Auditoría del SGCN según ISO 22301

965 visualizaciones

Publicado el

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
965
En SlideShare
0
De insertados
0
Número de insertados
14
Acciones
Compartido
0
Descargas
39
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
  • Auditoría del SGCN según ISO 22301

    1. 1. Sobre el Expositor Maricarmen es Socio y Director General de Secure Information Technologies, instructor, catedrático y especialista en temas de Seguridad de la Información, Continuidad del Negocio, gestión de continuidad del negocio y Gestión de Servicios de Tecnología de Información, Gobierno Corporativo, y Auditoría de TI. Es Asesor para instituciones privadas y gubernamentales en México y Latinoamérica. Instructor del BSI para las normas ISO22301, ISO27001, ISO31000, ISO27031, ISO27005 e ISO20000. Miembro de ISACA, ISC2, ALAPSI y ALAS y miembro del consejo editorial de la revista DRJ en español. Correo electrónico: maricarmen.garcia@secureit.com.mx Página web: www.secureit.com.mx Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García Maricarmen Garcia, CBCP, LA BS25999 e ISO27001 Director General Secure Intormation Technologies (México)
    2. 2. Temas a tratar: Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
    3. 3. Temas a tratar: • El proceso de auditoría de los Sistemas de Gestión y su aplicabilidad al SGCN • Actividades del proceso de auditoría • Competencias requeridas para el equipo de auditorías del SGCN • No Conformidades • Elementos de auditoría tradicional y la auditoría del SGCN para beneficio de la organización Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
    4. 4. El proceso de auditoría de un Sistema de Gestión y su aplicabilidad a un SGCN Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    5. 5. Pag.6 • Designar al líder le auditoría • Definir objetivos, alcance y criterios • Determinar factibilidad • Seleccionar equipo de auditoría • Identificar responsables por parte del auditado Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    6. 6. Competencias del auditor Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Conocimiento y entendimiento de la gestión de continuidad del negocio. • Experiencia y conocimiento en tecnología de información. • Conocimiento de requerimientos legales y regulatorios relativos a gestión de continuidad del negocio. • Habilidades y entrenamiento en gestión de continuidad del negocio. • Conocimiento de herramientas y software para la gestión de continuidad del negocio. • Conocimiento de estándares y mejores prácticas para la gestión de continuidad del negocio, en específico de ISO 22301.
    7. 7. Definir el criterio de auditoría Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Leyes • Regulaciones • Contratos • Acuerdos de Niveles de servicio • Estatutos • Normatividad interna • Estándares internacionales • Otras mejores prácticas
    8. 8. Definir el criterio de auditoría Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García ISO 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 Risk IT Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide ISO 22301 ARMS UNE 71504 ERM Coso Leyes Metodología Interna Regulaciones
    9. 9. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Revisar documentos relevantes asociados con la gestión de continuidad del negocio, incluyendo registros y su adecuación con el criterio de auditoría. Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría Revisión de ISO 22301
    10. 10. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Ejemplos: • Política de gestión de continuidad del negocio • Metodología de gestión de continuidad del negocio • Reportes de análisis y evaluación de riesgos • BIA • Estrategias de Continuidad • Plan de Continuidad y de Gestión de incidentes • Reportes de pruebas Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    11. 11. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Preparar plan de auditoría • Asignar trabajo a miembros del equipo • Preparar documentos de trabajo Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    12. 12. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Entendimiento de la organización • Revisar y evaluar: • Consideración de aspectos del contexto externo de la organización. • Consideración de aspectos del contexto interno de la organización
    13. 13. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Política de gestión de continuidad del negocio (CL. 5.3 ISO 22301) • Revisar y evaluar (buscar evidencia de conformidad): 5.3 Política: La alta gerencia deberá establecer una política de continuidad del negocio que a) sea apropiada para el propósito de la organización, b) provea un marco de referencia para establecer objetivos de continuidad del negocio, c) incluya un compromiso para satisfacer requerimientos aplicables, d) incluya un compromiso para la mejora continua del SGCN. La política del SGCN deberá - estar disponible como información documentada - ser comunicada dentro de la organización - estar disponible para las partes interesadas, según sea apropiado, - ser revisada para su continua adecuación en intervalos definidos y cuando ocurran cambios significativos.
    14. 14. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Integración dentro de los procesos organizacionales • Revisar y evaluar: • Integración de la gestión de continuidad del negocio en las practicas y procesos de la organización, • Particularmente: • Desarrollo de políticas. • Planeación. • Procesos de gestión de cambios.
    15. 15. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Mecanismos de comunicación y reporte • Revisar y evaluar: • Comunicación de gestión de continuidad del negocio. • Información disponible en los niveles apropiados de la organización. • Procesos de consulta con las partes interesadas.
    16. 16. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Implementación de la gestión de continuidad del negocio • Revisar y evaluar: • Definición de un tiempo y estrategia adecuados para la implementación de la gestión de continuidad del negocio • Aplicación de la política y procesos de gestión de continuidad del negocio. • Cumplimiento con requerimientos legales y regulatorios.
    17. 17. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Implementación de la gestión de continuidad del negocio (Continuación). • Revisar y evaluar: • Toma de decisiones justificada y documentada. • Resguardo de información. • Sesiones de entrenamiento. • Comunicación y consulta con partes interesadas.
    18. 18. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Monitoreo y revisión • Revisar y evaluar: • Establecimiento de medidores de desempeño. • Medición periódica del proceso. • Revisión de que tan apropiados son la política, el marco de referencia y el plan de gestión de continuidad del negocio. • Reporte de riesgos de BIA • Revisión de la efectividad.
    19. 19. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Criterio de riesgo • Revisar y evaluar si son considerados factores como: • Naturaleza y tipos de consecuencias. • Definición de “probabilidad / posibilidad”. • Líneas de tiempo para probabilidad / posibilidad y/o consecuencias. • Como será determinado el nivel de riesgo. • El nivel en el que el riesgo es aceptable o tolerable. • Nivel de riesgo que requiere tratamiento. • Si las combinaciones de riesgos se considerarán.
    20. 20. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Identificación de riesgos. • Revisar y evaluar si la organización identifica: • Fuentes de riesgo. • Áreas de impacto. • Eventos y sus causas. • Consecuencias potenciales. • Vulnerabilidades • Amenazas
    21. 21. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Análisis de riesgos • Revisar y evaluar si la organización: • Considera las causas y fuentes del riesgo. • Consecuencias positivas y negativas. • Probabilidad / posibilidad de ocurrencia. • Factores que afectan las consecuencias o la probabilidad / posibilidad.
    22. 22. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Evaluación de riesgos • Revisar y evaluar si la organización: • Compara el nivel de riesgos obtenido en le etapa de análisis con el criterio establecido. • Da tratamiento a los riesgos que no cumplen con el(los) criterio(s) de aceptación.
    23. 23. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Tratamiento de riesgos • Revisar y evaluar si la organización: • Selecciona e implementa mecanismos para la modificación de los riesgos que no cumplen con el criterio de aceptación.
    24. 24. Elementos a revisar Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Registros del proceso • Revisar y evaluar si la organización: • Cuenta con mecanismos para el registro de actividades de gestión de continuidad y gestión de incidentes. • Considera estos registros para la mejora del proceso de gestión de continuidad del negocio.
    25. 25. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Reunión de inicio • Comunicación durante la auditoría • Roles y responsabilidades • Recolectar y verificar información • Documentar hallazgos • Preparar conclusiones de la auditoría • Reunión de cierre Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    26. 26. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Preparar reporte de auditoría • Aprobación • Distribución Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    27. 27. Opcionales Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
    28. 28. Técnicas utilizadas y resultados esperados Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
    29. 29. Técnicas utilizadas y resultados esperados Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García • Revisión documental. • Entrevista. • Observación directa. • Cuestionario. • Muestreo.
    30. 30. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García

    ×