación de los impactos Identificación de los objetivos de continuidad del negocio, como RTO, RTP y

MBCO Documentación de actividades prioritarias

I. Evaluación de los Impactos

Ejemplo

Umbrales de Impacto

4Critico

1Limitado

3Grave

2Importante

Riesgo Financiero

Impacto a laFuncionalidad

Impacto en laImagen Pública

Compromiso de Responsabilidad

Riesgo Financiero

Riesgo Financiero

Riesgo Financiero

Riesgo Financiero

Sin más retrasodespués de 3meses

Sin más retrasodespués de 1mes

Sin más retrasodespués de 2semanas

Sin más retrasodespués de 1semana

LimitadaDivulgación de Incidentes

SignificativoCambio de Imagen Pública

ImportanteCambio de Imagen Pública

CambioPermanente de la Imagen Pública

Quejas de los Clientes

Cuestionamientode los ContratosActuales

Cancelación de los ContratosActuales

Destitución delDirector General/o miembros de laDirección

Impacto Económico,Humano y Social Riesgo Financiero

QuiebraPérdidaFinancieraLimitada

PérdidasFinancierasImportantes

DeudasFinancieras

II. Identificación de los Principales Recursos y Dependencias Vinculados a los Procesos Críticos

Ejemplo con un proceso de producción

III. Identificación de los Objetivos de Continuidad del Negocio

RPO y RTO

Objetivo de punto de recuperación (RPO, por sus siglas en inglés)

Objetivo de tiempo de Recuperación (RTO)

• Punto en que la información utilizada por una de las actividades debe ser restaurada para que la actividad pueda funcionar tras la reanudación.

• Periodo de tiempo después de un incidente en el que: el producto o servicio deben reanudarse; o la actividad debe reanudarse; o los recursos deben ser recuperados.

RPO y RTO

Ejemplo

Objetivo de punto de Recuperación (RPO)

(Máxima pérdida de datos aceptable

Objetivo de Tiempo de Recuperación (TTO)

El tiempo máximo aceptable

DesastreDesastre

Tiempo0:00

Copia de seguridaden cintas(7 Días)

Copia de seguridad de la red

(24 H)

Sistema de espejos(1 Minuto)

Crítico(1 H)

MuyImportante

(12 h)Importante

(72 H)

Identificación de los Objetivos de Continuidad del Negocio

OMCN (MBCO)

Objetivo Mínimo de Continuidad del Negocio OMCN (MBCO)

• Nivel mínimo de los servicios y/o productos que es aceptable para la organización para alcanzar sus objetivos de negocio durante una interrupción

100 % Nivel de servicio normal

40 %

Objetivo Mínimo de Continuidad del Negocio (MBCO)0 %

IV. Documentación de las Actividades Prioritarias

Resumen basado en las mejores prácticas

1

2

3

4

5

Descripción de la Función Empresarial

Impacto del Flujo de Trabajo

Consecuencias de No Procesar

Las Dependencias

Las Actividades críticas

2.1.3. Análisis de los Datos

Transcribir en minutas de entrevistas o síntesis de documentos

Comprobar que todas las preguntas que aplican se han complementado

Comprobar que los objetivos de continuidad de la empresa se justifican por los impactos operativos y/o financieros

Identificar los elementos que se deben aclarar

Identificar incoherencias

? ?

???

??

?

2.1.4. Validación de Datos

Validar con:o Gerente de la función de negocioo Director del Departamento

Cualquier cambio en los datos recopilados debe estar documentado y aprobado En la parte final de esta fase, asegúrese de que toda la información recopilada está completada, es precisa y está acordada por las personas implicadas

Validación de datos

2.1.5. Presentación del Informe del AIN

El informe del AIN

No hay formato normalizado para un informe del AIN y al igual que con muchos otros procesos, documento es probable que siga el formato estándar de la organización

Como mínimo, el informe del AIN debe incluir:

La lista de actividades queApoyan a los principales productos y servicios.Las evaluaciones de impactoEl RTO y las prioridades de la empresa para la recuperación Importantes dependencias y recursos de soporte

Resumen de Objetivos de Recuperación

Objetivo de Punto de Recuperación (RPO, porsus siglas en inglés

Objetivo de Tiempo deRecuperación(RTO)

Corte máximo aceptable(MAO)

Plan de protección y deMedidas de mitigación

Plan de capacitación y sensibilización

Desastre

Nivel de servicionormal100%

40%

0%

Última copia de seguridad

Objetivo Mínimo de Continuidaddel Negocio (MBCO) Horas Día

Llegar al punto de losServicios mínimos a

recuperar

Volver a Normal

Semana Mes Tiempo

Análisis de Impacto en el Negocio (AIN)

Resumen con un ejemplo

APORTACIONESDE LAS PARTESINTERESADAS

ProcesarFactura

Elaborarfactura

ProcesarFactura

ProcesarFactura

Operaciones más de 1.000Empleados afectados

Reputación –medios deComunicación anuncianpreocupaciones

Reputación –visión delcongreso

Servicio de atención al Cliente-más de 500 quejas de losclientes

72Horas

30 Horas

36Horas

36Horas

Servidor de Aplicaciones

Servidor Web

Servidor de Base de datos

Los ordenadores de escritorio

36 Horas

24Horas

12Horas

30Horas

Proceso de Negocio

ImpactosPotenciales

Máximo de Inactividad Tolerable

Componentes delSistema

Objetivo deTiempo

de Recuperación

Interdependencias

Ejercicio 7

Análisis del Impacto en el Negocio (AIN)


Sección 15

Evaluación de riesgos

a. Identificación de riesgos

b. Análisis de riesgos

c. Estimación de riesgos

2.2. Evaluación de Riesgos

1. Planificar 1. Planificar 1. Planificar 1. Planificar

4.2 Mejora continua

4.1 No conformidades y acción correctiva



3.1 Supervisión, medición, análisis yevaluación


2.6 Comunicación



Mitigación


Negocio






1.4 Alcance


1.6 Política de CN




Proceso de Gestión de Riesgo (ISO 31000)

a. Crear valorb. Parte integral de los procesos de la organizaciónc. Parte de la toma de decisionesd. Aborda explícitamente

la incertidumbree. Sistemática,

estructurada y oportuna

f. Sobre la base de la mejor información disponible

g. Adaptadah. Toma en cuenta los

factores humanos y culturales

i. Transparente e inclusiva

j. Dinámica, interactiva y sensible a los cambios

k. Facilita la mejora continua y la optimización de la organización de la organización

Principios (cláusula 3)

Mandato y compromiso (4.2)

Diseño del marco de trabajo de la

Gestión de riesgos (4.3)

Mejora continuaDel marco

De trabajo (4.6)

ImplementaciónDe la gestión

De riesgos (4.4)

Seguimiento yRevisión del marco

De trabajo (4.5)

Marco (cláusula 4)

Establecer el contexto (5.3)

Evaluación de riesgos

Identificación de Riesgos (5.4.2)

Análisis de Riesgos (5.4.3)

Evaluaciónde Riesgos (5.4..4)

Tratamiento delRiesgo (cláusula 5.5):

Com

unic

ació

n y

cons

ulta

(5.

2)

Seg

uim

ient

o y

revi

sión

(5.

6)

Proceso (cláusula 5)

Herramientas y Métodos para la Evaluación de Riesgos Presentados en la Norma ISO 31010

Tormenta de ideas

Lista de verificación

Análisis de árbol de fallos

Entrevistas estructuradas osemi-estructuradas

Análisis de riesgo primario

Estudios de peligros yOperabilidad (HAZOP)

Análisis de Peligros y Puntos de Control Críticos ((APPCC)

Evaluación de riesgosmedioambientales

Estructura “¿Y si?” > (SWIFT)

Análisis de escenarios

Análisis del impacto en el negocio

Análisis de la causa raíz

Análisis de protección de la capa (LOPA)

Análisis de causa y efecto

Análisis de causas y consecuencia

Análisis de árboles de sucesos

Delphi

Modo de FallaAnálisis de los efectos

Mantenimiento centrado en la fiabilidad

Análisis de lazo

Análisis de fiabilidad humana

Árbol de decisión

Curvas FN

Estadísticas Bayesianas y Bayes

Simulación de Monte Carlo

Análisis Markov

Análisis furtivo de circuitos

Análisis de la relación coste/beneficio

Matrices de probabilidad / consecuencia

Índices de Riesgo

Análisis de decisión por multi-criterios (MCDA)

2.2. Evaluación de Riesgos


2.1 AIN

2.3 Política de CN

2.2.1 Identificación del riesgo

2.2.2 Análisis del riesgo

2.2.3 Evaluación del riesgo

2.2 Evaluación de Riesgos

2.2.1. Identificación de Riesgos


Las organizaciones deberían:

Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus

causas Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias La organización debería aplicar herramientas y técnicas de identificación del riesgo

que se adapten a sus objetivos y aptitudes, así como a los que está expuesta

Enfoque y Métodos de Identificación de Riesgos


o Los métodos de identificación de riesgo pueden incluir: Métodos basados en la evidencia, ejemplos de los cuales son las listas de verificación

y los comentarios de datos

Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso

sistemático para identificar los riesgos por medio de un conjunto estructurado de

mensajes o preguntas

Técnicas de razonamiento inductivo como HAZOP

o Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad

en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi

1 HAZOP = estudios de Peligros y Operabilidad

Identificación de Riesgos

Principales elementos incluidos en los Métodos de Evaluación de Riesgos

1. Determinación de los criterios de aceptación de riesgos y la determinación de los

niveles de riesgo aceptables

2. Identificación de los activos

3. Identificación de las amenazas a las que se enfrentan los activos

4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas

5. Identificación de los impactos

6. Análisis y evaluación del impacto

7. Análisis y evaluación de la probabilidad

8. Evaluación de los niveles de riesgo

9. Determinación de umbrales aceptables sobre la base de riesgos establecidos

10. Identificación y evaluación de opciones de tratamiento del riesgo

11. Selección de las medidas y controles para tratar los riesgos

2.2.2. Análisis de Riesgos


El Análisis de riesgos se define como el análisis de un entorno de riesgos

Cada riesgo se evalúa de acuerdo con:

Las pérdidas que pueden ocasionar La probabilidad de ocurrencia El costo de las contra medidas para mitigar el riesgo y La pérdida probable si esas contra medidas fueron aplicadas

Enfoque y Métodos de Análisis del Riesgo


Análisis Cualitativo:Define la consecuencia, la probabilidad y el niel de riesgo por niveles de significación, como “alta”, “medio” y “bajo”, puede combinar la consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante de los criterios cualitativos

Análisis Cuantitativo:Estima los valores estimados para las consecuencias prácticas y sus probabilidades, y produce los valores del nivel de riesgo en las unidades especificas definidas en el desarrollo del contexto. Un completo análisis cuantitativo puede no ser siempre posible o deseable debido a información insuficiente

Análisis de Escenarios de Riesgo

Las categorías habituales

1

2

3

5

4

7

6

Escenarios con edificios

Escenarios de utilidades

Escenarios en los sistemas de comunicación

Escenarios de sistemas informáticos

Escenarios de consumibles

Escenarios que involucran personas

Escenarios de información o datos


Ejemplo

Escenario 1

No disponibilidad del edificio

Posibles Causas/Amenazas

Consecuencias Impacto

Fuego

Inundación

Amenaza de bomba

Huelga

Manifestación

Fuga de gas

Huracán

Terremoto

Se ha detenido la producción

Incapacidad para garantizar la logística de entrega

Incapacidad de facturar bienes entregados

3

Probabilidad

2

Nivel de Riesgo

6

Comentarios: En los últimos 10 años, la organización ha perdido 9 días debido a la no disponibilidad del edificio (una huelga de 7 días, 1 día por una alerta, 1 por un fuga de gas)

Cálculo de la Determinación de Riesgo

Ejemplo de un cálculo del riesgo

Valor de los

activos

Posibilidad de ocurrencia - Amenaza

Baja

Nivel de Vulnerabilidad

AltaMediana

B

0

3

2

1

MB AM A B M A

0

4

3

4

1

2

1

2

4

3

5

2

6

3

4

5

1

2

4

3

5

2

3

4

5

6

3

4

6

5

7

2

3

5

4

6

3

4

5

6

7 8

7

6

5

4

2.2.3. Evaluación de Riesgos


o La evaluación de los riesgos es la comparación de los niveles de riesgo

estimados con los criterios de evaluación y los criterios de aceptación de riesgos

y priorizarlos

o La estimación de riesgos es necesaria antes de tomar una decisión sobre las

posibles opciones para el tratamiento de riesgos incluyendo:

Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado

A cuáles riesgos se les dará prioridad

Decisión como resultado de la evaluación de Riesgos


Las decisiones pueden incluir:

Si un riesgo necesita tratamiento

Prioridades de tratamiento

Si una actividad debe llevarse a cabo

Cuál, de una cantidad de caminos debería seguirse

Nota: La decisión sobre las medidas a tomar después de la evaluación del riesgo se verá influida por el nivel

de apetito por el riesgo de la organización

Ejemplo de una Matriz de Evaluación de Riesgos

AmenazaValor de

consecuencia(activo)

Probabilidad de ocurrencia de la amenaza

Nivel de riesgo

Orden de prioridad de la amenaza

Escenario A

Escenario B

Escenario D

Escenario C

Escenario E

Escenario F

5 2102

2

3

4 38

155 1

4

1 3

2

1

4

3

4

8

5

4

33

Evaluación de Riesgos

Selección de medidas de protección y mitigación

o Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las

medidas de gestión apropiadas y las prioridades de gestión de los riesgos y

para aplicar las medidas de protección y mitigación para proteger contra estos

riesgos

o Las medidas pueden ser seleccionadas a partir de varias normas o pueden

diseñarse nuevos controles para satisfacer las necesidades especificas de la

organización

o La selección de medidas de protección y mitigación se detallan en el Día 3

Día 3




Sección 16 Estrategia de continuidad del negocio

a. Análisis de las opciones de la estrategia de CN

b. Selección de la estrategia de protección de actividades

prioritarias

c. Selección dela estrategia para estabilizar, continuar

reanudar y recuperar actividades prioritarias

d. Selección de la estrategia para la mitigación,

respuesta y manejo de los impactos

e. Evaluación de las capacidades de continuidad del

negocio de los proveedores

2.3. Estrategia de Continuidad del Negocio



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


8.3 Estrategia de continuidad del negocio

8.3.1 Determinación y selección

La determinación y selección de la estrategia deberá basarse en los resultados de los análisis de impacto en el negocio y la evaluación de los riesgos.

La organización deberá determinar una adecuada estrategia de continuidad del negocio para:

a) Proteger las actividades prioritarias,

b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus dependencias y recursos de soporte, y

c) Mitigar, responder al impacto y gestionarlo.

La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la

Reanudación de las actividades.

La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del

Negocio de los proveedores

Estrategia de Continuidad del Negocio

o El objeto de la Selección de la Estrategia es colaborar en la definición de las

necesarias para proteger a la organización y para seleccionar las soluciones

para la recuperación más adecuada para las funciones críticas de la empresa

y los recursos de soporte

o La estrategia debe encarar los resultados del AIN y la evaluación del riesgo

o La estrategia de continuidad del negocio es la base

para los Planes de Continuidad del Negocio

STRATEGY

2.3. Estrategia de Continuidad del Negocio

Lista de las actividades

2.1 AIN2.2 Análisisde riesgos


mitigación

2.3.1 Análisis &Selección de

Una estrategia

2.3.2 Estrategiapara proteger

las actividadesprioritaria

2.3.4 Estrategia para mitigar, responder a y

gestionar impactos

2.3.3 Estrategia para Estabilizar, continuar, Reanudar y recuperar

2.3.5 Evaluación de las capacidades de

los proveedores

2.3 Estrategia de C.N.

2.3.1 Análisis de las Opciones de la Estrategia de CN

La organización debería determinar las opciones de estrategia para:

Proteger actividades prioritarias

Estabilizar, continuar, reanudar y recuperar actividades prioritarias

Mitigar, responder al impacto y gestionarlo

2.3.2 Selección de la Estrategia para la Protección de Actividades Prioritarias

La protección de actividadesPrioritarias puede ser dirigida a:

2

31

• Reducir el riesgo de la actividad

• transferir la actividad a un tercero (aunque la responsabilidad sigue siendo de la organización

• Cesar o modifica la actividad si existen alternativas viables

2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar y recuperar actividades prioritarias

La organización debería determinar las opciones apropiadas de terminar las opciones apropiadas de estrategia para:

1

2

3

5

4

Traslado de la actividad

Re- ubicación o re- asignación de recursos

Procesos alternativos y capacidad de reserva

Sustitución de habilidades y recursos

Solución temporal

2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y Manejo de los Impactos

La organización debería determinar las opciones apropiadas de estrategia para:

A) L

a co

ntra

taci

ón d

e un

segu

ro

B) R

estauración de activos

C) Gestión de la reputación

La compra de seguros puedeOfrecer cierta compensaciónFinanciera en caso de pérdidas,Pero no cubrirá todos los costes

La contratación de los servicios de las compañías que se especializan en la limpieza o reparación de bienes después de los daños

Desarrollo de una efectiva capacidad de comunicación y deAlerta y establecer procedimientos de comunicación eficaces

Ejemplo de Opciones de la Estrategia de CN

Las estrategias de CN disponibles y el RTO que cumplen

IX Sitio cliente

VII,Trabajo a distancia

VI, Sitiotibio

V, Acuerdo reciproco

IV, Sitio móvil

III, Sitiofrio

Ninguna Estrategia

VIII,Traslado a

otros centrosdel grupo

II,Reconstruccióny restauración

COSTO

DE

LA

ESTRATEGIA

TIEMPO DE RECUPERACIÓN

I. Ninguna Estrategia

Ninguna estrategia definida No hay documentación de recuperación y continuidad del negocio No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia utilizada por las organizaciones con un evaluado apetito por el riesgo o de un sitio con baja criticidad; también puede ser cuando un producto tiene una vida útil limitada

Car

acte

ríst

icas

DesventajasVentajas

La estrategia menos costosa para aplicar

La estrategia más cara después de un desastre…

II. Reconstrucción y Restauración

La estrategia se enfoca principalmente en los seguros Documentación de los bienes materiales e instalaciones No se envían datos fuera del sitio, y no hay ningún otro sitio identificado Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio con poca criticidad C

arac

terí

stic

as

DesventajasVentajas

Estrategia de bajo costo y fácil de implementar Protección contra las pérdidas financieras de los activos físicos

Estrategia que generalmente no toma en cuenta los procesos de negocio y los activos inmateriales Estrategia que no incluye un plan para asegurar la continuidad de las operaciones en caso de desastres

III. Sitio frío

Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC en inglés) Listo para recibir el equipo pero no hay hardware de computación en el sitio Los enlaces de comunicación pueden o no estar preparados Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca criticidad C

arac

terí

stic

as

DesventajasVentajas

Bajo coste Rápido de implementar Fácil de mantener

Falsa sensación de seguridad El tiempo de recuperación puede ser largo dependiendo de la complejidad de la tecnología y el equipo utilizado por la organización El proveedor d e servicios puede sobre valorar las capacidades de procesamiento

IV. Sitio móvil

Tráiler que puede transportarse rápidamente a un sitio alternativo

Puede ser pre configurado con servidores, equipos de escritorio, equipos de comunicaciones, microondas y enlaces para la transmisión de datos por satélite

Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica C

arac

terí

stic

as

DesventajasVentajas

Bajo coste Rápido de implementar Fácil de mantener Flexibilidad

La capacidad de los equipos puede ser insuficiente para la necesidad

V. Acuerdo Recíproco

Acuerdo con otra empresa con hardware o configuraciones de software similares

Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad (Gran Suposición)

Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto con un entorno de tecnología compatible

Car

acte

ríst

icas

DesventajasVentajas

Bajo o ningún costo

Si los requisitos de procesamiento son similares puede ser variable

Muy poco probable la existencia de la capacidad

Limita severamente la capacidad de respuesta y apoyo

VI. Sitio Tibio

Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y enlace de comunicación Las estaciones de trabajo y las impresoras están disponibles pero el software puede no estar instaladoEstrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un sitio con baja o media criticidad C

arac

terí

stic

as

DesventajasVentajas

Costo – mucho menos que el del sitio Caliente

Ubicación: Ya que se requiere menos control, los sitios pueden ser más flexibles

El proveedor de servicios puede sobre valorar capacidades de procesamiento

VII. Trabajo a Distancia

Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la empresa, por ejemplo hoteles

Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio

Car

acte

ríst

icas

DesventajasVentajas

Bajo costo y fácil de implementar para una organización pequeña

Solución Flexible flexibles

Debido a cuestiones de seguridad y confidencialidad esta opción no siempre es adecuada Difícil de coordinar para grandes organizaciones

VIII. Traslado a Otros Centros del Grupo

En el caso de un incidente perjudicial de una división de la organización, el traslado se hará a otro centro de la misma organización

Estrategia utilizada por grandes organizaciones con varias instalaciones

Car

acte

ríst

icas

DesventajasVentajas

Costo puede ser bajo a medio Fácil de implementar En la mayoría de los casos, compatibilidad de tecnología Respuesta rápida de activar

No tiene una garantía de la existencia de la capacidad cuando sea necesario

Contención de recursos durante los desastres

IX. Sitio Caliente

Las aplicaciones se instalan en los servidores y las estaciones de trabajo

Las estaciones de trabajo y servidores están actualizados

Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o para un sitio con alta criticidad

Car

acte

ríst

icas

DesventajasVentajas

Disponibilidad 24/7, exclusividad de uso

Disponible de inmediato

Admite interrupciones de corto y largo plazo

Costoso Requiere de un constante mantenimiento de hardware, software, datos y aplicaciones Seguridad del sitio caliente, la seguridad del sitio primario se debe duplicar

2.3.5 Evaluación de las Capacidades de Continuidad del Negocio de los Proveedores

o La organización debería evaluar los riesgos relevantes y, a continuación,

adoptar las medidas adecuadas para garantizar que equipos críticos y los

servicios de los proveedores pueden ser garantizados en caso de un incidente

de interrupción que los afectao Debería hacerse una evaluación periódica de la capacidad del CN para las

actividades críticas tercerizadas o que dependen de un proveedor, Que puede

ser por: Pedir que los proveedores estén certificados en la ISO 22301

Auditoría de los proveedores

La comprobación auditada de la viabilidad de los planes de continuidad

de los proveedores clave

Firma de un Acuerdo

Cuando la estrategia depende de un sitio alternativo

1. Durante del acuerdo o contrato

2. Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas

3. Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios

4. Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato

5. Necesidades en materia de sistemas de información (incluidos los datos y requisitos de telecomunicaciones ) para el hardware, el software y las necesidades especiales del sistema (hardware y software)

6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad

7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto

8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba

9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación electrónicos e impresos

10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los servicios del sistema de información prestados), el proceso de negociar la ampliación del servicio

11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales)

12. Otras cuestiones contractuales, según corresponda

Ejercicio 8

Selección de una estrategia de continuidad del negocio


Sección 17 Las medidas de mitigación y protección

a. Medida de mitigación y protección

b. Medida preventiva

c. Medida de detección

d. Medida correctiva

2.4. Las Medidas de Mitigación y Protección



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


Protección y mitigación

Para identificar los riesgos que requieren tratamiento, la organización deberá estudiar medidas pro activas que:

a) Reduzca la posibilidad de una interrupción;

b) Acorde el periodo de interrupción; y

c) Limiten el impacto de una interrupción en la provisión de los productos y la presentación de los servicios principales de la organización.

La organización deberá elegir e implementar un tratamiento de riesgo apropiado

según su nivel de aceptación del riesgo

2.4. Las Medidas de Mitigación y Protección


2.1 AIN

2.5 Plan de laContinuidaddel Negocio

2.4.1 Medidas preventivas

2.4.2 Medidas dedetección

2.4.3 Medidas correctivas


2.3 Estrategia de la Continuidaddel Negocio

2.6 Comunicación

Aplicación de las Medidas de Mitigación y Protección

Desastre

MedidasPreventivas

Medidas deDetección

MedidasCorrectivas

Escenarios de Riesgo y la Selección de las Medidas de Mitigación y Protección

Ejemplo

Escenario Probabilidad Impacto Evaluación Medidas de Protección y Mitigación

Fracaso de los

servicios públicos

AltoGrave (3)Posible (3)

• Redundancia en la protección de equipos de aire acondicionado• de salas técnicas• Contrato de Intervención Rápida• Redundancia de las tareas de mantenimiento• Documento de las tareas de mantenimiento

Acceso alsitio no

autorizadoRegular (4)

Importante(2)

Alto• Hacer valer el respeto de la política de seguridad física• Hacer valer el respeto de la política de acceso físico para las dependencias y los recursos

Vandalismointernacional externo

Posible(3) Grave (3) Alto• Redundancia del sistema• Las pruebas periódicas de los equipos de emergencia

Falloeléctrico

Raro (2)Importante

(2)Significativo

• Pruebas periódicas de generadores de electricidad• Estar conectados a dos estaciones de transformadores eléctricos• UPS y parada segura de la maquinaria• Utilización de equipos con doble fuente de alimentación• Contratos de Intervención Rápida

2.4.1. Aplicación de Medidas Preventivas

Gestión de riesgos

Mantenimientodel

equipamiento

Gestión del Cambio y de laconfiguración

Protección física

y lógica

Reducir la probabilidad y el posible impacto

Medidas preventivas:- Trabajar de manera pro activa- Asegurarse de que su preparación es adecuada- Desalentar o prevenir la aparición de problemas- Debe estar basada sobre la mejora continua

2.4.2. Aplicación de Medidas de Detección

SeguimientoGestión de incidentesAlertas

Reducir el impacto

Medidas de detección:- Detectar e identificar anomalías- Dar indicaciones rápida- No son discriminativas- Deben ir seguidas de un procedimiento de escalada

2.4.3. Aplicación de Medidas Correctivas

Planes de CN yRD (Recuperaciónante Desastres)

Seguimientode No-

conformidades

Copia deseguridad

Comunicación

Mitigación de las consecuencias

Medidas correctivas:- Trabajar a corto y largo plazo- Deben seguir la gestión del cambio- Muy probablemente necesitan la participación humana- Debe incorporarse en la mejora continua

Ejercicio 9

Medidas de mitigación


Sección 18 Planes y procedimientos de continuidad del negocio

a. Desarrollo del plan de continuidad del negocio

b. Estructura y formato del plan

c. Contenido del plan de continuidad del negocio

d. Tipos de planes de continuidad del negocio

e. Activación de los diferentes planes

2.5. Planes y Procedimientos de la Continuidad del Negocio



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


Establecer y aplicar procedimientos de continuidad del negocio

La organización deberá establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un evento perturbador y continuar sus actividades sobre la base de objetivos de recuperación identificados en el análisis del impacto en el negocio .

La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial.

Requisitos


Planes de continuidad del negocio

La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades de las personas que van a utilizarlos.

Cada plan deberá definir:- Finalidad y alcance;- objetivos;- criterios y procedimientos de activación- procedimientos de aplicación;- funciones, responsabilidades y autoridades;- requisitos y procedimientos de comunicación;- Las interdependencias y las interacciones internas y externas.- necesidades de recursos; y- flujo de información y procesos de documentación

Plan de Continuidad del Negocio (PCN)

Objetivos

o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO

o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta

inicial al punto en el que se reanudan las operaciones comerciales normales

o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos

para la continuidad del negocio y los equipos de recuperación de recursos

En particular, el plan asigna roles y su rendición de cuentas, responsabilidad

y autoridad

El plan debe detallar las interfaces y los principios para hacer frente a una serie

de cuestiones clave como, por ejemplo las comunicaciones internas/externas

principales proveedores, entidades externas, servicios de emergencia y los

medios



2.2 Análisisde Riesgos


2.5.1 Proceso deldesarrollo del

plan

2.5.2 FormatoY estructura

Del Plan

2.5.3 Redactarel/los plan (es)

de CN

2.3 Estrategia de la Continuidaddel Negocio

2.4 Medidas de Proteccióny mitigación

2.6 Comunicación

2.5.4 Redactarlos procedimientos

de CN

2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio

4. Recopilarinformación

1. Nombrarun

responsable

2. Enfoque yestrategia

3. Estructura,Formato,

componentes

6-9 Revisión

8. Uso

5.Redacción

7. Publicar

2.5.2. Definir un Formato y Estructura del Plan

Recomendaciones

o La estructura del PCN debe ser personalizada para satisfacer las necesidades

específicas de la organización

o Aunque el seguimiento de una estructura de PCN no es obligatorio, se

recomienda un formato estándar de PCN que permita la aplicación coherente en

toda la organización

o La buena prácticas identifican que un PCN debería ser de diseño modular con

diferentes secciones numeradas / nombradas consecutivamente

Las distintas secciones del PCN proporcionan la oportunidad de formar

documentos separados (denominados: módulos, secciones o “sub planes”) que

pueden ser suministrados a las personas y/o equipos sobre la base de saber lo

necesario


Contenido mínimo requerido por la ISO 22301

1 Finalidad y alcance

2

3

5

4

7

6

8

9

Requisitos y procedimientos de comunicación

Las interdependencias y las interacciones internas y externas

Recursos necesarios

Flujo de información y procesos de documentación

Las funciones, responsabilidades y autoridades

Procedimientos de aplicación

Criterios y procedimientos de activación

Objetivos

Contenido a excluir del Plan de CN

Los siguientes datos no son esenciales para la invocación y el funcionamiento del plan de continuidad del negocio y deberían ser excluidos y mantenidos en documentos separados:

X Evaluación de Riesgos

X Análisis del Impacto en el Negocio (AIN)

X Informes de Ejercicios, Ensayos o Pruebas

X Proceso de Mantenimiento

X Informe de Auditoría

X Otra información y registros no esenciales

Contenido del Plan de Continuidad del Negocio (parte 1)

Ejemplo

Descripción de la Sección

1. Descripcióngeneral del Plan

Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan, registro de evento o decisión

2. La rendición de cuentas,

Responsabilidades yautoridades

3. Notificación,invocación y

escalada

4. Equipo de GCN

5. contactos

6. Lista de tareas y ayuda memorias

7. Información de soporte

Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,Equipo de GCN de la Unidad de Negocio

Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesosde escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una cascada inversa) y/o diagrama de flujo

Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN, Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando

Personal interno, contactos externos incluyendo expertos en la materia

Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas

Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico, proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios especializados, comunicaciones

Contenido del Plan de Continuidad del Negocio (parte 2)


8. Las Actividades Criticas de la Empresa

Calendario de las Actividades Criticas de la Empresa o de actividades de apoyo, recuperación de las Actividades Criticas de la Empresa o de actividades Criticas de la Empresa o de actividades de apoyo (objetivos del RTO y RPO)Plan de acción, perfil de recuperación de recursos de la GCN, perfil de recuperación de la GCN

9. Ubicación del sitio de recuperación (dentro de la organización o proveedor externo)

Proceso de invocación y/o diagrama de flujo, diseñado del plan del piso del sitio de recuperación (área de trabajo), mapa de ubicación del sitio de recuperación, re ubicación de personal (incluido el transporte y alojamiento), seguridad, correo.

10. Perfil de los recursos de recuperación

Estaciones de trabajo estándares decir escritorio, silla, teléfono y ordenador, el equipo de computación, las aplicaciones de software, conectividad de las tecnologías, las telecomunicaciones, los datos copia de seguridad, documentos/registros de vital importancia/únicos , equipos de oficina, equipo de especialistas, suministros de oficina, por ejemplo requisitos de acceso para personas discapacitadas al sitio de recuperación

11. Las plantillas de formularioOrden del Día de las reuniones, información interna, registro de decisiones y acciones, informe de estado de la lista de tareas, mensajes telefónicos, hoja de cálculo de acciones o tereas.

Apéndices Contratos y Acuerdos de Nivel de Servicio, volver a casa

Tipos de Planes


Plan de continuidad del negocioProcedimientos documentados que orientan a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras interrupciones

Plan de respuesta a incidentes

Plan de respuesta de emergencia

Plan de gestión de crisis

Plan de Recuperación

Plan de restauración


Procedimientos documentados que orientan a las organizaciones para responder a un incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia

Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a la propiedad contra daños en respuesta a una amenaza física

Coordinación de los procedimientos para manejar situaciones complejas que representan una amenaza a los objetivos estratégicos, la reputación o la existencia de una organización

Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario

Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o reconstrucción de las instalaciones, redes o capacidad operativa

Proporciona procedimientos par a difundir informes de situación al personal y al público

Plan de capacitación y sensibilización

Para garantizar procedimientos para difundir informes de situación al personal y al público

Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio

Activación de los Diferentes Planes

Cronología de la respuesta de incidentesDesastre Tiempo

Protección y plan de mitigación Plan de respuesta a incidentes

Plan de respuestade emergencia

Plan de gestión de crisis

Plan de recuperación

Plan de restauración


Plan de capacitación ysensibilización

Plan de ejercicio ypruebas

2.5.4. Redacción de los procedimientos Relacionados con la CN


Procedimiento

Definición: Forma especificada para llevar a cabo una actividad o un proceso

La estructura y el formato de los procedimientos documentados (copia impresa o por medios eléctricos) deberían ser definidos por la organización en las siguientes formas: texto, gráficos, tablas, una combinación de los anteriores, o cualquier otro método apropiado de la organización

Descripción de las Actividades en el Marco de un Procedimiento

Las 6 palabras (W: W/H en inglés)

1. Quién

2. Qué

3. Cómo

4. Cuándo

5. Dónde

6. Por qué

Ejemplo:El administrador de la red (quién) se asegura de que las copias de seguridad

(qué)se completan mediante la revisión de lo registros de copia de seguridad

(cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de

Verificaciones (dónde) que se mantiene para futuras consultas (por qué)


Sección 19 Plan de respuesta a incidentes

a. Supervisión de eventos

b. Detección de incidentes

c. Valoración y evaluación de los incidentes

d. Activación de la respuesta a incidentes

e. Comunicación de respuesta a incidentes

estructurada

f. Escalada de los incidentes

g. Documentación acerca de un incidente

Requisitos


Estructura de respuesta a IncidentesLa organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para administrar un incidente.

La estructura de respuesta deberá:

a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal,

b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,

c) poner en marcha una respuesta de continuidad del negocio apropiada;

d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación

de la respuesta;

e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un

incidente perjudicial para minimizar el impacto, y

La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias, incluyendo los medios de comunicación.

Requisitos


Alerta y comunicación

La organización deberá establecer, implementar y mantener procedimientos para:

a) la detección de un incidente,

b) el seguimiento regular de un incidente,

c) la comunicación interna en el seno de la organización y recibir, documentar y responder a la comunicación de las partes interesadas,

d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional

e) velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo,

f) Facilitar la comunicación estructurada con los equipos de emergencia,

g) Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:

- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;

- Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal;

- Funcionamiento de un servicio de comunicaciones.

La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.

Plan de Respuesta a Incidentes

Objetivos y contenido común

El plan de respuesta a incidentes debería integrar procesos y procedimientos para:

I. El seguimiento de los eventos que pueden provocar incidentes

II. Detectar un incidente

III. Analizar y evaluar un incidente

IV. Declarar una respuesta a incidentes

V . Facilitar la comunicación estructurada

VI. Escalar un incidente

VII. Documentar y registrar información vital acerca de la incidencia

VIII. Revisión de un incidente

¿ Qué es un Incidente?


o Definición: Situación que pudiera constituir o pudiera redundar en una

interrupción, una pérdida, emergencia o crisis

o Importante no confundir con el uso del término “incidente” en el campo

de la seguridad de la información y tecnologías de la información:

Una interrupción no planificada de un servicio (ITIL en inglés)

Un único o serie de eventos de seguridad de la información no deseados o

inesperados que tiene una probabilidad significativa de comprometer las

operaciones comerciales y amenazar la seguridad de la información

(ISO 27000)

I. Supervisión de eventos

o La organización debe hacer un seguimiento de los eventos que podrían dar

lugar a un incidente

o El seguimiento debería estar en consonancia con los escenario

documentados en la evaluación del riesgo y el AIN El uso de herramientas de detección y el análisis de tendencias Compartir e intercambiar con expertos Advertencias tempranas y los avisos recibidos de

las autoridades, los servicios de emergencia, los

clientes, los medios de comunicación, etc.

Informe de eventos

o Un corte o interrupción puede ocurrir con o sin previo aviso

o Los eventos pronosticados debería ser comunicados a las partes

interesadas pertinentes o Ejemplos:

Un aviso de antemano del Servicio Nacional de Meteorología de que está

previsto un huracán que afectará una determinada zona

Los avisos y advertencias sobre una posible nueva gripe aviar enviados

por la Organización Mundial de la salud

Una alerta del CERT (Computer Emergency Response Team) de que un

virus informático se espera en una fecha determinada

II. Detección de incidentes

o La organización necesita implementar las medidas para detectar

incidentes y recoger la información asociada a ellos

o Las medidas de detección deben estar en línea con hipótesis

documentadas en la evaluación del riesgo y el AIN

Alertas en el sistema de TI Sistema de Alarma Detector deBombas y metal

III. Evaluación y Valoración de la Incidencia

Ejemplo de un proceso

Notificación deDetección

Notificación de

Recopilación de

Primera Evaluación

Falso Positivo

Relevante

Segunda evaluación¿Relevante?No Si

Usuario/FuenteGrupo de Apoyo a las Operaciones

Equipo de Respuestaa incidentes

Equipo de Gestión de Crisis

Respuesta

inmediata

Revisión de la

Mejora continua

Respuesta

No

Evaluación deDecisión

¿Incidentebajo control? ¿Crisis?

Aná

lisis

for

ense

Si

No

Actividades decrisis

RespuestapositivaC

omun

icac

ione

s

de un Evento

Tie

mp

o

Si

No

Si

IV. Invocación de una Respuesta a incidentes

Criterios y procedimientos

o El plan de CN debería se activado si se cumplen uno o más de los criterios de

activación

o Si se cumple un criterio de activación, la autoridad designada debería activar

el plan

o Los criterios para la activación de interrupciones o las disrupciones en el

sistema son único para cada o organización u deberían definirse

o Los criterios pueden basarse en:

Magnitud de los daños al sistema (por ejemplo, físicos, operativos o

costos) Criticidad del sistema ala misión de la organización (p. ej. Activo de

protección de infraestructuras críticas) Duración prevista de la interrupción más larga que el RTO

V. Comunicación de respuesta a Incidentes

Comunicación de respuesta a incidentes

Para ponerse en contacto con el personal de emergencia

Para alertar a todas las partes interesadas potencialmente afectadas por un real o inminente perjudicial

Asegurar la inter operabilidad de múltiples organizaciones y personal de respuesta:

Métodos de notificación

o Las notificaciones se pueden realizar a través de una variedad de

métodos, ya sean automático o manual, entre los que se incluyen: Teléfono Correo electrónico: Teléfono móvil Visitar en persona el hogar, etc.

o Los sistemas de notificación automática siguen protocolos y criterios

establecidos y pueden incluir una rápida aceptación y autenticación

y mensajería segura

o Los sistemas de notificación automática requieren una inversión inicial y una

curva de aprendizaje, pero pueden ser una manera eficaz para algunas

organizaciones para garantizar la rapidez y precisión en la entrega

VI. Escalada de un Incidente

Ejemplo de una escalada de incidentes

ModoIncidente

Modo Crisis

Modo Estándar

Modo de desastres

Evento

OK

Escalada

OK

Escalada

VII. Documentación de un Incidente

Toda la información pertinente relacionada con el incidente debería ser registrada,

Incluyendo:

1. Descripción del evento

2. Categoría y prioridad

3. Fecha/hora del registro, escalada, decisión

4. Los activos y procesos afectados

5. Grupos o personas afectados por el incidente

6. Actividades realizadas para resolver el incidente y sus resultados

7. Las Decisiones tomadas

VIII. Revisión Pos-incidente

En el caso de un incidente que perturba las actividades prioritarias de la organización o que requiere una respuesta a incidentes, debería llevarse a cabo una revisión pos-incidente. Esto puede incluir:

1. Identificar la naturaleza y la causa del incidente

2. Evaluar la suficiencia de la respuesta de dirección

3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de

tiempo de recuperación

4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la

hora de preparar a los empleados en la previsión del incidente

5. Identificar las mejoras que se pueden introducir

6. Compara los impactos reales con los que se consideran en el análisis del

impacto en el negocio

7. Obtener retro alimentación de las partes interesadas y de los que han participado en la respuesta


Sección 20 Plan de respuesta de emergencia

a. ¿Qué es una emergencia?

b. Objetivos de un plan de respuesta de emergencia

c. Funciones y responsabilidades

d. Procedimiento de evacuación

e. Procedimiento de presentación de informes de

emergencia

f. Controles para limitar los impactos durante una emergencia

g. Controles de detección y prevención

h. Sensibilización, simulacro y capacitación

Requisitos



Los procedimientos de respuesta deberán contener colectivamente:

c) Detalles para gestionar las consecuencias inmediatas de una interrupción

De una interrupción del negocio, teniendo en especial consideración:

1) el bienestar de las personas

2) las opciones estratégicas y operativas para responder a la interrupción; y

3) la prevención de pérdidas adicionales o indisponibilidad de las actividades priorizadas

¿Qué es una Emergencia?


o Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere

acción inmediata

o Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:

Fuego Incidente de materiales peligrosos Inundaciones o riadas Huracán Tornado Tormenta de invierno Terremoto Fallo de las comunicaciones Accidente radiológico Disturbios Civiles Pérdida de proveedores o clientes principales Explosión, etc.

Objetivos de un Plan de Respuesta de Emergencia

1ª PRIORIDAD: PROTEGER LA VIDA

o La protección de la salud y la seguridad de todos en las instalaciones es la primera prioridad durante una emergencia

o Las otras prioridades pueden ser:

Proteger el medio ambiente

Limitar la pérdida financiera

Proteger la salud y la seguridad de los animales

Proteger registros,

Restaurar las operaciones, etc.

Plan de Respuesta ante Emergencias

Elementos comunes que han de incluirse

I. Funciones y responsabilidades

II. Procedimiento de evacuación

III. Procedimiento de presentación de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situación de

emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de detección y prevención

VII. Sensibilización, simulacro y capacitación



o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones

o Él está al mando y en control de todos los aspectos de la situación de

emergencia

Redacción de los procedimientos de respuesta de emergencia

Aplicar controles preventivos físicos

Ordenar la evacuación o el cierre de las instalaciones

Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación

Mejores prácticas

1. Determinar las condiciones bajo las cuales sería necesaria una evacuación

2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal

3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad

4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local

5. Redactar procedimientos de pos evacuación

6. Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos

7. Coordinar planes con la oficina local de gestión de emergencias

Las Vías y Salidas de Evacuación

Elementos esenciales con procedimiento de evacuación

1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:

Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales

III. Procedimiento de Presentación de Informes de Emergencia

Listas de Llamadas de Emergencia

o Las listas (del tamaño de una billetera si es posible) de todas las personas en y

fuera de la planta que intervendrían para responder a una emergencia, sus

responsabilidades y sus números de teléfono disponibles las 24 horas

o Determinar requisitos locales y estatales para la presentación de informes

sobre las emergencias y a incorporarlos en sus procedimientos

Policía

Cuartel de Bomberos

Compañía de Gas

Los proveedores de telecomunicaciones, etc.

IV. Medidas Inmediatas para Limitar los Impactos

Elementos a tener en cuenta durante una emergencia

o En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el

control del acceso, pero nadie debería colocarse en peligro físico para realizar estas

funciones

o Las medidas de seguridad básicas incluyen: Cierre las puertas o las ventanas Establecer barreras provisorias con muebles después de que las personas han

evacuado de forma segura Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de

materiales con fugas Cerrar los armarios de archivo o los cajones de escritorios

o Sólo personal capacitado debería poder realizar medidas de seguridad avanzada

o El acceso a la planta debería estar limitado a las personas directamente implicadas en la

respuesta

V. Cierre de Instalaciones y Sistemas

Establecer los procedimientos de apagado/cierre

o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones y daños a la propiedad

o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre

o Trabajar con los jefes de departamento para establecer los procedimientosapagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar:

Las condiciones que podrían exigir el cierre/apagado?

¿Quién puede ordenar un cierre/apagado

Quién va a llevar a cabo los procedimientos de cierre/apagado

Cómo afectaría un cierre parcial a otras operaciones de las instalaciones

El tiempo necesario para apagar y reiniciar

VI. Controles de Prevención y Detección

Algunos ejemplos de las medidas que se pueden aplicar ante una emergencia

o Sistema de protección contra incendios

o Sistemas de protección contra rayos

o Sistemas de vigilancia del nivel de agua

o Dispositivos de detección de desbordamiento

o Desconexión Automática

o Sistemas de generación de energía

eléctrica de emergencia

https://www.google.cl/url?q=http://revistero.com.mx/2010/06/17/smart-control-maneja-discrecion-a-traves-de-camaras-de-cctv-ocultas-en-detector-de-movimiento-y-sprinkler-de-incendio/&sa=U&ei=qWggU6mrJMb10gHYsoEo&ved=0CDIQ9QEwAw&usg=AFQjCNGDxtP-3fYPO0UsgSQUNUSf5IlFYA

https://www.google.cl/url?q=http://articulo.mercadolibre.com.uy/MLU-414840109-alarma-autonoma-de-incendio-detector-de-humo-y-temperatura-_JM&sa=U&ei=qWggU6mrJMb10gHYsoEo&ved=0CN4BEPUBMFk&usg=AFQjCNEyN4hfCqrEy_PtZbdYJgcAPl1M2w

https://www.google.cl/url?q=http://www.picstopin.com/554/maquina-generadora-de-humo-para-el-ahumado-conservas-planas-coll/http:%7C%7Cpatentados*com%7Cimg%7C1974%7Cmaquina-generadora-de-humo-para-el-ahumado-de-conservas*jpg/&sa=U&ei=92kgU8rDBdXZoAT3-oGADA&ved=0CKwBEPUBMEA&usg=AFQjCNF021Zgbc94bmbvu_kdomBDYA-l6w

VII. Sensibilización, Simulacro y Capacitación

1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones

2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y confusión antes de llevar a cabo las actividades de capacitación más exigentes

3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo general más gente y es más profunda que la de un ejercicio de mesa

4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica, las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas problemáticas

5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas de escombros, humo en los pasillos. Los planes se modifican en consecuencia

6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la dirección de la empresa y organizaciones de respuesta de la comunidad

Ejercicio 10

Preparación de las pruebas de auditoría para el plan de respuesta ante emergencias


Sección 21 Plan de gestión de crisis

a. ¿Qué es una crisis?

b. Desarrollo del Plan Gestión de Crisis

c. Contenidos del Plan Gestión de Crisis

Requisitos

o Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un plan de crisis pueden ser incluidos en los planes)

o El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de respuesta ante emergencias y el plan de comunicación en un único plan

Importante: El plan y los procedimientos desarrollados deberían permitir responder al mismo tiempo de una

forma coherente, integrada y complementaria

¿Qué es una crisis?


Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y requiere medidas urgentes

https://www.google.cl/url?q=http://especiales.latino.msn.com/buenavida/elementos-esenciales-que-un-hombre-debe-tener-en-el-mueble-del-ba%C3%B1o?page=3&sa=U&ei=LskgU_C9NKrD0QHayYC4Ag&ved=0CDAQ9QEwAg&usg=AFQjCNEGdDv3q5zxKDSQ7BGgGL9r-B71vg

Características de una Crisis

o La crisis no siempre implican interrupciones de la actividad empresarial o amenazas a la vida, a la propiedad, los activos

o Sin embargo, casi siempre son reto a la reputación de una organización y su marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y liderazgo efectivo

o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso escrutinio del público y de los medios

https://www.google.cl/url?q=http://es.123rf.com/photo_2498385_domino-de-pie-en-una-fila-mas-de-fondo-blanco.html&sa=U&ei=fMsgU8eQM-u70AGsxoDYDw&ved=0CD0Q9QEwBw&usg=AFQjCNEPw68xV_bdTcFoLuVeK8huRZjEMQ

Plan de Gestión de Crisis

Objetivos y elementos comunes incluidos

El plan de gestión de crisis debería integrar procesos y procedimientos para:

I. Las funciones, la rendición de cuentas, la responsabilidad y la autoridad

II. Procedimiento de Emergencia

III. Notificación, invocación y escalada

IV. Comité de Crisis y equipos de gestión de crisis

V . Plan de comunicación de crisis

Gestión de Crisis

Una responsabilidad de la alta dirección

o Las funciones de la gestión estratégica se amplifican durante una crisis

o Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo

largo de líneas que no se pueden prever

o Incluso pueden incluir reposicionamiento estratégico de la organización en su

conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección

o Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a

aplicar, conducir y dirigir la gestión de crisis

https://www.google.cl/url?q=http://es.123rf.com/photo_6952397_efecto-domino.html&sa=U&ei=4ssgU6C9JIWX0QHvxICYDw&ved=0CLcBEPUBMEQ4FA&usg=AFQjCNFB_zLpL2HSPM5Ftx2KvwlPTv9Y6g

La Gestión de Crisis lidia con la Complejidad

o Una gran cantidad de incidentes que pudieran causar trastornos (tornado,

terremoto, etc.) son predecibles y se pueden desarrollar respuestas pre-

preparadas

o Las crisis, por otra parte, se producen a menudo por riesgos que no

habían sido identificados, o por lo menos no se identificaron con la escala y la

intensidad que han presentado

o Una crisis también puede ser producto de una combinación imprevista de

riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la

respuesta por lo general requiere soluciones realmente creativas, en

contraposición a las pre-preparadas,

o La gestión de crisis debe ser capaz de hacer frente a problemas que no se

pueden administrar por los procedimientos de GCN, sin importar qué tan bien

desarrollados pueden estar

La Gestión de Crisis lidia con Dilemas

o Las crisis están asociadas con problemas muy complejos, las consecuencias y la naturaleza de los cuales no ser clara en el momento. Cada solución posible puede tener graves consecuencias de una forma u otra

o Los administradores pueden tener para elegir la solución “menos mala” y puede que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos fundamentales. Estos pueden significar que cada elección viene con una pena de algún tipo y que no existe una solución ideal

https://www.google.cl/url?q=http://pinkkittyrose.com/forums/viewtopic.php?f=13&t=461&start=6930&sa=U&ei=AdcgU7HBE8eZ0AHZlYDoCg&ved=0CFMQ9QEwEg&usg=AFQjCNGAPLR0ErM4SA5QhEc3BwC9AKmHxQ

Comunicación

Un factor clave de éxito

o Aun cuando la organización se considera que está mal, o censurable, la manifestación dela virtud, la integridad y la compasión pueden compensar, en cierta medida, el daño a su reputación y prestigio

o La buena gestión de crisis puede demostrar las cualidades positivas de la organización y mejorar su reputación general

https://www.google.cl/url?q=http://castiedu.blogspot.com/2010/04/conociendo-el-canal-5-de-la-television_05.html&sa=U&ei=1dggU7qyKJS70AH1-oGgAQ&ved=0CO8BEPUBMGA&usg=AFQjCNEbhaEHrgee7D6mZ5i4pcoMxVF78g

Ejercicio 11

Plan de pandemia


Sección 22 Plan de recuperación de TIa. Objetivos del plan de recuperación de TI

b. Activación del sitio de recuperación

c. Traslado al centro de recuperación y logística

d. Suministro de equipos

e. Procedimiento financieros y administrativos

f. Recuperación de telecomunicaciones

g. Recuperación de datos y procedimientos de backup

h. Recuperación de los servicios y sistemas por prioridad

i. Procedimiento de recuperación para cada sistema

Requisitos



La organización deberá establecer procedimientos documentados para responder a un incidente disruptivo y cómo continuará o reparará sus actividades dentro de un tiempo predeterminado. Dichos procedimientos deberán entender a las necesidades de las personas que van a utilizarlos

El Plan de Respuesta de TI

Objetivos y elementos comunes incluidos

El plan de recuperación de TI debería integrar los procesos y procedimientos para:

I. La activación del sitio de recuperación

II. El traslado al centro de recuperación y logística

III. El suministro de equipos

IV. Los procedimientos financieros y administrativos

V . Recuperación de telecomunicaciones

VI. Recuperación de datos y procedimientos de backup.

VII. Recuperación de los servicios y sistemas por prioridad

VIII. Procedimiento de recuperación para cada sistema

Plan de Respuesta ante Emergencias

Elementos comunes que han de incluirse


II. Procedimiento de evacuación

III. Procedimiento de presentación de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situación de

emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de detección y prevención

VII. Sensibilización, simulacro y capacitación



o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones

o Él está al mando y en control de todos los aspectos de la situación de

emergencia

Redacción de los procedimientos de respuesta de emergencia

Aplicar controles preventivos físicos

Ordenar la evacuación o el cierre de las instalaciones

Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación

Mejores prácticas

1. Determinar las condiciones bajo las cuales sería necesaria una evacuación

2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del personal

3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento del personal. Considerar las necesidades de transporte de los empleados para evacuaciones en la comunidad

4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas que no hablan el idioma local

5. Redactar procedimientos de pos evacuación

6. Designar personal para continuar o cerrar operaciones críticas mientras que una evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la operación y evacuarse ellos mismos

7. Coordinar planes con la oficina local de gestión de emergencias

Las Vías y Salidas de Evacuación

Elementos esenciales con procedimiento de evacuación

1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación

3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:

Lo suficientemente amplias como para que pueda evacuar el personal Libres y sin obstáculos en todo memento Sean poco probables de exponer al personal evacuado a peligros adicionales

I. La Activación del Sitio de Recuperación

o El equipo de recuperación debería llegar en primer lugar al sitio alternativo para hacer una evaluación rápida con el fin de preparar el traslado de los empleados

o Con el uso de una lista de comprobación, se debería verificar y confirmar el

estado de los recursos en uso:

HVAC

Equipo y redes de TI

Telecomunicaciones

Copia de seguridad

Espacio de oficina

https://www.google.cl/url?q=http://fumisacontroldeplagas.com.mx/servicios6.html&sa=U&ei=xKIhU-jGG43rkQeJx4C4Dg&ved=0CD4Q9QEwCQ&usg=AFQjCNFqjOWPXbrAAjBm7E1G51PReac3sA

II. Traslado al Centro de Recuperación y Logística

Logística

o Transporte de personal y materiales

o Apoyo y bienestar del personal

o Lista de los proveedores y contratos

o Entorno de los trabajadores remotos

https://www.google.cl/url?q=http://www.mundomudanzas.cl/cajas-embalaje/santiago-centro&sa=U&ei=B6chU_mZF9C20AG43IHYDg&ved=0CNIBEPUBMFM&usg=AFQjCNEjz3q1EoJ7PBvxJg9_hW3diuLa2Q

https://www.google.cl/url?q=http://mudanzascostarricenses.com/servicios.html&sa=U&ei=B6chU_mZF9C20AG43IHYDg&ved=0CFAQ9QEwEg&usg=AFQjCNGGFmmktMgfJCks5QhK6h7Nr0eYdQ

https://www.google.cl/url?q=http://www.pabloizquierdo.cl/site/index.php/empresa/28-servicios&sa=U&ei=B6chU_mZF9C20AG43IHYDg&ved=0CCwQ9QEwAA&usg=AFQjCNHzv2hUs_Kzp5y3loVgbHqt8MkOig

III. Suministro de Equipos

Existen tres estrategias básicas para garantizar una rápida situación de los equipos

Suministro de Equipos

Acuerdoscon los

proveedoresInventario

de Equipos

EquiposCompatiblesExistentes

IV. Compatibilidad y Administración

o La organización debería desarrollar los procedimientos financieros y administrativos para apoyar las necesidades de la empresa antes, durante y después de un incidente

o Deberían establecerse procedimientos para garantizar que las decisiones financieras se puedan acelerar y deberían estar en conformidad con os niveles de autoridad y los principios de contabilidad

o Los procedimientos deberían incluir, pero no limitarse a, lo siguiente:

Autoridad de finanzas, incluyendo sus relaciones de subordinación al coordinador del programa(s)

Acceso a fondos de emergencia Procedimientos de contratación de programas Nóminas Sistemas de contabilidad para llevar un seguimiento y documentar los

costos

V. Recuperación de Telecomunicaciones

Métodos Descripción

RedundanciaConsiste en proporcionar capacidad adicional con un plan para utilizar el exceso de capacidad si no se encuentra disponible la capacidad de transmisión principal normal

Ruta alternativa

Enrutamientodiverso

Diversidad deRed largadistancia

Sistemas de Comunicaciones de Emergencia

Información de enrutamiento a través de un medio alternativo como cables de cobre o fibra óptica

Enrutamiento del tráfico mediante instalaciones de cable partido o de cable duplicado

Muchos proveedores de instalaciones de recuperación han proporcionado diversas redes de larga distancia disponibles

Con el fin de comunicarse entre los miembros del equipo, debería elegirse un sistema de comunicaciones de emergencia y otras alternativas

VI. Recuperación de Datos y Procedimientos de Backup

Los componentes clave para restaurar la disponibilidad de la información

o Los procedimientos de copia de seguridad es el componente clave para restaurar la disponibilidad de la informacióno Una organización debería asegurarse de que la integridad y la confidencialidad de los datos de la empresa se mantienen mientras se transfieren (ya se electrónica o físicamente) a y desde los centros de recuperación, sujeto a las obligaciones contractuales con organizacioneso Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de

copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los temas que una política y procedimientos de copias de seguridad deberían resolver están: A qué datos hay que hacerles copia de seguridad Cómo se caratula durante cuánto tiempo se mantiene Cómo se prueban las copias Con qué frecuencia se realizan backups Dónde se almacenan los medios Que tan rápidamente pueden ser recuperados los medios Quién está autorizado a recuperar los medios Cómo se restablecen

Copia de seguridad

Principales soluciones

1. Red de Área de Almacenamiento •Gracias a la virtualización del almacenamiento, se combinan varios dispositivos de almacenamiento en un solo, lógico, sistema de almacenamiento virtual

2. Duplicación

• Con la duplicación de los discos o las imágenes de recuperación, se ha optimizado la recuperación. Los datos se escriben en dos discos y proporciona una alta disponibilidad

3. Procesamiento distribuido •Los servicios, que se encuentra en la misma o en múltiples ubicaciones, se configuran con equilibrio de carga y agrupamiento para procesar las solicitudes y los datos de intercambio

•Las publicaciones remotas, las transacciones o archivos de diarios son transmitidos periódicamente a las unidades remotas que se encuentran fuera del sitio

•Con el almacenamiento electrónico, se realiza una copia de seguridad de los datos a las unidades remotas que se encuentran fuera de las instalaciones mediante enlaces de comunicación de alta calidad

•Otro es grabar archivos a medios de copia de seguridad y transportarlos, a una ubicación fuera del sitio

4. Almacenamiento electrónico

5. Diario Remoto 6. Archivos de medios

Alineación de la Estrategia de Copia de Seguridad

Con RPO y RTO

Propiedad Descripción

Propiedad baja – algún tipo de interrupción con poco impacto, daño o perturbación de la organización

• Copia de seguridad: Copia de seguridad en cinta• Estrategia: Reubicar o sitio frío

Propiedad importante o moderada – cualquier sistema que, si perturbado, podría causar un problema moderado a la organización y posiblemente a otras redes o sistemas

• Copia de seguridad: Duplicidad de seguridad óptica de WAN/VLAN

• Estrategia. Sitio Frío o Tibio

De importancia fundamental o prioridad alta- el daño o perturbación a estos sistemas puede provocar el mayor impacto sobre la organización, misión y otras redes y sistemas

• Copia de seguridad: Sistemas reflejados y duplicación de discos• Estrategia: Sitio Caliente

Copia de seguridad

Ubicación y almacenamiento

Copia de seguridad

• Puede ser almacenada en varios lugares, cada uno cumpliendo un propósito diferente

• Cuando son transportados, los medios deberían ser garantizados

VII. Recuperación de los Servicios y Sistemas por Prioridad

Sobre la base de las prioridades de las operaciones predeterminadas en el análisis de impacto, una organización debería priorizar los servicios y los sistemas a restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños en el equipo, la disponibilidad real de personal y los posibles avances de la recuperación

P r i o r i t y

!Ckdejhj naadjhu hdna

características

VIII. Procedimiento de recuperación para cada Sistema

o En el plan de recuperación, debería estar disponible un procedimiento de

recuperación para restaurar cada sistema en el ámbito del SGCN con:

Una lista de la secuencia de operaciones a restaurar

Requisitos del sistema para restaurar

Tiempo estimado para cada operación

o Se describen los procedimientos de recuperación por equipo se deberían

realizar en la secuencia que se presenta para mantener un eficiente esfuerzo

de recuperación


Sección 23 Plan de restauracióna. Los objetivos del plan de restauración

b. Asegurar los sitios

c. Evaluación de daños y seguros

d. Plan de restauración y asignación de recursos

e. Limpiar el sitio y restaurar la infraestructura

f. Sistemas y recuperación de datos TI

g. Pruebas y validación

h. Traslado al sitio principal

i. Recompensa y reconocimiento del personal

Requisitos


No hay ningún requisito formal de la norma ISO 22301

Para establecer un plan de restauración

https://www.google.cl/url?q=http://toni2836.blogspot.com/2011/06/sujeta-libros-orginales_28.html&sa=U&ei=P2EjU7m3L-Km0gGKyYCICQ&ved=0CGIQ9QEwGw&usg=AFQjCNEqj7Qy20XnPPR5VxMpbJGwZ4pbqQ

Plan de Respuesta ante

Objetivos y elementos comunes incluidosEl Plan de restauración debería integrar los procesos y procedimientos para:

I. Asegurar los sitios

II. Evaluación de daños y de seguros

III. Plan de restauración y asignación de recursos

IV. Limpiar el sitio y restaurar la infraestructura

V . Sistema y recuperación de datos de TI

VI. Pruebas de validación

VII. Traslado al sitio principal

VIII. Recompensa y reconocimiento del personal

I. Asegurar los Sitios

Primer paso

o En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes, saqueos, vandalismo, etc.

o Las obras de restauración deben ser protegidas para evitar acceso físico no

autorizado

o La planificación debería considerar cómo asignar o contratar guardias de

seguridad

https://www.google.cl/url?q=http://santiago.olx.cl/guardias-de-seguridad-iid-90689433&sa=U&ei=2N0mU_a8JMzIkAfbl4CwDg&ved=0CKoBEPUBMD8&usg=AFQjCNHKAKbSuTgzPrQyJcHlvggQBaIWKw

II. Evaluación de Daños y de Seguros

Evaluación de daños Contacto con el seguro

https://www.google.cl/url?q=http://www.aztecanoticias.com.mx/notas/finanzas/103227/sismo-dejo-danos-por-2-mil-millones-aseguradoras&sa=U&ei=ueEmU87tHsrokQfD9ICACw&ved=0CGYQ9QEwHQ&usg=AFQjCNH1jpsb8ug6zQ0SrmcbyXiQfQenMQ

III. Plan de Restauración y la Asignación de Recursos

Después de revisar la información sobre la magnitud de los daños y sus repercusiones en el funcionamiento, recolectados por los equipos de respuesta de emergencia y de continuidad, la alta dirección debería seleccionar las medidas que han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de recursos

https://www.google.cl/url?q=http://es.wikihow.com/calcular-costos-de-trabajos-de-pintura&sa=U&ei=1OomU5jmJYrAkQfOqICICQ&ved=0CNwBEPUBMFc&usg=AFQjCNF-KorkP8zHpLzy3b58StGIaWRQjg

IV. Limpiar el Sitio y Restaurar la Infraestructura

Limpiar el sitio Reconstruir la instalación yRestaurar la infraestructura

https://www.google.cl/url?q=http://www.whsrn.org/es/noticias/articulo-de-prensa/esfuerzos-exitosos-de-la-limpieza-mejoran-el-sitio-rhrap-bahia-de-asunci&sa=U&ei=zesmU6W8IdCFkQejmYCICg&ved=0CFgQ9QEwFQ&usg=AFQjCNH2GJ-Yy3lHAkhIetYQv86f-t0agw

https://www.google.cl/url?q=http://www.costosperu.com/ap-site-noticias-informacion.php?seccion=&noticia=5857&sa=U&ei=K-wmU7GbH4vNkQfioICQAw&ved=0CFwQ9QEwGA&usg=AFQjCNFLr_FxUTAejd2C0nLKrPxqmXnmWw

V. Recuperación de los Sistemas de TI y de Datos

Restauración de la Infraestructura de TI

Restauración de datos

https://www.google.cl/url?q=http://es.wikipedia.org/wiki/Rack&sa=U&ei=mvkmU8ePEMji0gH46IGgAQ&ved=0CDwQ9QEwBw&usg=AFQjCNF_2cteISDVnB-5XRf7gQkmEXWCcg

https://www.google.cl/url?q=https://muyseguridad.net/2012/09/11/recuperacion-datos-en-nube&sa=U&ei=UfomU7raEMrQ0gHR4YDwDQ&ved=0CIABEPUBMCo&usg=AFQjCNGRM2ktgIZ_RAqX__FF_Cw1QbSOMA

VI. Pruebas y Validación

Prueba y validación de datos

Las pruebas y la validación de datos es el proceso de prueba y validación de datos para asegurarse de que los archivos de datos o bases de datos se han recuperado completamente en la ubicación permanente

Pruebas y validación de la funcionalidad

Pruebas de validación de la funcionalidad es el proceso de verificar que la funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los procedimientos de validación para asegurar que el sistema esté en funcionamiento

VII. Traslado al Sitio Principal

Restaurar el funcionamiento normal

Declaración de fin del incidente o crisis

Cierre del sitio de recuperación

Informes de comentarios y de pos-recuperación

VIII. Recompensa y Reconocimiento del Personal

o Cuando termina un incidente, es importante que el personal que participó en la

respuesta a incidentes reciba cierto grado de recompensa o reconocimiento

o Todo el personal afectado por el incidente tiene que saber que va a haber

cambios como resultado del incidente, que ha habido aprendizaje para

asegurarse de que no se repita

o Las personas que han trabajado más allá de sus horas de trabajo y que han

tomado tareas adicionales deberían ver sus esfuerzos reconocidos de alguna manera

o Esto puede hacerse de manera informal o formal. Por lo general es muy positiva la participación de los gerentes y directores en un proceso formal de reconocimiento


Sección 24 Plan de comunicacióna. Principios de una eficaz estrategia de comunicación

b. Proceso de Comunicación de CN

c. Establecer objetivos de comunicación

d. Identificar las partes interesadas

e. Planificar las actividades de comunicación

f. Planificar de la comunicación de una crisis

g. Realizar una actividad de comunicación

h. Evaluar la comunicación

2.6. Plan de Comunicación



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos

ISO 22301, cláusula 7.4 y 8.4.3

7.4 Comunicación

La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN incluyendo:

a) Contenido de la comunicación.

b) Cuando comunicar, y

c) A quién se va a comunicar.

La organización deberá establecer, implementar y mantener procedimiento(s) para :

- Comunicación interna entre las partes, interesadas y empleados dentro del a organización,- Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras partes interesadas, incluidos los medios de comunicación,- Recibir, documentar y responder a la comunicación de las partes interesadas.- Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o

equivalente

a los efectos de la planificación y el uso operacional, cuando corresponda.- Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo.- Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter

operabilidad de múltiples organizaciones y personal, cuando corresponda, y - Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las comunicaciones normales.



5. Plan y procedimiento de la


2.6.1 Establecer objetivos de

Comunicación

2.6.3 Planificarlas actividades de

comunicación

2.6.4 Realizar unaactividad de

comunicación

2.7 Capacitación y sensibilización

2.6.5 Evaluarla comunicación

2.6.2 Identificalas Partes

Interesadas

Principios de una Eficaz Estrategia de Comunicación

1 Hacer que todos los procesos, procedimientos, métodos, fuentes de datos y supuestos utilizados en la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta la confidencialidad de la información según se requiera

2

3

5

4

Transparencia

IdoneidadHacer que la información proporcionada en las partes interesadas sea pertinente, utilizando formatos, el idioma y los medios que cumplan con sus intereses y necesidades, para que puedan participar plenamente

Credibilidad

Respuesta

Claridad

Comunicar con una conducta honesta y justa, y proporcionar información que sea veraz, exacta y sustantiva. Desarrollar la información y datos con métodos e indicadores reconocidos y reproducibles

Responder a las preguntas y preocupaciones de las partes interesadas de forma plena y oportuna. Hacer conscientes a las partes interesadas de cómo se han abordado sus preguntas e inquietudes

Asegurar que los métodos de comunicación y el lenguaje son comprensibles para las partes interesadas para minimizar la ambigüedad

Proceso de Comunicación de la CN

ORGANIZACIÓN

PartesInteresadas

Gruposobjetivo

Pri

nc

ipio

s d

e l

a c

om

un

ica

ció

n

Establecerobjetivos

Identificarlas partes

interesadas

Estrategia de comunicación de la Continuidad del Negocio

Tener en cuenta lasCuestiones relativas

a los recursos

Política de comunicación de la continuidad del negocio

Otros principiosCorporativos,

Políticas y estrategias

Política de continuidad del negocio

Planificar

Realizar

Evaluar

Las actividades de comunicación de la continuidad del negocio

2.6.1. Establecer Objetivos de Comunicación

Ejemploso Mejorar la credibilidad y la reputación de la organización

o Establecer diálogo constante sobre cuestiones de la continuidad del negocio con las partes interesadas

o Cumplir con los requisitos legales aplicables y otros requisitos que la organización suscriba

o Influir en la política pública sobre problemas de continuidad del negocio

o Proporcionar información y fomentar la comprensión de las partes interesadas acerca de las actividades de la continuidad del negocio

o Cumplir con las expectativas de las partes interesadas sobre información de la continuidad del negocio

2.6.2. Identificar las Partes Interesadas

Para adaptar el plan de comunicación

Clientes

Inversores

ProveedoresMedios de

comunicación

Empleados

Comunidades

2.6.3. Planificar las Actividades de Comunicación

Claves para el éxito

o Una organización debería decidir qué es lo que pretende conseguir con una actividad de comunicación de la continuidad del negocio

o Se deberían establecer objetivos compatibles con los objetivos de comunicación de la continuidad del negocio y que sean específicos, mensurables, alcanzables, realistas y con plazos

o Esto permitirá que la organización evalúe la actividad de comunicación de la continuidad del negocio y determine si el objetivo se ha cumplido, o no

o La organización debería prever problemas de continuidad de negocio de interés para las partes interesadas

Planificar la Comunicación de una Crisis

o Aunque la comunicación de la continuidad del negocio es importante en todo momento, es particularmente importante durante las crisis y las emergencias de continuidad del negocio

o La organización debería identificar las posibles crisis y emergencias, y planificar la adecuada comunicación de la continuidad del negocio

o La planificación debería abordar información

pertinentemente para dar respuesta a las situaciones

potenciales y reales de emergencia y crisis

http://blogdepencil.files.wordpress.com/2014/03/pencil_14.jpg

2.6.4. Realizar una Actividad de Comunicación

Sitio Web

Informes

Folletos &Boletines

Carteles

Métodos y herramientas de comunicación

Correos electrónicos

Artículos de prensa

Comunicados de prensa

Anuncios

Reuniones Públicas

Grupos de enfoquey encuestas

Visitas guiadas a la organización

TalleresY Conferencias

Entrevistas con los Medios

Presentación a los grupos

Medios sociales

Ejemplo de Actividades de Comunicación

Invitación a visitas y medios de comunicación durante un ejercicio

o Los visitantes pueden tomar una función más o menos formal de “observador”

o Se invita ocasionalmente a los medios de comunicación a informar sobre ejercicios (pero su presencia también puede ser peligrosa…)

https://www.google.cl/url?q=http://www.generaccion.com/noticia/144924/ataque-obreros-construccion-civil-deja-dos-heridos-bala-callao&sa=U&ei=5oknU8PBENHCoASz94CYBA&ved=0CFgQ9QEwFg&usg=AFQjCNHlfdL-7edg_QtwSOBTqIahdeg8Vw

2.6.5. Evaluar la comunicación

o Una organización debería permitir tiempo suficiente para que la comunicación de la continuidad del negocio sea eficaz

o El tiempo necesario depende de la naturaleza de la comunicación, el número de partes interesadas y sus preocupaciones, y el tipo de soporte utilizando

o La organización debería revisar y evaluar la eficacia de su comunicación de la continuidad del negocio

Comunicación y Reportes

Ejemplo de un formularioNombre delproyecto

Número de proyecto

Responsable Nombre Fecha 01.02.2015

Comunicación Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3

Enfoque de lacomunicación

Interés y temas principales

Estado Actual (Partidario/Natural/Oponente

Apoyo deseado(Alto/Medio/Bajo)

Funciones prevista en elProyecto(si existe)

Medidas previstas

Avisos Necesarios

Acciones y otros canales decomunicación

Ejercicio 12

Comunicación de una crisis

Día 4



Curso de Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 25 Pruebas y ejercicios

a. Definición

b. Definición de la estrategia de ejercicios y pruebas

c. Creación de un plan de ejercicios y pruebas

d. Creación de escenarios de ejercicios y pruebas

e. Programa de ejercicios y pruebas

f. Determinar los objetivos de los ejercicios/pruebas

g. Realizar una actividad de ejercicios y pruebas

h. Evaluación de una actividad de ejercicios y de pruebas

i. Informe de Ejercicios/Pruebas

2.7. Pruebas y ejercicios



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


Pruebas y ejercicios

La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organización deberá llevar a cabo ejercicios y pruebas que:

a) Están en consonancia con el alcance y los objetivos del SGCN,

b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos,

c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas,

d) Reducen al mínimo el riesgo de interrupción de las operaciones,

e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras,

f) Son revisados en el contexto de la promoción de la mejora continua y

g) Se llevan a cabo a intervalos planificados y además cuando hay cambios significativos dentro de la organización o para el medio ambiente en el que opera.


Ejercicio

• Proceso para capacitar, evaluar, practicar, y mejorar el

rendimiento de una organización

Prueba

• Único y particular tipo de ejercicio, que incorpora un elemento de expectativa de aprobar dentro del objetivo o los objetivos del ejercicio que está previsto

Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes, procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales; aclarando y capacitando al personal en funciones y responsabilidades; mejorar la coordinación inter institucional, y las comunicaciones; identificar las deficiencias en materia de recursos; mejorar el desempeño individual; e identificar las oportunidades de mejora

¿Por qué Evaluar Planes de Continuidad del Negocio?

Capacitación del personal en la utilización de planes de CN

Ganar adeptos en todas las áreas de negocio

Probar la adecuación, exactitud y veracidad de los actuales planes de recuperación

Probar los componentes de elementos técnicos

Objetivos de los ejercicios y pruebas

Mejorar procedimientos de recuperación del negocio

Asegurar que todos los aspectos del negocio están cubiertod

Capacitación del personal en la utilización de planes de CN



2.6 Comunicación

3.1 Supervisión,Medición, análisis y

evaluación

2.7.3. Creación de escenarios

2.7.4 Programa de ejercicios y

pruebas

2.7.5 Selección De objetivos

De ejercicio/prueba

3.2 Auditoriainterna


27.6 Realizar una actividad de

ejercicio/prueba

2.7.1 Definición de la estrategia

2.7.2 Plan de ejercicios &

pruebas

2.7.7 Evaluación de una actividad

de ejercicio/prueba

2.7.8 Informe de Ejercicio/Prueba

2.7.1. Definición de la Estrategia de Ejercicios y Pruebas

Proceso de revisión

Familiarización

Comprobación y tutorialdel proceso

de invocación yrecuperación

Operacional

ServicioEn operaciones

Servicios integrales de conmutación entre el

Sitio principal y el secundario

Aumentar la confianza y la capacidad de recuperación

Simulación de recuperación

IntegradoComponente

Pruebas / ejercicios de cada proceso

O competen de la infraestructura

Pruebas / ejercicios de recuperación del

Servicio integral

2.7.2. Creación de un Plan de Ejercicios y Pruebas

El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la base para una auditoría, incluyendo:

1. Funciones y responsabilidades

2. Frecuencia de los ejercicios y pruebas

3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio, etc.

4. Los riesgos generales que se deben administrar

5. Los recursos necesarios para ser eficaz

6. La competencias delas personas que ejercen la actividad

7. Los informes sobre las actividades

8. La firma de la alta dirección

2.7.3. Creación de Escenarios de ejercicios y Pruebas

Tipo de ejercicio ¿Qué es? Beneficio Desventajas

Lista de control

Tutorialestructurado

Paralelo

Simulación

Interrupcióntotal

Distribuye planes para surevisión

Examina detenidamenteCada paso del PCN

Prueba completa, pero las Operaciones no se

detienen

Escenario para representarProcedimientos de

recuperación

El desastre se replica al punto de que cesen las

Operaciones normales

Asegura que el plan abordatodas las actividades

Asegurar que las actividadesPrevistas se describen con

exactitud en el PCN

Sesión de práctica

Garantizar un alto nivel de Fiabilidad sin interrumpir las

Operaciones normales

Prueba más fiable del PCN

No aborda la eficacia

Bajo valor parademostrar capacidad

de respuesta

Cuando los subconjuntos son

muy diferentes

Caro, ya que todo el personal está involucrado

Arriesgada

Tipo de Escenarios de Prueba para el Sistema de TI

Prueba

Prueba Estática

PruebaDinámica

PruebaFuncional

Objetivo

• Valida que los equipos y sistemas se ajustan a las especificaciones y que operan en los entornos requeridos, y que los procedimientos y los procesos son viables.

2.7.4. Programa de Ejercicios y Exámenes

Departamento/Proceso/Sistema PruebaLista decontrol Tutorial

Recursos humanos Estática

Finanzas

Adquisiciones

Ventas

CRM Dinámica

Sistema de correoelectrónico

Funcional

EjercicioParaleloSimulación

Interrupcióntotal

2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas

Recomendaciones

o Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de prestación de servicios, el ejercicio debería ser cuidadosamente planeado para reducir al mínimo el riesgo de que ocurra un incidente como consecuencia

directo del ejercicio

o Los ejercicios deberían ser realistas y cuidadosamente planificados y acordados con las partes interesadas, de modo de que exista un mínimo riesgo de interrupción de los procesos empresariales

o La escala y la complejidad de los ejercicios deberían ser adecuadas a los objetivos de recuperación de la organización

2.7.6. Realizar una Actividad de Ejercicio/Prueba

El ejercicio debería realizarse en el momento oportuno que mejor responde a los objetivos del evento, y:

Causa el nivel mínimo de perturbación a la organización y a las partes interesadas

Cuando el número apropiado de participantes requeridos para apoyar el ejercicio está disponible

Cuando los lugares físicos, activos, equipos o instalaciones están disponibles para su uso en el ejercicio

http://www.ajedrez32.com/wp-content/uploads/2008/10/ajedrez_modulo1.jpg

Detener o Suspender el Ejercicio

Detener o Suspender

• Hay ejercicios que se pueden detener o suspender, antes de la hora programada por una serie de razones, incluso cuando se plantea un incidente real

• Esta decisión de detener o suspender el ejercicio debería ser adoptada por el coordinador del ejercicio, que debería estar en posesión del estado de las actividades desarrolladas en el ejercicio y poder decidir el momento más seguro para detener las actividades

• Algunas organizaciones utilizan palabras clave para lograr esto

Documentación de Ejercicios/Pruebas

Lista estándar

1. Escenarios de Prueba

2. Razones par ala prueba

3. Objetivos de la prueba

4. Tipos de pruebas

5. Cronograma de pruebas

6. Duración de la prueba

7. Pasos específicos de la prueba

8. Quiénes serán los participantes

9. Las asignaciones de las tareas de la prueba

10. Los recursos y servicios necesarios

11. Medición del éxito o el fracaso de las pruebas

https://www.google.cl/url?q=https://ddcmateso.wordpress.com/pizarras/bloque-ii/tema-8-geometria-analitica/&sa=U&ei=rLwoU8fUIuPO0gHd9oDYDw&ved=0COABEPUBMFo&usg=AFQjCNEH0-fqH5OAFvIW1XMBvSYoT0lY4g

2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba

Los informes pos ejercicios deberían cubrir:

TiempoTiempo real de ejecución de las tareas previamente determinadas vs. El tiempo planificado

Suma Suma del trabajo realizado vs. El trabajo planificado

Número

Precisión

Leccionesaprendidas

Recomendaciones

Cantidad de transacciones y registros realizados con éxito vs. La cantidad planificada

Precisión de la entrada de datos en la instalación de reserva comparada con la precisión normal vs. La planificad

Identificación de errores y comisiones

Lo que hay que aplicar para mejorar el PCN

2.7.8. Informe de Ejercicios/ Pruebas

EjemploDificultades / ProblemasDurante el ejercicio/prueba

Razones/Causas Cogniciones (LeccionesAprendidas)

<Texto> … …

<Texto> … …

<Texto> … …

<Texto> … …

…

¿Qué ha funcionadoDurante la prueba?

¿Qué no funcionóDurante la prueba?

Curso de Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 26 Supervisión, medición, análisis y evaluación

a. Proceso de supervisión, medición, análisis y evaluación

b. Determinar los objetivos de la medición

c. Objetivo de la supervisión y de la medición

d. Determinación de la frecuencia y del método

e. Presentación de los resultados

f. Tablero del SGCN

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


9.1 Supervisión, medición, análisis y evaluación

9.1.1 Generalidades

La organización deberá determinar:

a) Lo que debe ser medio controlado

b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para asegurar resultados válidos;

c) Cuándo el seguimiento y la medición deberán ser llevados a cabo;

d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los resultados de las mediciones.

La organización deberá conservar la información apropiada documentada como evidencia de los resultados.

La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN.

Además la organización deberá:

- Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados antes de que se produzcan una no conformidad

- Conservar la información apropiada documentada como evidencia de los resultados

-

Definiciones

según la ISO 22301

Supervisión (3.29)

•Determinar el estado de un sistema, un proceso o actividad

Medida (3.27)

Evaluación del Rendimiento (3.36)

•Proceso para determinar un valor

•Proceso de determinar resultados mensurables

https://www.google.cl/url?q=http://www.solotecnologia.com/cronometro-hanhart-1040&sa=U&ei=2N0oU96hDuSW0QGdnIGABQ&ved=0CFwQ9QEwGA&usg=AFQjCNFT6KiCt13AbEifXuBHa0_xoL3x8g

https://www.google.cl/url?q=http://www.solotecnologia.com/cronometro-hanhart-1040&sa=U&ei=2N0oU96hDuSW0QGdnIGABQ&ved=0CFwQ9QEwGA&usg=AFQjCNFT6KiCt13AbEifXuBHa0_xoL3x8g

Proceso de Supervisión, Medición, Análisis y Evaluación

El objetivo principal es la mejora del SGCN

Objetivo A

Objetivo B

Objetivo C

Atributo A

Atributo B

Atributo C

Indicador de rendimiento A

Indicador de rendimiento B

Indicador de rendimiento C

TABLEROOBJETIVO DE MEDICIÓN

REVISIÓN YMEJORA

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN

Lista de Actividades

2. Implementacióndel SGCN

(Hacer)


3.1.1 Objetivosde medición

3.1.2 Objetivos de Supervisión y

Medición

3.1.3 Creaciónde indicadores

3.1.4 Creación de paneles

3.2 AuditoriaInterna

3.1.1. Determinación de los Objetivos de medición

Objetivos de la Medición

La norma no indica lo que debe ser objetivo de supervisión o medición

Corresponde a la empresa determinar qué es lo que necesita ser controlado y medido

• Es una mejor práctica centrarse en la vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de continuidad

• Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante

2. Función de Asesoramiento dentro de la organización para la mejora continua

http://www.solotecnologia.com/media/catalog/product/cache/58/thumbnail/9df78eab33525d08d6e5fb8d27136e95/1/2/1226401.jpg

3.1.2. Objetivo de la Supervisión y Medición

¿Qué mínimamente necesita ser supervisado y medido?

1. La medida en que se cumplen la continuidaddel negocio, política, objetivos y metas de la organización

5. Los datos y losresultados de lasupervisión y mediciónsuficientes para facilitarel posterior análisis de las acciones correctivasy preventivas

2. Los procesos, procedimientos y funciones que protegen sus actividades prioritarias

3. Evidencia históricade los resultados

deficientes del SGCN,por ejemplo, no

conformidad, conatos,falsas alarmas

4. El cumplimiento de las exigencias legales y nominativas, las mejores prácticas del sector y de laconformidad con su propia gestión de la política y objetivos de la continuidad del negocio


Indicadores de Rendimiento

Ejemplos

• % de falsas alarmascon detección de eventos

• Costo promedio de un incidente

• % del personal que ha recibido capacitación y calificaciones de CN

• Número de horas de capacitación de los empleados

• • % de planes

probados• Número de ejercicios

realizados en el último año

• % de no conformidades no cerradas en lademora fijada

• Número de días en promedio para cerrar

una no conformidad

Incidentes Capacitación Ejercicios No conformidades





3.1.3. Determinación de la Frecuencia y el Método de Supervisión y Medición

Objetivos de la Medición

La norma no indica, ni cómo ni la frecuencia con que debe realizarse o evaluarse la supervisión o la medición

Es ala organización quien determina cómo controlar, medir y con qué frecuencia

• Es la mejor práctica utilizar tableros para registrar y notificar las actividades de medición

y supervisión con indicadores de rendimiento

• Los tableros deberían indicar los resultadosobtenidos frente a los objetivos de rendimiento

¿Cómo y cuándo se debe controlar y medir?

COMO

3.1.4. Presentación de los resultados

Ejemplo de Tablero

Ejecución – OperativoPresenta a los actores de la continuidad operacional la realidad de los

controles implementados

Gestión – TácticoMide el progreso hacia el logro delos objetivos tácticos

Alta Dirección – EstratégicoHace posible el progreso de la estrategia de

continuidad

I. Tablero Operativo

Ejemplo

II. Tablero Táctico

Ejemplo

Evaluación de los procedimientos

Procedimiento evaluadoNotas a la debilidad

Y la fuerzaNivel de cumplimiento

1 2 3 654 7 8

1

2

5

4

3

6

8

7

9

10

Evaluación global

Procedimiento de control de documentos

Procedimiento de control de registrosProcedimiento de competencia, sensibilización y capacitación

Procedimiento de auditorias interna

Procedimiento de acciones correctivas

Procedimiento de acciones correctivasProcedimiento de revisión por la

direcciónProcedimiento de supervisión y medición

Procedimiento de gestión de recursos

Procedimiento de compra

Nro.

III. Tablero Estratégico

Ejemplo

Indicador 1 Indicador 2 Indicador 3 Indicador 4

2004 2005 2006 2007 2008 2009 20100

1020304050607080

18 1927 29

36 4150

2839

49 48

65 6171

Serie 1 Serie 2

25

20

27

60

20

Descripción A Descripción B Descripción C

Descripción D Descripción E





Ejercicio 13

Supervisión, medición, análisis y evaluación

Capacitación para Implementador Líder Certificado en la ISO 22301

Sección 27 Auditoria Interna

a. Las diferencias entre las Auditorías Internas y Externas

b. Rol de la Función de la Auditoria Interna

c. Independencia, objetividad e imparcialidad

d. Planificación de las actividades de auditoria

e. La gestión y la asignación de recursos

f. Crear un procedimiento de auditoría

g. Actividades de seguimiento de no conformidades

3.2. Auditoría Interna



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos



9.1.1 Generalidades

La organización deberá llevar a cabo auditorías internas a intervalos planificados para proporcionar información a fin de prestar asistencia en la determinación de si el SGCN:

a) cumple:1) Las necesidades propias de la organización para su SGCN,

2) Los requisitos de esta norma Internacional.

b) se aplica y es manteniendo de forma afectiva.

La organización deberá:-Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,

métodos,- responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías

(s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,- Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria,- La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad del proceso de auditoría.- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la

auditoría.

¿Qué es una Auditoría?


Proceso sistemático, independiente ydocumentado para obtener evidencia de auditoríay evaluarla para determinar en qué medida cumple los criterios de auditoría

En resumen:Auditoría significa preguntar al auditado

Lo que hace, y comprobar si lo hace

Tipos de Auditorías

InternaAuditoría de primera

ParteNuestra organización audita sus

propios sistemas

Organización

Auditoría de SegundaParte

Nuestro cliente auditanuestra organización

Auditoria de SegundaParte

Nuestra organizaciónaudita a nuestro

proveedor

Auditoría de Tercera parte

La organización es auditada por una

organizaciónindependiente

Cliente Proveedor

Externa

http://thumbs.dreamstime.com/z/c%C3%ADrculo-das-setas-25359640.jpg

Las Diferencias entre las Auditorías Internas y Externas

Principales características

Auditoría Interna

1. Es independiente de las actividades auditadas(no de la organización)

2. Considera la eficacia y la eficiencia del sistema de gestión

3. Función de Asesoramiento dentro de la organización para la mejora continua

4. Puede llevarse a cabo en el curso de las operaciones

Auditoría Externa

1. Totalmente independiente de la organización auditada y sus actividades

2. Sólo considera la eficacia del sistema de gestión

3. No tiene función de asesoramiento a la organización (sólo recomendaciones generales)

4. La actividad de la auditoría siempre e planifica de manera oportuna

Principales Servicios y Actividades de la Auditoría Interna

Objetivosprincipal

es

1. Evaluación de los objetivos del sistema de gestión

2. Evaluación general delFuncionamiento del sistema de gestión

3. Evaluación de la gestión de riesgos en curso

4. Evaluación de la eficacia y la eficiencia de los procesos y medidas

8. Coordinación entre las auditorias internas y externas

7. Evaluación de la mejora continua

6. Evaluación de la medición y la revisión del sistema de gestión

5. 4 Evaluación de la eficacia y la eficiencia de la gestión del ciclo de vida del mismo sistema de gestión

ISO 19011

INTERNATIONAL ISO

STANDARD 19011

______________________________________ Societal security- Business continuity

Management Systems –Requirements

______________________________________

Guía de auditoría para los sistemas de gestión

o Las definiciones de los conceptos de auditoría de sistemas de gestión

o Descripción de las características y principios básicos de la auditoría y la

profesión de auditor

o Descripción de todos los elementos clave del proceso de auditoría

o Descripción de los aspectos fundamentales de un programa de auditoría

o Directrices sobre las calificaciones de los auditores



3.1 Supervisión, medición,

análisis y evaluación


3.2.3 Establecer Independencia, objetividad e Imparcialidad

3.2.4 Planificar actividades de

auditoria

3.2.5 Asignar y administrar los

recursos

3.2.6 Crear procedimiento de

auditoría

3.2.1 Crear el programa de

auditoría interna

3.2.2 Designar una Persona Responsable

3.2.7 Realizar actividades de

auditoría

3.2.8 Seguimiento de No

conformidades

3.2.1. Crear el Programa de Auditoria Interna


Establecer el programa de auditoría (5.2)

- Objetivos y alcance – Roles y responsabilidades- Competencia - riesgo del programad e auditoría

- Procedimientos - Recursos

Aplicación del programa de auditoría (5.3)

-Definir cada objetivo, alcance y criterios de la auditoría

-Determinar el método (s) de auditoría-Asignar responsabilidades a los auditores

-Gestionar y mantener registros del programa de auditoria

Supervisión del programa de auditoria (5.4)

-Revisar y aprobar los informes de auditoría -Determinar la necesidad de una auditoria de

seguimiento-Evaluar el desempeño delos miembros del equipo de auditoria y retro alimentación por

parte de todos los interesados

Actividades deAuditoria

(cláusula 6)

Competencia y evaluaciones

de los auditores

(cláusula 7)

Pla

nif

icar

Hac

erV

erif

ica

r

Act

ua

r Revisar y mejorar programa de auditoría (5.5)

3.2.2. Designar una Persona Responsable

1. Desarrollar un programa de auditoría interna (funciones y responsabilidades, procedimientos, documentos de trabajo, formación de auditores, etc.)

2. Planificar las actividades de auditoría

3. Administrar los recursos

4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con estos criterios

5. Escribir informes de auditoría

6. Asegurar que se siguen las mejores prácticas y que se aplican los procedimientos de auditoría durante la realización de la auditoría.

7. Implementar un programa de evaluación continua de los auditores

8. Realizar el seguimiento de las no conformidades y las recomendaciones de auditorías anteriores

Funciones y responsabilidades

Principales Servicios y Actividades de la Auditoría Interna

Preparar, conducir y cerrar una auditoria, comunicación oral y escrita de las conclusiones

Operación de un sistema de gestión e interacción

entre sistemas

Principales leyes y reglamentos, cláusulas

de contrato

Evaluación y gestión de los riesgos de auditoría y aquellos relacionados a la operación de un sistema de gestión

Principales procesos presentes en todas las organizaciones (RRHH, Finanzas, Producción, etc.)

Principiosde auditoría

Sistema de gestión

Aspectoslegales

Procesoorganizacional

Riesgosde auditoría

3.2.3.Establecer la Independencia, Objetividad e Imparcialidad

Carta de auditoría

Definición normal del propósito y actividades de la auditoría interna

Definición formal de la autorización de acceso de Auditores internos

El establecimiento de la independencia de la auditoría interna

Definición de las responsabilidades y los servicios que serán proporcionados por la auditoría interna

Definición formal del alcance y la extensión de la auditoría interna

Estructura del estatuto(carta) de auditoría

El Acceso y la Independencia

El acceso a los recursos y la colaboración

• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados, oficinas, información, explicaciones y la documentación necesaria para el buen desarrollo de la auditoría para el buen desarrollo de la auditoría

• Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de auditoría

Independiente

• Los auditores internos deben ser independientes de los procesos auditados, y esto generalmente se garantiza si el auditor informa a la Comisión de cuentas de la organización en lugar de directamente a la alta dirección

• Esta necesidad de independencia debería reflejarse en el organigrama

1

2

3.2.4. Planificación de las Actividades

Planificación a corto y largo plazo

Una planificación de auditoría d alto nivel para tres años

• Esta planificación debe tener en cuenta que el sistema general de gestión debería ser auditado cada tres años

Una planificación anual más detallada

• Esta planificación debe tener en cuenta que no hay ningún requisito para que el auditor audite todos los procesos y controles del sistema de gestión durante ese año

https://www.google.cl/url?q=http://es.dreamstime.com/fotograf%C3%ADa-de-archivo-calendario-del-espiral-del-escritorio-del-papel-en-blanco-image33231212&sa=U&ei=aD8qU_OuNYPJ0QHpi4CYAw&ved=0CDIQ9QEwAw&usg=AFQjCNGL22uCfWqhwUvN_bopCU6WKoMbVQ

3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría

Recursos financieros Recursos humanos


Herramientas

Políticas y procedimientos de auditoría Logística

https://www.google.cl/url?q=http://www.surdiseno.cl/2013/02/alcancia-chancho-chico/&sa=U&ei=s0AqU_emDofh0wGHnIDIBA&ved=0CHwQ9QEwKA&usg=AFQjCNH7uopmK0pivw1iZS-8y-wXTxtWbw

https://www.google.cl/url?q=http://www.grippo.com/post/793817/DEPARTAMENTO%20DE%20RECURSOS%20HUMANOS.html&sa=U&ei=jEEqU6KUD6PO0gHY1IFI&ved=0CD4Q9QEwCQ&usg=AFQjCNG3BeqnhT3dRl52qvvSm0YH-XxRBQ

https://www.google.cl/url?q=https://unpocodejava.wordpress.com/category/programas/&sa=U&ei=f0IqU4HRMaLE0gHui4D4AQ&ved=0CH4Q9QEwKA&usg=AFQjCNFnHPwJoC5oYgOU7XvZI0oVfM48Lg

https://www.google.cl/url?q=http://lapesadiella.com/tag/libros/&sa=U&ei=GkMqU_y7NOb00gG0-oDQDw&ved=0CHYQ9QEwJQ&usg=AFQjCNEb6JpWvOiGt3ZIT5vshzG1T2k36Q

3.2.6. Crear Procedimientos de Auditoría

1. Planificar y programar las auditorias teniendo en cuenta los riesgos de auditoría

2. Administrar la seguridad de la información y la confidencialidad y gestionar los riesgos de auditoría

3. Garantizar la competencia de los auditores y los lideres de los equipos

Los procedimientos de auditoría deberían incluir información sobre cómo:

4. Seleccionar equipos de auditoria apropiados y asignar sus roles y responsabilidades

5. Realizar auditorias incluyendo el uso de métodos de

muestreo apropiados

6. Realizar el seguimiento de la auditoría, si procede

7. Informar de los resultados del programa de auditoría al cliente de auditoría

8. Mantener registros del programa de auditoría

9. Monitorear la operación, los riesgos y eficacia del programa de auditoría


Para las organizaciones pequeñas, las actividades mencionadas arriba pueden ser cubiertas por un solo procedimiento

3.2.7. Realizar Actividades de Auditoría

Fuente de información

Uso de Procedimientos de auditoría

Incluyendo el muestreo

Evidencia de la auditoría

Evaluación frente a los Criterios de auditoria

Hallazgo de la auditoría

Revisión

Conclusiones de la auditoría

No conformidad

Definición

o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad es el “no cumplimiento de un requisito”

o Hay dos tipos de no conformidades

No conformidad menor

No conformidad mayor

https://www.google.cl/url?q=http://elblogdetitus.blogspot.com/2012/05/rompiendo-cadenas-con-beethoven.html&sa=U&ei=y70qU4KDEtCFkQep3YHIDw&ved=0CEQQ9QEwDA&usg=AFQjCNHXnwt5iHmle_JxeYgUUU80H5C9Ug

3.2.8. Seguimiento de no conformidades

Directriceso El auditor interno debería seguir los planes de acción presentados en respuesta a las no conformidades (como resultado de las autoridades internas y externas)

o La persona a cargo del SGCN debe informar al auditor interno de la marcha de las acciones correctivas

o El papel del auditor interno se limita a validar los planes de acción y las acciones correctivas

o No todas las medidas correctivas tiene que ponerse en práctica inmediatamente

Basado en su experiencia y conocimiento, el auditor interno deberíaejercer buen criterio y evaluar si los planes de acción

apropiados y pueden abordar las causas intrínsecas de las conformidades


Sección 29 Tratamiento de problemas y no conformidades

a. Proceso de análisis de la causa raíz

b. Herramienta de análisis de la causa raíz

c. Procedimiento de acciones correctivas

d. Procedimiento de acciones preventivas

3.3. Revisión por la Dirección



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos



La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia

La revisión por la dirección deberá incluir la consideración de :

a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección;

b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema de gestión de la continuidad del negocio;

c) Información sobre el desempeño de la continuidad del negocio, incluyendo las tendencias en :

1) No conformidades y acciones correctivas.

2) Los resultados de la evaluación del seguimiento y la medición;

3) Resultados de la auditoría; y

d) Oportunidades para la mejora continua.


Definición

Una revisión periódica de la eficacia del Sistema de Gestión realizada por la alta dirección para analizar su conveniencia, adecuación y eficacia continuas

Término Concepto

Idoneidad

Adecuación

Eficacia

Los resultados se logran de la mejor manera posible

Las salidas cumplen con los criterios establecidos

El sistema cumple con las necesidades de la organización

3.3. Revisión por la Dirección


1.2 Implementacióndel SGCN

4. MejoraContinua

3.3.1 Prepararla Revisión

por la Dirección

3.3.2 Realizar la Revisión

por la Dirección

3.3.3 Cierre dela Revisión

por la Dirección

3.3.4 Seguimiento de la Revisión

por la Dirección

3.1 SupervisiónMedición, análisis y

evaluación

3.2 AuditoríaInterna

3.3.1. Preparación de la Revisión por la Dirección

o La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados (por lo menos una vez al año)

o La revisión por la Dirección se puede incluir en una reunión de Dirección y ser uno de los temas del orden del día

o Es una buena práctica enviar al comité de gestión toda la documentación relacionada (informe de auditoría, resultados de las revisiones, planes de

acción…) antes de la revisión

https://www.google.cl/url?q=http://www.mintrab.gob.cl/?p=6593&sa=U&ei=SekqU6ThIIn4kQew94GgBw&ved=0CNIBEPUBMFM&usg=AFQjCNGAvhN6nUh_hrvnhYO6SD51mdIqdQ

Requisitos



La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organización deberá llevar a cabo ejercicios y pruebas que:

a) Están en consonancia con el alcance y los objetivos del SGCN,

b) Se basan en escenarios adecuados que están bien planificados con metas y objetivos claramente definidos,

c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de su negocio, que involucren a las partes interesadas,

d) Reducen al mínimo el riesgo de interrupción de las operaciones,

e) Producen informes pos-ejercicio formalizados que contengan los resultados, recomendaciones y acciones para implementar las mejoras,

f) Son revisados en el contexto de la promoción de la mejora continua y.


3.3.2. Realizar una Revisión por la Dirección

La entrada de una revisión por la Dirección debería incluir información sobre:

1. Los resultados de auditorías del SGCN y sus revisiones

2. Las técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el rendimiento y la eficacia del SGCN

3. Estado de las acciones preventivas y correctivas

4. Los resultados de ejercicios y pruebas

5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo anterior

6. Los resultados de las mediciones de la eficiencia

7. Las acciones de seguimiento de revisiones por la Dirección anteriores

8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos

9. Adecuación de la política

10. Recomendaciones para la mejora

11. Las enseñanzas derivadas de incidentes

12. Buenas prácticas y guías emergentes

Temas que figuraran en el programa

3.3.3. Resultados de la Revisión

El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones relacionadas con lo siguiente:

1. Variaciones al alcance del SGCN;

2. Mejora de la efectividad del SGCN;

3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante incidentes y procedimientos de respuesta;

4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los cambios en: Requisitos empresariales y de funcionamiento Reducción de riesgos y requisitos de seguridad Procesos de las conducciones de funcionamiento del negocio que inciden en

los requisitos operativos existentes; Los requisitos reglamentarios o legales Las obligaciones contractuales Los niveles de riesgo y/o criterios para la aceptación de riesgos; Necesidades de recursos Los requisitos económicos y presupuestarios Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles

Decisiones y resoluciones

3.3.4. Seguimiento de la revisión por la Dirección

o Las revisiones por la Dirección deben ser documentadas

o La organización debería presentar informes sobre la revisión por la Dirección a todos los que forman parte de ella

o El coordinador del SGCN y el quipo de auditoría interna tiene la responsabilidad de garantizar que los planes de acción de seguimiento sean aprobados

Dirección

Follow Up!

4.1. Tratamiento de Problemas y No Conformidades



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación






1.4 Alcance

1.6 Política de CN




Requisitos


10 Mejora

10.1 No conformidad y acción correctiva

La organización deberá:

a) Identificar no conformidad(es);

b) Reaccionar a la falta de conformidad y, en su caso

1) Adoptar medidas para controlar, contener y corregirla,

2) Hacer frente a las consecuencias.

c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad, con el fin de que no se repita o se de en cualquier otra parte

d) Implementar las medidas necesarias

e) Examen de la eficacia de las medidas correctivas adoptadas,

f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a los efectos de las no conformidades encontradas


Definiciones

ISO 9000

Mejora continuaActividad recurrente para aumentar la capacidad de cumplir con los requisitos (ISO 9000, 3.2.13)

Corrección Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)

Acción Correctiva

Acción Preventiva

Acción para eliminar la causa de una no conformidad detectada u otra situación indeseada (ISO 9000,3.6.5)

Medidas para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable (ISO 9000, 3.6.4)

4.1. Tratamiento de Problemas y No Conformidades


2 Implementacióndel SGCN

4.2. MejoraContinua

4.1.1 Procesode resolver

problemas y no conformidades

4.1.2. Procedimiento d

acciones correctivas

4.1.3. Procedimiento de

acciones correctivas

4.1.4. Planes de acción

3.1 Medición del SGCN

3.2 AuditoríaInterna

4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades

Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas

Inicio

3Desarrollar

Plan Provisional de Contención

Elegir/ Comprobar las Acciones CorrectivasPermanentes (ACP)

5Definir y VerificarCausa(s)4

Seleccionar las causasProbables

¿Es la CausaUna

CausaRaíz?

DesarrollarSoluciones posibles(s)

Validar y Aplicar las ACP

Prevenir la recurrencia

Facilitar a su Equipo

6

7

8Describir el Problema

Establecer el Equipo/Utilizar un enfoque de

Equipo

Identificar el Problema

2

1

0

Finalizar

Si

No

Face de Planificación

Herramienta de Análisis de la Causa Raíz

Diagramas de causa y efecto

Gestión de Procedimientos

El Sitio de la Red nofunciona

con

frecuenciaNo hay un procedimientoPara gestionarlo

No hay formación en la sensibilización

Ningún proceso establecido para tratar con sitio de la red

Cuando se descompone

El personal de TI no mide el rendimiento del prestador del servicio del sitio de la red.

Proveedor externo inadecuado

Equipos Obsoleto

No se siguen adecuadamente los procedimientos de actualización de la

página web

El personal de TI no está apropiadamente capacitado para gestionar el sitio de la red.

No hay capacitación de gestión del sitio de red para sus

empleados

Insuficiencia de recursospara gestionar el sitio de la Red

Causas Prioritarias

Evaluaciones Recursos Recursos

Haciendo las preguntas correctas

Situación actual Interrogatorio Seguimiento de la solución Opción (es)

¿Qué se ha hecho?

¿Cómo se hace?

¿Dónde se hace?

¿Quién lo hizo?

¿Cuándo se hace?

¿Por qué es necesario?

¿Por qué se hace de esta manera?

¿Por qué se hace en este lugar?

¿Por qué esta persona?

¿Por qué se hace en este momento?

¿Qué otra cosa podríamos hacer?

¿Cómo hacerlo de manera diferente?

¿Quién más podría hacerlo?

¿Dónde más podríamos hacerlo?

¿Podríamos hacerlo en otro momento?

¿Qué se hará?

¿Cómo se hará esto?

¿ Quién lo hará?

¿Cómo se hará esto?

¿Cuándo se va a hacer?

Necesarias para el análisis de cualquier problema

4.1.2. Procedimiento de Acciones Correctivas

Acción correctiva

Mejora Continua

Análisis situacional

Identificación de la no conformidad

Revisión y seguimiento de acciones tomadas

Implementación de soluciones y registros de las medidas tomadas

Análisis de las causas raíz

Evaluación de las opciones

Selección de soluciones

Identificación y documentación de la no conformidad

4.1.3. Procedimiento de Acciones Preventivas

La organización deberá determinar las acciones para eliminar las causas potenciales de no conformidad, de conformidad con los requisito del SGCN

Eficacia

Acciones preventivas Acciones correctiva

Costos

4.1.1. Elaboración de Planes de Acción

Se puede escribir en forma resumida

Deben permitir que sea corregida la no conformidad

Deberían basarse en un enfoque preventivo y correctivo

Deben incluir un plazo de ejecución

Deben permitir la obtención de resultados verificados

Presentación de los Planes de Acción tras una Auditoría

o Se deberá presentar un plan de acción global por cada no conformidad, no un plan de acción para todas las no conformidades

o Los planes de acción deben ser aprobados por la dirección

o El auditor analizará las causas y evaluará si la corrección especifica y las medidas correctivas adoptadas o previstas, permitirán eliminar no conformidades detectadas, dentro de un tiempo definido

Planes de Acción

Ejemplo

1 Almacenar datos archivados y correos electrónicos en un servidor de archivos más fiable (2º trimestre 2008)

2 Una nueva versión de la política de CN debe ser publicada para incluir un marco para establecer objetivos (en el plazo de 2 meses)

3

Los nombres de las personas de contacto en caso de desastre deben ser explícitamente mencionados en el plan de continuidad del negocio (inmediatamente) y los procedimientos para contactar a estas personas deben ser documentados y comunicados (Tema incluido en el plan de concientización del 2009)

Ejercicio 14

Planes de acciones correctivas


Sección 30Mejora continua

a. Proceso de seguimiento continuo de factores de cambio

b. Mantenimiento y mejora del SGCN

c. Actualización continua de la documentación y registros

d. Documentar las mejoras

4.2. Mejora Continua



4.2 Mejora continua







Negocio


Mitigación


2.6 Comunicación


1.1. Planificar el SGCN




1.4 Alcance

1.6 Política de CN




Requisitos


10 Mejora

10.2 Mejora Continua

La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del SGCN

NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación y evaluación del desempeño, para lograr mejoras.

Mejora Continua

La mejora continua es un proceso de aumento de la eficacia y la eficiencia de la organización para cumplir con sus políticas y objetivos.

En pequeños pero certerospasos

https://www.google.cl/url?q=http://es.123rf.com/imagenes-de-archivo/subiendo_escaleras.html&sa=U&ei=6lcrU8CJKYaB0QHR7YDAAQ&ved=0CGQQ9QEwHA&usg=AFQjCNH5nPh1zGfMjxQi8TT-2HQ9Cvk5eg

4.2. Mejora Continua


2. Implementacióndel SGCN (Hacer)

Auditoría de Certificación

4.2.1. Supervisión de factores de

cambio

4.2.2. Mantenimiento y

mejoras

4.2.3. Actualización de la

documentación

4.2.4. Documentar las mejoras

3. Verificar4.1. Tratamiento De problemas y no conformidades

4.2.1.Proceso de Seguimiento continuo de los Factores de Cambio

Los cambios en la organización

• Misión• Objetivos de la empresa• Presupuesto y recursos• Cambios en el personal

Cambios enlas tecnologías

• Hardware• Software• Los procedimientos de TI• Los procesos de TI

Cambios por el SGNC

• Política de continuidad del negocio• Nuevos escenarios de riesgo • Los cambios de los procedimientos• Resultado de las pruebas y ejercicios• Resultado de la auditoría

Los Cambios externos

• Leyes y reglamentos:• Necesidades y preocupaciones de los clientes y proveedores• Proveedores de SLA• Los cambios en el entorno por ej.: los competidores

4.2.2. Mantenimiento y mejora del SGNC

• El SGNC debe ser mantenido y actualizado periódicamente.

• Las mejoras acordadas en el proceso y las acciones necesarias para mejorar el proceso deberían ser notificadas a los directores más apropiados para asegurar que ningún riesgo es pasado por alto ni subestimado antes de la aplicación de los cambios.

Mejora

Implementación

Mantenimiento

https://www.google.cl/url?q=http://es.wikipedia.org/wiki/Espiral_de_Arqu%C3%ADmedes&sa=U&ei=_JIxU7WoC4iO0gHOooGoCA&ved=0CGoQ9QEwHzgU&sig2=P9NCacfAtaDN3lrf-D5xBQ&usg=AFQjCNFHd95TDVTwB5of_aYUMp8WgZuybg

4.2.3. Actualización Continua de la Documentación y Registros

Cambio continuo

Documentación del SGCN

• Política del SGCN• Análisis de riesgos• Estrategia• Continuidad del Negocio y planes de

reanudación• Programa de sensibilización• Programas de Educación• Planificación de las actividades y los

resultados.• Los niveles de servicio acordados

Ejercicio

• Evolución organizacional• Nuevas reglas• Cambios en el alcance del negocio• Incidentes• Funcionamiento defectuoso• Fallos• Informes de la Gestión de Riesgos• Resultados de las pruebas• Auditorías Internas• Auditorías Externas

Revisar y adaptar

4.2.4. Documentar las Mejoras

Por lo general, mediante el procedimiento de gestión del cambio

Record of Changes

Page # Change Comment Date of Change

Signature


Sección 31Preparación para la auditoría de certificación

a. Selección de la entidad de certificación

b. Preparación para la auditoría de certificación

c. Etapa 1 de la auditoría

d. Etapa 2 de la auditoría

e. Auditoría de seguimiento

f. Decisión sobre la certificación

g. Auditoría de vigilancia

Requisitos

ISO 22301, cláusula 4.4Sistema de gestión de continuidad del negocio

La organización deberá establecer, implementar, mantener y mejorar continuamente un SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de esta Norma Internacional.

Organismo de Certificación

ISO 17021

Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión.

Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas.

https://www.google.cl/url?q=http://www.sgsgroup.us.com/&sa=U&ei=jIssU-vDFcji0gG3qoGQAQ&ved=0CC4Q9QEwAQ&sig2=ElpzGkPaRNzK45PwliIwuQ&usg=AFQjCNFeBqnsDXCJthr9ldUBm6FflX6e8A

https://www.google.cl/url?q=http://www.tecnyconta.es/index.php?sec=4&zona=597&idioma=&sa=U&ei=z4ssU_iFOpK10AHO1oEo&ved=0CC4Q9QEwAQ&sig2=m2F3AZD_U1Z3tel3vHv-Xg&usg=AFQjCNHODQXPWFPE70yVJ_e_4Fb7W76WlQ

https://www.google.cl/url?q=http://pressitt.com/smnr/tv-rheinland-successfully-implements-stepstone-solutions-total-talent-management/1335/&sa=U&ei=7ossU5e_A4So0gHD24GoAQ&ved=0CCwQ9QEwAA&sig2=1zExVVTsXL-ftczEso7KVQ&usg=AFQjCNEnXMSueoKjDfoSFXJ7oGOyEVtOEg

https://www.google.cl/url?q=http://www.linde.com.uy/international/web/lg/uy/likelguy.nsf/0/85FF4A4B3CFB64C0852570190046066E&sa=U&ei=EIwsU_vHE-bh0QGkxICgAw&ved=0CJQBEPUBMDQ&sig2=2L8-c5UBtIzohpQjSTQkug&usg=AFQjCNHMDYRrurllzJGJqdDm4jbhB1JgGw

https://www.google.cl/url?q=http://www.svti.ch/en/svtiasit/svtiasit-group/&sa=U&ei=WYwsU8yuOorN0AGj4YGQCQ&ved=0CDIQ9QEwAw&sig2=sZsGLnzcAQr1k32ucU2Nkg&usg=AFQjCNGj7tqpFtuRV5Fl4m-8B2adc8o1Sw


Proceso de Certificación

1. Seleccionar un Organismo de Certificación:

2. Preparación de la auditoría

Mejora Continua y Auditoría de Vigilancia

3. Etapa 1 de la auditoría

4. Etapa 2 de la auditoría (auditoría

in situ)

Implementación del SGCN

An

tes

de

la

A

ud

ito

ría Informe de auditoría

interna Revisión por la Dirección

Au

dit

orí

a I

nic

ial

Se

gu

imie

nto

de

la

Au

dit

orí

a 5. Auditoría de seguimiento (si es

necesario)

6. Decisión de Certificación

Antes de la Auditoría

o Antes de ser auditado, un SGNC debe estar en funcionamiento durante un tiempo determinado

o Por lo general, se requiere un plazo mínimo de tres meses.

o Como mínimo, se debe haber realizado por lo menos una auditoría interna, así como una revisión por la dirección.

https://www.google.cl/url?q=http://es.dreamstime.com/foto-de-archivo-calendario-y-ningun-ao-especificados-image26165680&sa=U&ei=75UsU9iDA8LL0AHE_oDoBg&ved=0CHwQ9QEwKA&sig2=STitGIePlzWypBIKqfHE3A&usg=AFQjCNFzyF0BByQMH67qUXwXEEYDuAtL0A

1. Selección de un Organismo de Certificación

Principales criterios

1 Notoriedad y credibilidad

2 Presencia geográfica

3 Las referencias en su sector

4 Posibilidad de una auditoría combinada

5 Habilidades y experiencia del equipo auditor

6 Precio

El Rechazo de un Auditor

o Es posible solicitar la

sustitución de los miembros

del equipo de auditoría por

razones válidas.

o El equipo de auditoría podría

retirarse si considera que las

razones mencionadas no son

válidas.

Ejemplo de razones

válidas:

• El auditor se encuentra en

una situación de conflicto de

interés (real o potencial)

• El auditor ha mostrado

anteriormente conducta no

profesional

• El auditor no tiene la

habilitación requerida por la

entidad auditada.

https://www.google.cl/url?q=http://piggelina.se/2011/11/page/4/&sa=U&ei=_SowU__TGofh0gHL3YCYCQ&ved=0CC4Q9QEwAQ&sig2=BEjHhMNNn3n2w5i_vhBLCA&usg=AFQjCNFY7Cej66SE-SWmSMTwzvUmTcntCg

2. Preparándonos para la Auditoría de Certificación

2.Preparar al personal

3. Auditoría de práctica.

1. La Auto evaluación

Recomendaciones

Preparación para la auditoría

3. Etapa de la auditoría

1. Visita al sitio• Evaluación de la ubicación del cliente y las condiciones

específicas del lugar.• Reunión/contacto con el personal auditado.• Observación general de las operaciones del SGCN

2.2. Entrevistas con actores claves

• Validación del alcance, así de cómo las limitaciones legales, reglamentarias y contractuales aplicables

• Validación de que se han realizado las auditorías internas y las revisiones por la Dirección.

• Preparación de la etapa 2 de la auditoría.

3. Revisión de documentos• Comprensión general del funcionamiento del sistema de

gestión.• Evaluación del diseño del sistema de gestión, así como de los

procesos y controles relacionados.

Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.

4. Etapa 2 de la auditoría

Auditoría in situ

OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA

Asegurar que el SGCN:

- Cumple con todos los requisitos de la norma ISO 22301- Está eficazmente aplicado- Permite que la organización logre sus objetivos de continuidad del

negocio

Recomendación de Certificación

Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes relativas a la certificación:

1. Recomendación para la certificación.

2. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas sin visita previa.

3. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas con visita previa.

4. Recomendación desfavorable.

5. Realización de una Auditoría de Seguimiento

• Basado en las conclusiones de la auditoría, el auditor puede tener que llevar a cabo una auditoría de seguimiento antes de que la organización sea recomendada para la certificación.

• La verificación de los planes de acción y las medidas correctivas relacionadas con las no conformidades identificadas en el informe de auditoría.

ISO 17021, cláusula 9.1.12-13

Una no conformidad mayor debería generalmente implicar una auditoría de seguimiento.

6. Decisión sobre la Certificación

El organismo de certificación debe tomar la decisión de certificación basado en:

Una evaluación de los resultados y conclusiones de la auditoría.

Cualquier otra información pertinente (por ejemplo, la información pública, los comentarios del cliente en el informe de auditoría)

ISO 17021, cláusula 7.5.2 y 9.2.5.1

Los auditores que hayan tomado parte en la auditoría nunca toman parte en la decisión de certificación.

Elementos a Auditar durante una Auditoría de Vigilancia


Gestión del Cambio

Auditoría Interna

La auditoría de vigilancia tiene por objeto garantizar que el SGCN sigue

siendo implementado y está mejorando.

Planes de Acción

Revisiónpor la

Dirección

Mejora Continua

Reclamos Y

Sugerencias

Utilización de marcas registradas

La auditoría se centra principalmente en la mejora continua, y en el

seguimiento de los planes de acción.

Control de las Operaciones

Efectividad y métricas

Auditoría de Re Certificación

• Una auditoría de re certificación deberá ser planificada y realizada para evaluar el cumplimiento continuo de todos los requisitos cada tres años.

• La auditoría de re certificación tendrá en cuenta el rendimiento del sistema de gestión durante el periodo de certificación, y deberá incluir la revisión de los anteriores informes de auditoría de vigilancia.

• La duración de una auditoría de re certificación debería ser de 2/3 del tiempo dedicado a la auditoría inicial


Uso de los Órganos de Certificación y las Marcas Registradas ISO

• Una organización certificada está autorizada para exhibir públicamente su certificación y para su uso con fines de comercialización

• La certificación no se puede mostrar directamente en un producto o de una manera que conduzca a creer que el producto está certificado.

• El organismo de control proporcionará a la entidad auditada un logotipo que se puede utilizar para la comercialización.

ISO 17021, cláusula 8.4.1.


Sección 32Competencia y evaluación de un Implementador Líder

a. Las competencias de un implantador

b. Esquema de certificación de PECB

c. Solicitud de auditoría

d. Mejora continua de las competencias

Definiciones de Competencia


Capacidad demostrada para aplicar conocimientos y habilidades

Competencia

CompetenteDesempeño

Practicante

Habilidades

Habilidadesde

conducta

Conocimiento

Con

ocim

ient

osde

Contexto

ContextoC

ontexto

Habilidades de Conducta


Describe en detalle cómo se llevan aCabo las tarea y actividades

Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma

1. Integridad 5. Perceptivo 10. Responsable

2. Mente abierta 6. Versátil 11. Abierto a la mejora

3. Diplomático 7. Tenaz 12. Culturalmente sensible

4. Observador 8. Decisivo 13. Colaborador

9. Auto suficiente


Esquema de Certificación de PECB para la ISO 22301

Resumen de requisitos

Examen Credencial Profesional Experiencia Profesional

Experiencia auditoría de

SGCN

Experiencia Proyecto de

SGCN

ISO 22301 Fundamentos

ISO 22301 Fundamentos --------------- ------------- -------------

ISO 22301 Auditor Líder

ISO 22301 Auditor Provisional -------------- ------------ -------------

ISO 22301 Auditor 2 Años (1 en

continuidad del negocio)200 horas ------------

ISO 22301 Auditor Líder

5 Años (2 en continuidad del negocio)

300 horas ------------

ISO 22301Implementador Líder

Implementador Provisional ISO 22301 ------------ ------------ ------------

ISO 22301Implementador

2 Años (1 en continuidad del negocio) ------------ 200 horas

ISO 22301Implementador Líder

5 Años (2 en continuidad del negocio)

------------ 300 horas

AL ISO 22301 + IL ISO 22301 ISO 22301 Master 10 años (6 en

continuidad del negocio)500 horas 500 horas

Proceso de la Certificación de PCEB

4. Solicitud de certificación

5. Evaluación de su solicitud

6. Certificación7. Mantenimiento de la certificación

1. Examen PECB 2. Certificado CPD3. Resultados del

examen

1. Presentarse al Examen de PECB

Preparación para el examen• El Objetivo de este examen es garantizar que los candidatos conocen y

dominan:

1. Los principios fundamentales y los conceptos de continuidad del negocio.

2. Las Mejores prácticas de Control de la continuidad del negocio.

3. La planificación de un SGCN basado en la norma ISO 22301

4. La aplicación de un SGCN basado en la norma ISO 22301

5. La evaluación del desempeño, seguimiento y medición de un SGCN basado en la norma ISO 22301

6. La mejora continua de un SGCN basada en la norma ISO 22301

7. Prepararse para una auditoría de certificación del SGCN

• Los participantes tienen derecho a utilizar toda su

documentación• El examen dura tres horas

https://www.google.cl/url?q=http://www.youtube.com/watch?v=DM5ZWUHkD2o&sa=U&ei=KHowU6_jJPPp0QG9pYDADw&ved=0CIQBEPUBMCw&sig2=t164xG_NHfEXKXngj9jDZw&usg=AFQjCNGV0WUL3KfMApaMoM9yNNzBxrOK-g

2. Certificado de Terminación de Curso

Certificado de DPC (Desarrollo Profesional continuo)

https://www.google.cl/url?q=http://www.qualityfoundation.in/iso-consultants-kolkata.html&sa=U&ei=Wn4wU-_kCYfh0QHsoICIDw&ved=0CKQBEPUBMDw&sig2=BQgoh7wEYdELUbD3gC_1Jg&usg=AFQjCNEycwvsefPsNxnnO_FQzKoEKVZnSA

3. Anuncio de los Resultados del Examen

Los posibles resultados son:

AP

RO

BA

DO Usted recibe un número de examen por correo

electrónico Este número de examen es importante cuando

solicite la certificación de PECB

DE

SA

PR

OB

AD

O

Puede intentar una re-examinación dentro de los 12 meses del examen inicial

Contáctese, por favor, con el proveedor del examen para determinar una fecha para la re-examinación

Nota Importante: Al candidato no se le enviará una puntuación numérica

4. Solicitud de Certificación

Proceso general

• Una vez que ha aprobado el examen, usted puede solicitar en línea su certificación de PECB en www.pecb.org

• Al hacer la solicitud, debe proporcionar la siguiente información:

1 Sus detalles de contacto

2 Su experiencia profesional y su experiencia de auditoría

3 Por lo menos tres referencias.

http://www.pecb.org/

4. Solicitud de Certificación

Expediente de experiencia profesional

Experiencia válida de proyectos Las actividades de implementación

Pre-evaluación

Análisis de brechas

Implementación interna

Implementación externa / consultoría

Implementación parcial

Elaboración de la implementación de un caso de negocio del SGCN

Gestión de un proyecto de implementación del SGCN

Realizar una evaluación de riesgos y un AIN

Aplicar medidas de mitigación Elaborar un plan de continuidad del

negocio Participar en las pruebas y ejercicios

de los planes de CN Aplicar las métricas y tableros Aplicar medidas correctivas o

preventivas Realizar una revisión por la

dirección Gestionar un equipo de continuidad

del negocio.

5. Evaluación de su Solicitud

Una vez que esté completada su solicitud, PECB hará la evaluación:

• Se contactará a sus referencias para validar:

Su experiencia de trabajo y su experiencia de auditoría.Su actitud personal.

• Su solicitud no será evaluada hasta que por lo menos dos de sus referencias hayan contestado.

• Usted podrá verificar si sus referencias han contestado en su cuenta de membresía de PECB

6. Certificación

• Si su solicitud es aprobada, PECB enviará el certificado por correo electrónico en formato PDF.

• Este certificado contiene el número de certificación que puede validar en la página web PECB www.pecb.org siguiendo la pestaña “Entregar un certificado”

• Sólo las personas que estén debidamente certificadas pueden usar el título de “Implementador Líder Certificado en la ISO 22301 (PECB)”

• También es posible utilizar los siguientes títulos:

IL Certificado ISO 22301 (PECB) Implementador Líder ISO 22301 (PECB) IL ISO 22301 (PECB)

http://www.pecb.org/

6. Mantenimiento de la Certificación

Mantenimiento y mejora continua de las competencias

Desarrollo profesional continuo (mínimo de 45 horas de capacitación continua para un periodo de 3 años)

Mantenimiento de capacidades de proyecto (mínimo de 45 horas de actividades de proyecto para un periodo de 3 años)

https://www.google.cl/url?q=http://www.agenda21denia.org/index.php/04022013-primera-reunio-del-grup-de-treball-del-pla-daccio-per-a-la-salut/?lang=es&sa=U&ei=U5MwU_3IMcKW0QGbm4DIAw&ved=0CE4Q9QEwEQ&sig2=6DZq5U-5-EQJY1WUMNn5bQ&usg=AFQjCNF3RrT5kNSxlqIiwp4xQtTn6QLZyg

https://www.google.cl/url?q=http://santamariadebaionadiocesistuy-vigo.blogspot.com/2012/11/eres-de-izquierda-o-de-derecha.html&sa=U&ei=H5QwU4OcJaHf0QHErYGgAg&ved=0CMYBEPUBME0&sig2=QgoY7L8ovIu0kf_7VaMYlw&usg=AFQjCNE1hZranplEFzTmddsRPI0PMPxVFQ

7. Mantenimiento de la Certificación

Mantenimiento y mejora continua de las competencias

CERTIFICACION:

Requisitos Anuales Total Tri - Anual

Experiencia Educación Experiencia Educación

Fundamentos, implementador

Provisional y Auditor provisional

0 Ninguna 0 Ninguna Ninguna Ninguna

Implementador 10

Horas de experiencia laboral, implementación o experiencia relacionada con consultoría

10

Horas de capacitación, estudio privado, entrenamiento, asistencia a seminarios y conferencias u otras actividades relevantes.

30 horas 30 horas

Auditor 10

Horas de experiencia laboral, tareas relacionadas con experiencia en auditorías o evaluación

10


30 horas 30 horas

Implementador Líder 15

Horas de experiencia laboral, implementación o experiencia relacionada con consultoría

15


45 horas 45 horas

Auditor Líder 15Horas de auditoría o de tareas relacionadas con evaluación

15


45 horas 45 horas

Máster 30Horas de implementación, gestión o tareas relacionadas con auditoría.

30


90 horas 90 horas

Capacitación para Auditor Líder Certificado en la Norma ISO 22301

Sección 33Cierre de la capacitación

a. Evaluación de la capacitación

b. Otras capacitaciones y certificaciones para la ISO 22301

c. Otras Capacitaciones y certificaciones para implementadores

Evaluación de la Capacitación

Formulario de evaluación del curso

https://www.google.cl/url?q=http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1139-13752010000300009&lng=en&nrm=iso&tlng=es&sa=U&ei=c50wU9STFc2c0gGCwYDgAw&ved=0CKABEPUBMDo&sig2=FeZvd9JyH1gOkKNptHHIVw&usg=AFQjCNEr-AvmAXMbPtLFzU8OitpOeUncow

Otras Capacitaciones y Certificaciones para ISO 22301

Auditor Líder ISO 22301

(5 días)

Principios fundamentales de la continuidad del negocio Conceptos fundamentales y principios de auditoría Pruebas y riesgo Procedimientos de auditoría Conclusiones de la auditoría Acciones Correctivas

Gestor de RiesgosISO 27005:31000

(3 días)

Términos y definiciones relativos a la gestión de riesgos Las normas, marcos de referencia y metodologías de

gestión de riesgos. Establecer el contexto y definir criterios del riesgo. Identificación y análisis de riesgos. Evaluación y tratamiento de riesgos. Las opciones y planes de tratamiento de riesgo.

Desarrollo de la Carrera Profesional

Otras Capacitaciones y Certificaciones para Implementadores

ISO 9001 Gestión de Calidad

ISO 14001 Gestión Ambiental

OHSAS 18001 Gestión de salud y seguridad física

ISO 20000 Gestión de servicios TI

ISO 22000 Gestión de la seguridad alimentaria

ISO 22301 Gestión de Continuidad de Negocios

ISO 27001 Gestión de seguridad de la información

ISO 28000 Sistemas de gestión de seguridad para la cadena de suministro

Capacitación “Puente”

Curso: "Implementador Líder Certificado en la ISO 22301"

Business

Transcript of Curso: "Implementador Líder Certificado en la ISO 22301"