ISO 22301 Seguridad de las sociedades- Continuidad del negocio

1.089 visualizaciones

Publicado el

webinar bsi

Publicado en: Empresariales
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
1.089
En SlideShare
0
De insertados
0
Número de insertados
23
Acciones
Compartido
0
Descargas
77
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

ISO 22301 Seguridad de las sociedades- Continuidad del negocio

  1. 1. Copyright © 2012 BSI. All rights reserved. Conociendo BS ISO 22301, estándar internacional de continuidad del negocio Presentado por: Maricarmen García de Ureña CBCP, Auditor Líder ISO 22301, ISO 27001 31/10/2013
  2. 2. 2Copyright © 2012 BSI. All rights reserved.Copyright © 2012 BSI. All rights reserved. Agenda •- Generalidades •- Principales definiciones •- Componentes del SGCN •- Principales diferencias con BS 25999 •- Principales diferencias con otras mejores prácticas •- Certificación •- Siguientes pasos 31/10/2013
  3. 3. 3Copyright © 2012 BSI. All rights reserved. Generalidades • ¿Qué es ISO 22301? • Provee los requerimientos para un Sistema de Gestión de la Continuidad del Negocio (BCMS) • Basado en una BCM global de mejores prácticas • Creado en respuesta al fuerte interés en la Norma Británica original, BS 25999-2 y otros estándares regionales • BS 25999-2 texto original clave para su desarrollo • Para aquellos certificados o alineados a BS 25999-2, los requerimientos adicionales no son onerosos • Compatible con otros estándares y buenas prácticas 31/10/2013
  4. 4. 4Copyright © 2012 BSI. All rights reserved. Generalidades • BS ISO 22301:2012 - Societal security. Business continuity management systems. Requirements • Puede ser utilizado por organizaciones: • … de cualquier tamaño. • … en el sector público y privado. • … de manufactura o servicio. • … en cualquier sector de la industria. • Financiero • Mercado de valores • Telecomunicaciones • Manufactura • Entretenimiento • Educación • Hospitalario • Retail • Consultoría • Entre otros. 31/10/2013
  5. 5. 5Copyright © 2012 BSI. All rights reserved. Generalidades • Comité técnico 223 • Alcance: • (Provisional) Estandarización internacional en el área de seguridad social, orientada a incrementar la gestión de crisis y las capacidades de continuidad del negocio, por ejemplo, a través de interoperabilidad técnica, humana, organizacional y funcional, así como concientización situacional compartida, entre todas las partes interesadas. • El comité utilizará un enfoque de “todos los riesgos” cubriendo todas las actividades necesarias en en las fases clave de la gestión de crisis y continuidad del negocio. 31/10/2013
  6. 6. 6Copyright © 2012 BSI. All rights reserved. Generalidades • Resiliencia en las organizaciones y en la sociedad. • “En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”. Fuente: “Planning for the worst” – CMI Business Continuity Management Survey, March 2012 31/10/2013
  7. 7. 7Copyright © 2012 BSI. All rights reserved. Generalidades • Beneficios de un Sistema de Gestión de Continuidad del Negocio: • Continuidad en la provisión de productos y servicios fundamentales • Cumplimiento regulatorio, legal y contractual • Disminución en los costos de polizas de seguros • Diferencia sobre competidores • Cumplimiento con requisitos en licitaciones • Participación en mercados internacionales 31/10/2013
  8. 8. 8Copyright © 2012 BSI. All rights reserved. Generalidades – Adopción de BS 25999 por industria 31/10/2013
  9. 9. 9Copyright © 2012 BSI. All rights reserved. Generalidades - Evolución 31/10/2013
  10. 10. 10Copyright © 2012 BSI. All rights reserved. Generalidades – Estándares relacionados 31/10/2013 Retirado Vigente Próximamente
  11. 11. 11Copyright © 2012 BSI. All rights reserved. Principales definiciones • Actividad.- Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos y servicios. • Continuidad del negocio.- Capacidad de una organización para continuar la entrega de productos o servicios en niveles aceptables predefinidos después de que ocurre un incidente de interrupción. • Gestión de Continuidad del Negocio.- Proceso de gestión holístico que identifica amenazas potenciales para una organización y los impactos a las operaciones del negocio, que esas amenazas pudieras causar en caso de materializarse y que provee un marco de referencia para crear resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus principales partes interesadas, reputación, marca y actividades que generar valor. • Sistema de Gestión de Continuidad del Negocio.- Parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio. 31/10/2013 Evento Organizado por:
  12. 12. 12Copyright © 2012 BSI. All rights reserved. Principales definiciones • Business Impact Analysis (BIA).- Análisis de Impacto al Negocio. Proceso de analizar actividades y el efecto que una interrupción puede tener sobre ellas. • Evaluación de Riesgos.- Proceso general de identificación, análisis y evaluación de riesgos. • Incidente.- Situación que puede ser o derivar en una interrupción, pérdida, emergencia o crisis. • Pruebas.- Procedimiento para evaluar. (En nuestro caso los arreglos de continuidad). • Ejercicio.- Proceso para entrenar, evaluar, practicar, y mejorar el desempeño de una organización. 31/10/2013
  13. 13. 13Copyright © 2012 BSI. All rights reserved. Principales definiciones (Acrónimos) • BCP.- Business Continuity Plan • RTO.- Recovery Time Objective • RPO.- Recovery Point Objective • MTPD.- Maximum tolerable period of disruption 31/10/2013
  14. 14. 14Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Como otros Sistemas de Gestión, tiene los siguientes componentes: a) Política b) Personas con responsabilidades definidas c) Procesos de gestión relativos a: 1. Política 2. Planeación 3. Implementación y operación 4. Evaluación del desempeño 5. Revisión de la gerencia 6. Mejora d) Documentación que provee evidencia auditable e) Cualquier proceso de gestión de continuidad del negocio relevante para la organización 31/10/2013
  15. 15. 15Copyright © 2012 BSI. All rights reserved. Componentes del SGCN 31/10/2013 BS 25999-2 1 - Alcance 2 - Términos y definiciones 3 - Planear el SGCN 4 - Implementar y operar el SGCN 5 - Monitorear y revisar el SGCN 6 - Mantener y mejorar el SGCN Evento Organizado por:
  16. 16. 16Copyright © 2012 BSI. All rights reserved. Componentes del SGCN 31/10/2013 BS 25999-2 1 - Alcance 2 - Términos y definiciones 3 - Planear el SGCN 4 - Implementar y operar el SGCN 5 - Monitorear y revisar el SGCN 6 - Mantener y mejorar el SGCN P D C A
  17. 17. 17Copyright © 2012 BSI. All rights reserved. Componentes del SGCN 31/10/2013 BS 25999-2 1 - Alcance 2 - Términos y definiciones 3 - Planear el SGCN 4 - Implementar y operar el SGCN 5 - Monitorear y revisar el SGCN 6 - Mantener y mejorar el SGCN ISO 22301 1 - Alcance 2 - Referencias normativas 3 - Términos y definiciones 4 - Contexto de la organización 5 - Liderazgo 6 - Planeación 7 - Soporte 8 - Operación 9 - Evaluación del desempeño 10 - Mejora P D C A Evento Organizado por:
  18. 18. 18Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 4 – Contexto de la organización • Consideración del contexto interno y externo • Necesidades, requerimientos y alcance • Apetito del riesgo, requerimientos legales y regulatorios • Igualmente importantes son las inclusiones / exclusiones • Comunicación clara del alcance a partes internas y externas 31/10/2013
  19. 19. 19Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 5 – Liderazgo • Resumen de los requerimientos específicos del rol de la alta gerencia • Establecimiento de política • Nuevos requerimientos para demostrar compromiso • Designación de responsable del SGCN 31/10/2013 SGCN
  20. 20. 20Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 6 – Planeación • Establecer objetivos estratégicos • Determinar responsables para el cumplimiento de objetivos • Determinar riesgos y oportunidades • Tareas a realizar y tiempos • Como se evaluarán los resultados 31/10/2013
  21. 21. 21Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 7 – Soporte • No especifíca el requerimiento de análisis de necesidades de entrenamiento • Mayor énfasis en concientización • Mayor énfasis en comunicación • Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos 31/10/2013
  22. 22. 22Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 8 – Operación • Requerimientos extendidos en estructura de respuesta a incidentes • Planes de continuidad del negocio tienen menos requerimientos que en BS 25999-2 • Recuperación como un requerimiento totalmente nuevo • No requiere un programa de ejercicios aprobado 31/10/2013
  23. 23. 23Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 8.2.1 – Nota • 22301 permite implementar BIA o Riesgos no importando el orden en que se lleven a cabo. 31/10/2013 Análisis de Impacto al Negocio Evaluación de Riesgos
  24. 24. 24Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 9 – Evaluación del desempeño • Monitoreo, medición, análisis y evaluación • Auditoría interna • Revisión de la gerencia • Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes • Las entradas de las partes interesadas y los resultados de programas de concientización y entrenamiento no se consideran como entradas de la revisión 31/10/2013
  25. 25. 25Copyright © 2012 BSI. All rights reserved. Componentes del SGCN • Cláusula 10 – Mejora • Se combinan las cláusulas de acciones correctivas y preventivas en una sola 31/10/2013
  26. 26. 26Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Contexto de la organización (Context of the organization) Explicación: Ambiente en el que opera la organización
  27. 27. 27Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Partes interesadas (Interested parties) Explicación: Sustituye a “Stakeholders”
  28. 28. 28Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Liderazgo (Leadership) Explicación: Requerimientos específicos para la alta gerencia Evento Organizado por:
  29. 29. 29Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 MAO (Maximum Acceptable Outage) Explicación: Tiempo en el que impactos adversos se convierten en “inaceptables” Evento Organizado por:
  30. 30. 30Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 MBCO (Minimum Business Continuity Objective) Explicación: Nivel mínimo de servicios y/o productos que es aceptable para la organización para lograr sus objetivos de negocio durante una interrupción
  31. 31. 31Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Evaluación del desempeño (Performance evaluation) Explicación: Cubre la medición de la efectividad del SGCN y la GCN Evento Organizado por:
  32. 32. 32Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Periodos de tiempo priorizados (Prioritized timeframes) Explicación: Orden y tiempo de recuperación para actividades críticas
  33. 33. 33Copyright © 2012 BSI. All rights reserved. Principales diferencias con BS 25999 - Adiciones 31/10/2013 Alerta y comunicación (Warning and communication) Explicación: Actividades a realizar durante un incidente
  34. 34. 34Copyright © 2012 BSI. All rights reserved. Principales diferencias con otras mejores prácticas: 31/10/2013 Fuente de imagen:Secure Information Technologies, 2013 27001 PAS56 BS25999-1 BCMS Sistema de Gestión de Continuidad del Negocio Buenas prácticas BCM 27031 22301* * Antes BS 25999-2
  35. 35. 35Copyright © 2012 BSI. All rights reserved. Principales diferencias con otras mejores prácticas: 31/10/2013 Fuente de imagen:Secure Information Technologies, 2013 Ciclo de Vida de BCM BCMS Método tradicional Método con sistema de gestión
  36. 36. 36Copyright © 2012 BSI. All rights reserved. Principales diferencias con otras mejores prácticas: 31/10/2013 Fuente de imagen:Secure Information Technologies, 2013 Entregables tradicionales de BCM Curso de capacitació n Análisis de riesgos Análisis de Impacto al Negocio Estrategia de recuperació n BCP Prueba Políticas
  37. 37. 37Copyright © 2012 BSI. All rights reserved. Principales diferencias con otras mejores prácticas: 31/10/2013 Fuente de imagen:Secure Information Technologies, 2013 Entregables tradicionales de BCM Curso de capacitació n Análisis de riesgos Análisis de Impacto al Negocio Estrategia de recuperació n BCP Prueba Políticas
  38. 38. Copyright © 2012 BSI. All rights reserved. Documentos en el enfoque de Sistema de Gestión (BCMS) Contexto de la organización Liderazgo Planeación Soporte Operación Evaluación del desempeño Mejora Análisis de partes interesadas Alcance Apetito y criterios de riesgo Política de continuidad del negocio Compromis o de la dirección Roles, responsabil- idades y autoridades Objetivos de continuida d Análisis de recursos Concientizació n Comunicación Control de documentos Análisis de Impacto al Negocio Análisis de riesgos Estrategia de continuidad Procedimiento s de continuidad DRP IMP BCP Programa de pruebas y ejercicios Monitoreo, medición, análisis y evaluación Auditoría interna Revisión de la dirección Gestión de no conformidades Gestión de acciones correctivas Procedimiento de mejora continua Fuente de imagen: Secure Information Technologies, 2013
  39. 39. Copyright © 2012 BSI. All rights reserved. Principales diferencias con otras mejores prácticas Contexto de la organización Liderazgo Planeación Soporte Operación Evaluación del desempeño Mejora Análisis de partes interesadas Alcance Apetito y criterios de riesgo Política de continuidad del negocio Compromis o de la dirección Roles, responsabil- idades y autoridades Objetivos de continuida d Análisis de recursos Concientización Comunicación Control de documentos Análisis de Impacto al Negocio Análisis de riesgos Estrategia de continuidad Procedimiento s de continuidad DRP IMP BCP Programa de pruebas y ejercicios Monitoreo, medición, análisis y evaluación Auditoría interna Revisión de la dirección Gestión de no conformidades Gestión de acciones correctivas Procedimiento de mejora continua Fuente de imagen: Secure Information Technologies, 2013
  40. 40. 40Copyright © 2012 BSI. All rights reserved. Certificación 31/10/2013 Evento Organizado por:
  41. 41. 41Copyright © 2012 BSI. All rights reserved. Certificación 31/10/2013 • Seleccionar estándar • Establecer contacto con BSI • Conocer al equipo de evaluación • Considerar entrenamiento • Revisión y evaluación • Certificación
  42. 42. 42Copyright © 2012 BSI. All rights reserved. Certificación Transición de BS 25999 a ISO 22301 • ISO 22301 sustituye a BS 25999-2 • Fecha límite para certificaciones con BS 25999-2: Fue en noviembre del 2012 • Periodo de transición definido: 31 Mayo 2014 • Después de este periodo ningún certificado BS 25999-2 será válido • Es posible realizar la transición antes de la siguiente visita de evaluación continua 31/10/2013
  43. 43. 43Copyright © 2012 BSI. All rights reserved. Siguientes pasos • Estándar disponible en http://shop.bsigroup.com/ • Participe en nuestros cursos • Introducción • Transición • Implementación • Auditor Interno • Auditor Líder 31/10/2013 Maricarmen García de Ureña www.maricarmengarcia.com.mx @besair @besair informacion.msmexico@bsigroup.com

×