Introducción al nuevo estándar de continuidad delnegocio BS ISO 22301Presentado por:Mario Ureña CuateCISSP, CISA, CISM, CG...
Evento Organizado por:Agenda-   Generalidades-   Principales definiciones-   Componentes del SGCN-   Principales diferenci...
Evento Organizado por:Generalidades• ¿Qué es ISO 22301?• Provee los requerimientos para un Sistema de Gestión de la Contin...
Evento Organizado por:Generalidades• BS ISO 22301:2012 - Societal security. Business continuity management systems. Requir...
Evento Organizado por:Generalidades• Comité técnico 223• Alcance:• (Provisional) Estandarización internacional en el área ...
Evento Organizado por:Generalidades• Resiliencia en las organizaciones y en la sociedad.• “En los últimos doce meses, 81% ...
Evento Organizado por:Generalidades• Beneficios de un Sistema de Gestión de Continuidad del Negocio:•   Continuidad en la ...
Evento Organizado por:Generalidades – Adopción de BS 25999 por industria            Copyright © 2012 BSI. All rights reser...
Evento Organizado por:Generalidades - Evolución             Copyright © 2012 BSI. All rights reserved.   01/08/2012       ...
Evento Organizado por:Generalidades – Estándares relacionados  Retirado  Vigente  Próximamente                 Copyright ©...
Evento Organizado por:Principales definiciones• Actividad.- Proceso o conjunto de procesos realizados por una organización...
Evento Organizado por:Principales definiciones• Business Impact Analysis (BIA).- Análisis de Impacto al Negocio. Proceso d...
Evento Organizado por:Principales definiciones (Acrónimos)• BCP.- Business Continuity Plan• RTO.- Recovery Time Objective•...
Evento Organizado por:Componentes del SGCN• Como otros Sistemas de Gestión, tiene los siguientes componentes:  a) Política...
Evento Organizado por:Componentes del SGCN  BS 25999 -2  1 - Alcance  2 - Términos y definiciones  3 - Planear el SGCN  4 ...
Evento Organizado por:Componentes del SGCN    BS 25999 -2    1 - Alcance    2 - Términos y definicionesP   3 - Planear el ...
Evento Organizado por:Componentes del SGCN    BS 25999 -2                                                       ISO 22301 ...
Evento Organizado por:Componentes del SGCN• Cláusula 4 – Contexto de la organización• Consideración del contexto interno y...
Evento Organizado por:Componentes del SGCN• Cláusula 5 – Liderazgo• Resumen de los requerimientos específicos del rol de l...
Evento Organizado por:Componentes del SGCN• Cláusula 6 – Planeación• Establecer objetivos estratégicos• Determinar respons...
Evento Organizado por:Componentes del SGCN• Cláusula 7 – Soporte• No especifíca el requerimiento de análisis de necesidade...
Evento Organizado por:Componentes del SGCN• Cláusula 8 – Operación• Requerimientos extendidos en estructura de respuesta a...
Evento Organizado por:Componentes del SGCN• Cláusula 8.2.1 – Nota• There are various methodologies for business impact ana...
Evento Organizado por:Componentes del SGCN• Cláusula 9 – Evaluación del desempeño• Monitoreo, medición, análisis y evaluac...
Evento Organizado por:Componentes del SGCN• Cláusula 10 – Mejora• Se combinan las cláusulas de acciones correctivas y prev...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones               Contexto de la organización          ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                                               Parte...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                                                    ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                                                    ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                                                    ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                   Evaluación del desempeño         ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones           Periodos de tiempo priorizados           ...
Evento Organizado por:Principales diferencias con BS 25999 - Adiciones                                  Alerta y comunicac...
Evento Organizado por:Certificación                Copyright © 2012 BSI. All rights reserved.   01/08/2012                ...
Evento Organizado por:Certificación•   Seleccionar estándar•   Establecer contacto con BSI•   Conocer al equipo de evaluac...
Evento Organizado por:CertificaciónTransición de BS 25999 a ISO 22301•   ISO 22301 sustituye a BS 25999-2•   Fecha límite ...
Evento Organizado por:Siguientes pasos• Estándar disponible en http://shop.bsigroup.com/• Participe en nuestros cursos  • ...
Evento Organizado por:
Próxima SlideShare
Cargando en…5
×

Webinar iso22301 mario ureña (conferencia drj julio 2012)

2.011 visualizaciones

Publicado el

Introducción al nuevo estándar internacional ISO22301. Presentación de Mario Ureña con bsi, para el webinar organizado por Disaster Recovery Journal el 31 de Julio de 2012.

Publicado en: Empresariales
2 comentarios
1 recomendación
Estadísticas
Notas
Sin descargas
Visualizaciones
Visualizaciones totales
2.011
En SlideShare
0
De insertados
0
Número de insertados
503
Acciones
Compartido
0
Descargas
114
Comentarios
2
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Webinar iso22301 mario ureña (conferencia drj julio 2012)

  1. 1. Introducción al nuevo estándar de continuidad delnegocio BS ISO 22301Presentado por:Mario Ureña CuateCISSP, CISA, CISM, CGEITAuditor Líder BS25999, ISO 22301 Evento Organizado por:Copyright © 2012 BSI. All rights reserved. 01/08/2012
  2. 2. Evento Organizado por:Agenda- Generalidades- Principales definiciones- Componentes del SGCN- Principales diferencias con BS 25999- Certificación- Siguientes pasos Copyright © 2012 BSI. All rights reserved. 01/08/2012 2
  3. 3. Evento Organizado por:Generalidades• ¿Qué es ISO 22301?• Provee los requerimientos para un Sistema de Gestión de la Continuidad del Negocio (BCMS)• Basado en una BCM global de mejores prácticas• Creado en respuesta al fuerte interés en la Norma Británica original, BS 25999-2 y otros estándares regionales• BS 25999-2 texto original clave para su desarrollo• Para aquellos certificados o alineados a BS 25999-2, los requerimientos adicionales no son onerosos• Compatible con otros estándares y buenas prácticas Copyright © 2012 BSI. All rights reserved. 01/08/2012 3
  4. 4. Evento Organizado por:Generalidades• BS ISO 22301:2012 - Societal security. Business continuity management systems. Requirements• Puede ser utilizado por organizaciones:• … de cualquier tamaño.• … en el sector público y privado.• … de manufactura o servicio.• … en cualquier sector de la industria. • Financiero • Mercado de valores • Telecomunicaciones • Manufactura • Entretenimiento • Educación • Hospitalario • Retail • Consultoría • Entre otros. Copyright © 2012 BSI. All rights reserved. 01/08/2012 4
  5. 5. Evento Organizado por:Generalidades• Comité técnico 223• Alcance:• (Provisional) Estandarización internacional en el área de seguridad social, orientada a incrementar la gestión de crisis y las capacidades de continuidad del negocio, por ejemplo, a través de interoperabilidad técnica, humana, organizacional y funcional, así como concientización situacional compartida, entre todas las partes interesadas.• El comité utilizará un enfoque de “todos los riesgos” cubriendo todas las actividades necesarias en en las fases clave de la gestión de crisis y continuidad del negocio. Copyright © 2012 BSI. All rights reserved. 01/08/2012 5
  6. 6. Evento Organizado por:Generalidades• Resiliencia en las organizaciones y en la sociedad.• “En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”. Fuente: “Planning for the worst” – CMI Business Continuity Management Survey, March 2012 Copyright © 2012 BSI. All rights reserved. 01/08/2012 6
  7. 7. Evento Organizado por:Generalidades• Beneficios de un Sistema de Gestión de Continuidad del Negocio:• Continuidad en la provisión de productos y servicios fundamentales• Cumplimiento regulatorio, legal y contractual• Disminución en los costos de polizas de seguros• Diferencia sobre competidores• Cumplimiento con requisitos en licitaciones• Participación en mercados internacionales Copyright © 2012 BSI. All rights reserved. 01/08/2012 7
  8. 8. Evento Organizado por:Generalidades – Adopción de BS 25999 por industria Copyright © 2012 BSI. All rights reserved. 01/08/2012 8
  9. 9. Evento Organizado por:Generalidades - Evolución Copyright © 2012 BSI. All rights reserved. 01/08/2012 9
  10. 10. Evento Organizado por:Generalidades – Estándares relacionados Retirado Vigente Próximamente Copyright © 2012 BSI. All rights reserved. 01/08/2012 10
  11. 11. Evento Organizado por:Principales definiciones• Actividad.- Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos y servicios.• Continuidad del negocio.- Capacidad de una organización para continuar la entrega de productos o servicios en niveles aceptables predefinidos después de que ocurre un incidente de interrupción.• Gestión de Continuidad del Negocio.- Proceso de gestión holístico que identifica amenazas potenciales para una organización y los impactos a las operaciones del negocio, que esas amenazas pudieras causar en caso de materializarse y que provee un marco de referencia para crear resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus principales partes interesadas, reputación, marca y actividades que generar valor.• Sistema de Gestión de Continuidad del Negocio.- Parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio. Copyright © 2012 BSI. All rights reserved. 01/08/2012 11
  12. 12. Evento Organizado por:Principales definiciones• Business Impact Analysis (BIA).- Análisis de Impacto al Negocio. Proceso de analizar actividades y el efecto que una interrupción puede tener sobre ellas.• Evaluación de Riesgos.- Proceso general de identificación, análisis y evaluación de riesgos.• Incidente.- Situación que puede ser o derivar en una interrupción, pérdida, emergencia o crisis.• Pruebas.- Procedimiento para evaluar. (En nuestro caso los arreglos de continuidad).• Ejercicio.- Proceso para entrenar, evaluar, practicar, y mejorar el desempeño de una organización. Copyright © 2012 BSI. All rights reserved. 01/08/2012 12
  13. 13. Evento Organizado por:Principales definiciones (Acrónimos)• BCP.- Business Continuity Plan• RTO.- Recovery Time Objective• RPO.- Recovery Point Objective• MAO.- Maximum acceptable outage• MTPD.- Maximum tolerable period of disruption• MBCO.- Minimum Business Continuity Objective Copyright © 2012 BSI. All rights reserved. 01/08/2012 13
  14. 14. Evento Organizado por:Componentes del SGCN• Como otros Sistemas de Gestión, tiene los siguientes componentes: a) Política b) Personas con responsabilidades definidas c) Procesos de gestión relativos a: 1. Política 2. Planeación 3. Implementación y operación 4. Evaluación del desempeño 5. Revisión de la gerencia 6. Mejora d) Documentación que provee evidencia auditable e) Cualquier proceso de gestión de continuidad del negocio relevante para la organización Copyright © 2012 BSI. All rights reserved. 01/08/2012 14
  15. 15. Evento Organizado por:Componentes del SGCN BS 25999 -2 1 - Alcance 2 - Términos y definiciones 3 - Planear el SGCN 4 - Implementar y operar el SGCN 5 - Monitorear y revisar el SGCN 6 - Mantener y mejorar el SGCN Copyright © 2012 BSI. All rights reserved. 01/08/2012 15
  16. 16. Evento Organizado por:Componentes del SGCN BS 25999 -2 1 - Alcance 2 - Términos y definicionesP 3 - Planear el SGCND 4 - Implementar y operar el SGCNC 5 - Monitorear y revisar el SGCNA 6 - Mantener y mejorar el SGCN Copyright © 2012 BSI. All rights reserved. 01/08/2012 16
  17. 17. Evento Organizado por:Componentes del SGCN BS 25999 -2 ISO 22301 1 - Alcance 1 - Alcance 2 - Referencias normativas 2 - Términos y definiciones 3 - Términos y definiciones 3 - Planear el SGCN 4 - Contexto de la organizaciónP 5 - Liderazgo 6 - Planeación 7 - SoporteD 4 - Implementar y operar el SGCN 8 - OperaciónC 5 - Monitorear y revisar el SGCN 9 - Evaluación del desempeñoA 6 - Mantener y mejorar el SGCN 10 - Mejora Copyright © 2012 BSI. All rights reserved. 01/08/2012 17
  18. 18. Evento Organizado por:Componentes del SGCN• Cláusula 4 – Contexto de la organización• Consideración del contexto interno y externo• Necesidades, requerimientos y alcance• Apetito del riesgo, requerimientos legales y regulatorios• Igualmente importantes son las inclusiones / exclusiones• Comunicación clara del alcance a partes internas y externas Copyright © 2012 BSI. All rights reserved. 01/08/2012 18
  19. 19. Evento Organizado por:Componentes del SGCN• Cláusula 5 – Liderazgo• Resumen de los requerimientos específicos del rol de la alta gerencia• Establecimiento de política• Nuevos requerimientos para demostrar compromiso• Designación de responsable del SGCN SGCN Copyright © 2012 BSI. All rights reserved. 01/08/2012 19
  20. 20. Evento Organizado por:Componentes del SGCN• Cláusula 6 – Planeación• Establecer objetivos estratégicos• Determinar responsables para el cumplimiento de objetivos• Determinar riesgos y oportunidades• Tareas a realizar y tiempos• Como se evaluarán los resultados Copyright © 2012 BSI. All rights reserved. 01/08/2012 20
  21. 21. Evento Organizado por:Componentes del SGCN• Cláusula 7 – Soporte• No especifíca el requerimiento de análisis de necesidades de entrenamiento• Mayor énfasis en concientización• Mayor énfasis en comunicación• Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos Copyright © 2012 BSI. All rights reserved. 01/08/2012 21
  22. 22. Evento Organizado por:Componentes del SGCN• Cláusula 8 – Operación• Requerimientos extendidos en estructura de respuesta a incidentes• Planes de continuidad del negocio tienen menos requerimientos que en BS 25999-2• Recuperación como un requerimiento totalmente nuevo• No requiere un programa de ejercicios aprobado Copyright © 2012 BSI. All rights reserved. 01/08/2012 22
  23. 23. Evento Organizado por:Componentes del SGCN• Cláusula 8.2.1 – Nota• There are various methodologies for business impact analysis and risk assessment which will determine the order in which these will be conducted. Análisis de Evaluación de Impacto al Riesgos Negocio Copyright © 2012 BSI. All rights reserved. 01/08/2012 23
  24. 24. Evento Organizado por:Componentes del SGCN• Cláusula 9 – Evaluación del desempeño• Monitoreo, medición, análisis y evaluación• Auditoría interna• Revisión de la gerencia• Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes• Las entradas de las partes interesadas y los resultados de programas de concientización y entrenamiento no se consideran como entradas de la revisión Copyright © 2012 BSI. All rights reserved. 01/08/2012 24
  25. 25. Evento Organizado por:Componentes del SGCN• Cláusula 10 – Mejora• Se combinan las cláusulas de acciones correctivas y preventivas en una sola Copyright © 2012 BSI. All rights reserved. 01/08/2012 25
  26. 26. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Contexto de la organización (Context of the organization) Explicación: Ambiente en el que opera la organización Copyright © 2012 BSI. All rights reserved. 01/08/2012 26
  27. 27. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Partes interesadas (Interested parties) Explicación: Sustituye a “Stakeholders” Copyright © 2012 BSI. All rights reserved. 01/08/2012 27
  28. 28. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Liderazgo (Leadership) Explicación: Requerimientos específicos para la alta gerencia Copyright © 2012 BSI. All rights reserved. 01/08/2012 28
  29. 29. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones MAO (Maximum Acceptable Outage) Explicación: Tiempo en el que impactos adversos se convierten en “inaceptables” Copyright © 2012 BSI. All rights reserved. 01/08/2012 29
  30. 30. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones MBCO (Minimum Business Continuity Objective) Explicación:Nivel mínimo de servicios y/o productos quees aceptable para la organización para lograr sus objetivos de negocio durante una interrupción Copyright © 2012 BSI. All rights reserved. 01/08/2012 30
  31. 31. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Evaluación del desempeño (Performance evaluation) Explicación: Cubre la medición de la efectividad del SGCN y la GCN Copyright © 2012 BSI. All rights reserved. 01/08/2012 31
  32. 32. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Periodos de tiempo priorizados (Prioritized timeframes) Explicación: Orden y tiempo de recuperación para actividades críticas Copyright © 2012 BSI. All rights reserved. 01/08/2012 32
  33. 33. Evento Organizado por:Principales diferencias con BS 25999 - Adiciones Alerta y comunicación (Warning and communication) Explicación: Actividades a realizar durante un incidente Copyright © 2012 BSI. All rights reserved. 01/08/2012 33
  34. 34. Evento Organizado por:Certificación Copyright © 2012 BSI. All rights reserved. 01/08/2012 34
  35. 35. Evento Organizado por:Certificación• Seleccionar estándar• Establecer contacto con BSI• Conocer al equipo de evaluación• Considerar entrenamiento• Revisión y evaluación• Certificación Copyright © 2012 BSI. All rights reserved. 01/08/2012 35
  36. 36. Evento Organizado por:CertificaciónTransición de BS 25999 a ISO 22301• ISO 22301 sustituye a BS 25999-2• Fecha límite para certificaciones con BS 25999-2: Noviembre 2012• Periodo de transición definido: 31 Mayo 2014• Después de este periodo ningún certificado BS 25999-2 será válido• Es posible realizar la transición antes de la siguiente visita de evaluación continua Copyright © 2012 BSI. All rights reserved. 01/08/2012 36
  37. 37. Evento Organizado por:Siguientes pasos• Estándar disponible en http://shop.bsigroup.com/• Participe en nuestros cursos • Introducción • Transición • Implementación • Auditor Interno • Auditor Líder informacion.msmexico@bsigroup.com Mario Ureña Cuate www.mariourenacuate.com @mariourena @mariourena Copyright © 2012 BSI. All rights reserved. 01/08/2012 37
  38. 38. Evento Organizado por:

×