28 de Mayo de2012Las mejores prácticas decontinuidad del negocioBS25999, ISO22301, ISO27031, ISO24762                    M...
Consideración para el lector:         Esta presentación ha sido preparada para acompañar      la conferencia presentada po...
¿Quiénes somos?… BSI tiene más de 100 años de experiencia liderando el         camino del desarrollo de normas para una gr...
Lo que hacemos ...• Establecer estándares• Proveer toda la información y entrenamiento sobre  estandarización• Apoyar a la...
Estándares renombradosoriginados por BSI1979   BS 5750    ISO 9001 (Calidad)1992   BS 7750    ISO 14001 (Medioambiente)199...
Riesgo 
Reducir interrupciones a través de una efectiva gestión deriesgoSustentabilidad
Crear valor a través de prácticas ...
Continuidad del negocio
Relación entre estándares
Relación entre estándares Retirado Vigente Próximamente
ISO 27031             Guías para la preparación de            las tecnologías de información               y comunicacione...
ISO 27031• Eventos e incidentes de TIC que afecten la  continuidad de las funciones críticas del  negocio• Permite la medi...
ISO 27031
ISO 27031
ISO 27031
De BS25999 a BS ISO 22301             BS25999-2                         BS ISO 22301Business continuity management –   Soc...
Societal security?                      Proveer protección a la                     sociedad de, y la habilidad           ...
Societal security - Technical Committee
Societal security - Technical Committee
Aplicabilidad de ISO 22301• Organizaciones de cualquier tipo y tamaño• Establecer, implementar, mantener y mejorar un SGCN...
Transición BS25999 a ISO 22301• ISO 22301 sustituye a BS 25999-2• Fecha límite para certificaciones con BS 25999-2: Noviem...
Adiciones en ISO 22301                              Contexto de la organización           (Context of the organization)   ...
Adiciones en ISO 22301                              Partes interesadas           (Interested parties)                     ...
Adiciones en ISO 22301                                     Liderazgo                (Leadership)                          ...
Adiciones en ISO 22301                                         MAO         (Maximum Acceptable Outage)                    ...
Adiciones en ISO 22301                       MBCO        (Minimum Business Continuity Objective)                          ...
Adiciones en ISO 22301                             Evaluación del desempeño           (Performance evaluation)            ...
Adiciones en ISO 22301                            Periodos de tiempo priorizados            (Prioritized timeframes)      ...
Adiciones en ISO 22301                                  Alerta y comunicación           (Warning and communication)       ...
Estructura   BS 25999-2                          ISO 22301                                          1 - Alcance           ...
ISO 22301• Cláusula 4 – Contexto de la organización• Consideración del contexto interno y externo• Necesidades, requerimie...
ISO 22301• Cláusula 5 – Liderazgo• Resumen de los requerimientos específicos del rol de la  alta gerencia• Establecimiento...
ISO 22301• Cláusula 6 – Planeación• Establecer objetivos estratégicos• Determinar responsables para el cumplimiento de  ob...
ISO 22301• Cláusula 7 – Soporte• No especifíca el requerimiento de análisis de  necesidades de entrenamiento• Mayor énfasi...
ISO 22301• Cláusula 8 – Operación• Requerimientos extendidos en estructura de respuesta a  incidentes• Planes de continuid...
ISO 22301• Cláusula 8 – Operación      Business Impact Analysis / Risk Assessment                                         ...
ISO 22301• Cláusula 8.2.1 – Nota     There are various methodologies for      business impact analysis and risk     assess...
ISO 22301•   Cláusula 9 – Evaluación del desempeño•   Monitoreo, medición, análisis y evaluación•   Auditoría interna•   R...
ISO 22301• Cláusula 10 – Mejora• Se combinan las cláusulas de acciones correctivas y  preventivas en una sola
Camino a la certificación• Seleccionar estándar• Establecer contacto con BSI• Conocer al equipo de evaluación• Considerar ...
CONSULTAS                                                                                                                 ...
Próxima SlideShare
Cargando en…5
×

BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Seminario pwc

3.876 visualizaciones

Publicado el

ISO 22301

Durante este presentación revisamos la evolución de los principales estándares relacionados con la Gestión de Continuidad del Negocio originados por BSI, iniciando con PAS 56 y hasta la publicación de ISO 22301

Publicado en: Empresariales, Tecnología
3 comentarios
3 recomendaciones
Estadísticas
Notas
Sin descargas
Visualizaciones
Visualizaciones totales
3.876
En SlideShare
0
De insertados
0
Número de insertados
598
Acciones
Compartido
0
Descargas
286
Comentarios
3
Recomendaciones
3
Insertados 0
No insertados

No hay notas en la diapositiva.

BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Seminario pwc

  1. 1. 28 de Mayo de2012Las mejores prácticas decontinuidad del negocioBS25999, ISO22301, ISO27031, ISO24762 Mario Ureña Cuate CISSP, CISA, CISM, CGEIT British Standards Institution Gerente de Riesgos / Instructor
  2. 2. Consideración para el lector: Esta presentación ha sido preparada para acompañar la conferencia presentada por el autor en un tiempo ycontexto específico.Es recomendable acompañar dicha presentación con laexplicación correspondiente.En caso de considerar necesario, favor de contactar alautor a través de las opciones indicadas al final de lapresentación.
  3. 3. ¿Quiénes somos?… BSI tiene más de 100 años de experiencia liderando el camino del desarrollo de normas para una gran variedadde operaciones de negocio, lo que nos convierte en un organismo líder proveedor de soluciones en capacitación, certificación y software para la normatividad. Nuestro objetivo…Nuestro objetivo es crear soluciones integrales yprogramas de capacitación que mejoren el desempeñode su compañía y le permitan administrareficientemente sus riesgos.
  4. 4. Lo que hacemos ...• Establecer estándares• Proveer toda la información y entrenamiento sobre estandarización• Apoyar a las organización mejorando la manera en que operan con buenos procesos de gestión y soluciones empresariales • Probar y verificar independientemente productos y servicios para asegurar que están al nivel requerido, en términos de la especificación de desempeño y seguridad
  5. 5. Estándares renombradosoriginados por BSI1979 BS 5750 ISO 9001 (Calidad)1992 BS 7750 ISO 14001 (Medioambiente)1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)2000 BS 8600 ISO 10002 (Satisfacción de Clientes)2002 BS 15000 ISO/IEC 20000 (Servicios de TI)2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)2009 BS 10012 (Protección de Datos Personales)
  6. 6. Riesgo 
Reducir interrupciones a través de una efectiva gestión deriesgoSustentabilidad
Crear valor a través de prácticas sustentablesDesempeño
Crear ventaja competitiva a través de la mejora en eldesempeño
  7. 7. Continuidad del negocio
  8. 8. Relación entre estándares
  9. 9. Relación entre estándares Retirado Vigente Próximamente
  10. 10. ISO 27031 Guías para la preparación de las tecnologías de información y comunicaciones para la continuidad del negocio Information and communication technology readiness for business continuity (IRBC)
  11. 11. ISO 27031• Eventos e incidentes de TIC que afecten la continuidad de las funciones críticas del negocio• Permite la medición del desempeño• Se encuentra estrechamente vinculada con: • Sistema de Gestión de Seguridad de la Información • Sistema de Gestión de Servicios de TI • Sistema de Gestión de Continuidad del Negocio
  12. 12. ISO 27031
  13. 13. ISO 27031
  14. 14. ISO 27031
  15. 15. De BS25999 a BS ISO 22301 BS25999-2 BS ISO 22301Business continuity management – Societal security – BusinessPart 2: Specification continuity management systems – Requirements 20 / Noviembre / 2007 15 / Mayo / 2012Publicado por: Publicado por:British Standards Institution International Organization for Standardization
  16. 16. Societal security? Proveer protección a la sociedad de, y la habilidad de responder a, incidentes, emergencias y desastres causados por actos humanos intencionales o no, desastres naturales, y fallas técnicas.
  17. 17. Societal security - Technical Committee
  18. 18. Societal security - Technical Committee
  19. 19. Aplicabilidad de ISO 22301• Organizaciones de cualquier tipo y tamaño• Establecer, implementar, mantener y mejorar un SGCN• Asegurar conformidad con la política de continuidad del negocio establecida• Demostrar conformidad a terceras partes• Buscan certificación / registro de su SGCN por una entidad certificadora acreditada• Autodeterminación de conformidad con ISO 22301
  20. 20. Transición BS25999 a ISO 22301• ISO 22301 sustituye a BS 25999-2• Fecha límite para certificaciones con BS 25999-2: Noviembre 2012• Periodo de transición definido: 31 Mayo 2014• Después de este periodo ningún certificado BS 25999-2 será válido• Es posible realizar la transición antes de la siguiente visita de evaluación continua
  21. 21. Adiciones en ISO 22301 Contexto de la organización (Context of the organization) Explicación: Ambiente en el que opera la organización
  22. 22. Adiciones en ISO 22301 Partes interesadas (Interested parties) Explicación: Sustituye a “Stakeholders”
  23. 23. Adiciones en ISO 22301 Liderazgo (Leadership) Explicación: Requerimientos específicos para la alta gerencia
  24. 24. Adiciones en ISO 22301 MAO (Maximum Acceptable Outage) Explicación: Tiempo en el que impactos adversos se convierten en “inaceptables”
  25. 25. Adiciones en ISO 22301 MBCO (Minimum Business Continuity Objective) Explicación: Nivel mínimo de servicios y/o productos que es aceptable para la organización para lograr sus objetivos de negocio durante una interrupción
  26. 26. Adiciones en ISO 22301 Evaluación del desempeño (Performance evaluation) Explicación: Cubre la medición de la efectividad del SGCN y la GCN
  27. 27. Adiciones en ISO 22301 Periodos de tiempo priorizados (Prioritized timeframes) Explicación: Orden y tiempo de recuperación para actividades críticas
  28. 28. Adiciones en ISO 22301 Alerta y comunicación (Warning and communication) Explicación: Actividades a realizar durante un incidente
  29. 29. Estructura BS 25999-2 ISO 22301 1 - Alcance 1 - Alcance 2 - Referencias normativas 2 - Términos y definiciones 3 - Términos y definiciones 3 - Planear el SGCN 4 - Contexto de la organizaciónP 5 - Liderazgo 6 - Planeación 7 - SoporteD 4 - Implementar y operar el SGCN 8 - OperaciónC 5 - Monitorear y revisar el SGCN 9 - Evaluación del desempeñoA 6 - Mantener y mejorar el SGCN 10 - Mejora
  30. 30. ISO 22301• Cláusula 4 – Contexto de la organización• Consideración del contexto interno y externo• Necesidades, requerimientos y alcance• Apetito del riesgo, requerimientos legales y regulatorios• Igualmente importantes son las inclusiones / exclusiones• Comunicación clara del alcance a partes internas y externas
  31. 31. ISO 22301• Cláusula 5 – Liderazgo• Resumen de los requerimientos específicos del rol de la alta gerencia• Establecimiento de política• Nuevos requerimientos para demostrar compromiso• Designación de responsable del SGCN
  32. 32. ISO 22301• Cláusula 6 – Planeación• Establecer objetivos estratégicos• Determinar responsables para el cumplimiento de objetivos• Determinar riesgos y oportunidades• Tareas a realizar y tiempos• Como se evaluarán los resultados
  33. 33. ISO 22301• Cláusula 7 – Soporte• No especifíca el requerimiento de análisis de necesidades de entrenamiento• Mayor énfasis en concientización• Mayor énfasis en comunicación• Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos
  34. 34. ISO 22301• Cláusula 8 – Operación• Requerimientos extendidos en estructura de respuesta a incidentes• Planes de continuidad del negocio tienen menos requerimientos que en BS 25999-2• Recuperación como un requerimiento totalmente nuevo• No requiere un programa de ejercicios aprobado
  35. 35. ISO 22301• Cláusula 8 – Operación Business Impact Analysis / Risk Assessment Risk Assessment / Business Impact Analysis
  36. 36. ISO 22301• Cláusula 8.2.1 – Nota There are various methodologies for business impact analysis and risk assessment which will determine the order in which these will be conducted.
  37. 37. ISO 22301• Cláusula 9 – Evaluación del desempeño• Monitoreo, medición, análisis y evaluación• Auditoría interna• Revisión de la gerencia• Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes• Las entradas de las partes interesadas y los resultados de programas de concientización y entrenamiento no se consideran como entradas de la revisión
  38. 38. ISO 22301• Cláusula 10 – Mejora• Se combinan las cláusulas de acciones correctivas y preventivas en una sola
  39. 39. Camino a la certificación• Seleccionar estándar• Establecer contacto con BSI• Conocer al equipo de evaluación• Considerar entrenamiento• Revisión y evaluación• Certificación
  40. 40. CONSULTAS Mario Ureña Cuate CISSP, CISA, CISM, CGEIT mario.urena@secureit.com.mx www.mariourenacuate.com Twitter: @mariourena Slideshare: slideshare.net/mariourena © The British Standards Institution 2012. All rights reserved. This publication has been prepared for general guidance on matters of interest only, and does not constituteprofessional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 
 
 © 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopersConsultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. | PwC

×