Este documento presenta información sobre la gestión de continuidad del negocio y el estándar ISO 22301. Explica que ISO 22301 proporciona los requisitos para un sistema de gestión de continuidad del negocio basado en mejores prácticas. También describe los pasos para lograr la certificación ISO 22301 en una empresa, incluyendo la selección del estándar, entrenamiento, revisión y certificación.

1. Maricarmen García de Ureña
–British Standards Institution
Riesgos Asociados a la
Continuidad del Negocio
(Enfoque en ISO 22301)
Costa Rica - 30 de septiembre, 2013

2. PwC
Indice:
 Introducción
 La Continuidad del Negocio
 La necesidad de gestionar riesgos y operar en Continuidad del
Negocio
 ISO 22301 – Sistema de Gestión de Continuidad del Negocio
 Pasos para lograr una certifiación en Contunuidad del Negocio en
tu empresa
 Conclusiones

3. PwC
Introducción
Erupción de Volcán Arenal, Costa Rica -24/05/2010

4. PwC
Introducción
Terremoto de Cinchona - Costa Rica 08/01/2009

5. PwC
Introducción
Cabeza de agua inundó 12 viviendas en Alajuelita, Costa Rica 21/09/2013

6. PwC
Introducción
Antigua estación de trenes de Paraíso de Cártago
Costa Rica 20/09/2013

7. PwC
Introducción

8. PwC
Introducción
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

9. PwC
Introducción:
Conocer los riesgos a los que nos
enfrentamos para saber como
tratarlos…
… ADECUADAMENTE
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

10. PwC
La Continuidad del Negocio
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

11. PwC
La continuidad del negocio
Resiliencia en las organizaciones y en la sociedad.
“En los últimos doce meses, 81% de directores que han implementado
Gestión de Continuidad del Negocio están de acuerdo en que se han
reducido exitosamente sus interrupciones y el costo ha valido la pena
por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012

12. PwC
La continuidad del negocio
Beneficios:
 Continuidad en la provisión de productos y servicios
fundamentales
 Cumplimiento regulatorio, legal y contractual
 Disminución en los costos de pólizas de seguros
 Diferencia sobre competidores
 Cumplimiento con requisitos en licitaciones
 Participación en mercados internacionales

13. PwC
La necesidad de gestionar
riesgos y operar en
continuidad del negocio
Fuente de imagen: http://www.cne.go.cr/CEDO-CRID/CEDO-
CRID%20v2.0/CEDO/pdf/spa/doc2226/doc2226-contenido.pdf

14. PwC
La necesidad de gestionar riesgos y operar en
continuidad del negocio
Gestión de Riesgos
El estándar ISO 31000, proporciona en forma integra a las
organizaciones, principios bajo un marco de proceso, destinado a
gestionar cualquier tipo de riesgo de forma:
 Sistemática, Creíble, Transparente
“ISO 31000, ayuda a las organizaciones a desarrollar su propia
estrategia para administrar sus riesgos “.
El estándar ISO 31010, proporciona técnicas sistemáticas de apoyo al
implementar el ISO 31ooo

15. PwC
La necesidad de gestionar riesgos y operar en
continuidad del negocio
La Continuidad del Negocio en ISO 22301 y el ISO 31000:
La continuidad del Negocio basada en mejores prácticas internacionales
como la ISO 22301, puede basarse en ISO 31000.

16. PwC
ISO 22301 – Seguridad de las
Sociedades
“Sistema de Gestión de Continuidad
del Negocio”
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

17. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
 Provee los requerimientos para un
Sistema de Gestión de la Continuidad del
Negocio (SGCN ó BCMS por sus siglas en Inglés)
 Basado en una Gestión de Continuidad de
Negocio global. (Lo hace compatible con otros
estándares y mejores prácticas ).
 Creado en respuesta al fuerte interés en la
Norma Británica original, BS 25999-2 y
otros estándares regionales
“BS 25999-2 texto original clave para su desarrollo “
BS ISO 22301:2012 -
Societal Security. Business
continuity management
systems. Requirements.

18. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio – Seguridad de las sociedades
 Puede ser utilizado por organizaciones:
- … de cualquier tamaño.
- … en el sector público y privado.
- … de manufactura o servicio.
- … en cualquier sector de la industria.
 Financiero
 Mercado de
valores
 Manufactura
 Entretenimiento
 Educación
 Hospitalario
 Retail
 Consultoría
 Telecomunicacio
nes
 Entre otros

19. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Adopción del estándar BS 25999 por industria según bsi.
Servicios de TI y
Comunicaciones:
39%
Servicios
Financieros: 15%
Distribución:
12%
Servicios
profesionales:
11%
Servicios: 7%
Generación de
energía: 5%
Construcción/
Manufactura: 6%
Otras: 5%

20. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio

21. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Componentes:
Partes interesadas – Asuntos externos – Requerimientos legales y regulatorios
Compromiso de la gerencia, asuntos internos, partes interesadas, alcancel del SGCN políticas y
objetivos de continuidad del negocio, riesgo organizacional, recursos, responsabilidades y
autoridades, competencias, concientización, comunicación, información documentada
PLANEAR
• Análisis del
Impacto al
Negocio
• Evaluación de
riesgos
• Tratamientos
Ejercicios y
Pruebas:
•Metas y objetivos
•Minimizar riesgo
•Reporte y acciones
Procedimientos de
continuidad del
negocio:
• Estructura de
respuesta a incidentes
• Advertencia y
comunicaciones
• Planes de BC
• Recuperación
Estrategia de
continuidad del
negocio:
• Prioridades
• Recursos
• Protección y
mitigación
HACER
Monitoreo de mediciones, análisis, evaluación, auditoría interna, revisión de la gerenciaVERIFICAR
Medidas para abordar no conformidades, mejora continuaACTUAR

22. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 4 – Contexto de la organización
 Consideración del contexto interno y
externo
 Necesidades, requerimientos y alcance
 Apetito del riesgo, requerimientos legales
y regulatorios
 Igualmente importantes son las
inclusiones / exclusiones
 Comunicación clara del alcance a partes
internas y externas

23. PwC
SGCN
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 5 – Liderazgo
 Resumen de los requerimientos
específicos del rol de la alta
gerencia
 Establecimiento de política
 Nuevos requerimientos para
demostrar compromiso
 Designación de responsable del
SGCN

24. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 6 – Planeación
 Establecer objetivos estratégicos
 Determinar responsables para el
cumplimiento de objetivos
 Determinar riesgos y
oportunidades
 Tareas a realizar y tiempos
 Como se evaluarán los resultados

25. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 7 – Soporte
 Mayor énfasis en concientización
 Mayor énfasis en comunicación
 Mas específico en requerimientos
de control documental, sin
embargo, mas abierto en
documentos mínimos

26. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 8 – Operación
 Requerimientos extendidos en estructura de
respuesta a incidentes
 Planes de continuidad del negocio con énfasis
en procedimientos de continuidad
 Recuperación como un requerimiento
totalmente nuevo
 No requiere que el programa de ejercicios
aprobado, considera válido al programa de
ejercicios en casos reales de operación en
continuidad

27. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 9 – Evaluación del desempeño
 Monitoreo, medición, análisis y
evaluación
 Auditoría interna
 Revisión de la gerencia
 Comunicar los resultados de la
revisión de la gerencia a partes
interesadas relevantes

28. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 10 – Mejora
 Se combinan las cláusulas de
acciones correctivas y
preventivas en una sola
 Mantener la eficacia del
Sistema de Gestión de la
Continuidad del Negocio

29. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:Secure Information Technologies, 2013
27001
PAS56
BS25999-1
BCMS
Sistema de Gestión de
Continuidad del Negocio
27031
22301*
* Antes BS 25999-2
Principales diferencias con otras mejores prácticas:

30. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:Secure Information Technologies, 2013
Ciclo de
Vida de GCN/BCM SGCN/BCMS
Método tradicional Método con sistema de gestión
Principales diferencias con otras mejores prácticas:

31. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Principales diferencias
con otras mejores
prácticas:
Fuente de imagen:
Secure Information Technologies, 2013
Capacitación
Análisis
de
riesgos
Análisis de
Impacto al
Negocio
Estrategia de
recuperación
BCP
Prueba
Políticas

32. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:
Secure Information Technologies, 2013

33. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Pasos para lograr una Certificación en tu empresa:
 Seleccionar estándar
 Establecer contacto con bsi.
 Conocer al equipo de evaluación
 Considerar entrenamiento
 Revisión y evaluación
 Certificación

34. PwC
Conclusiones
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

35. PwC
Conclusiones
El contar con un análisis y evaluación de riesgos basado en ISO 31000,
utilizando la técnica de “análisis de escenarios” conforme a ISO 31010,
permite Gestionar la Continuidad de su empresa bajo los requisitos del
estándar ISO 22301.
ALERTA
SANITARIA
(Influenza en
México)

36. PwC
Conclusiones
ALERTA SANITARIA (INFLUENZA)
+
SISMO 5.7 GRADOS

37. PwC
Conclusiones
Escenario:
Epidemia
Estrategia:
Parte del personal
laborando
en oficinas
Estrategia:
Parte del personal
laborando desde casa
comunicándose
vía Internet
y teléfono
Escenario:
Sismo
Estrategia:
Desalojo y
concentración en
puntos de reunión
Posible Contagio
Escenario:
Saturación de líneas
telefónicas
Escenario:
Perdida de
comunicaciones Interrupción de
la continuidad
del negocio

38. PwC
Consultas:
Participe en nuestros cursos:
 Introducción
 Implementación
 Certificación de
Implementador Líder ISO
22301
 Transición de la BS 25999 al
ISO 22301Auditor Interno
 Certificación de Auditor
Líder ISO 22301
 Conversión del certificado en
AL BS 29999 a ISO 22301
Maricarmen García de Ureña
www.maricarmengarcia.com.mx
@besair
@besair
besair_
informacion.msmexico@bsigroup.com
Estándar disponible en:
http://shop.bsigroup.com/

39. PwC
Gracias

40. PwC
CONSULTAS
Maricarmen García de Ureña
bsi | Instructor
Phone : (55) 5524 8091
E-mail :
maricarmen@secureit.com.mx
This publication has been prepared for general guidance on matters of interest only, and does not constitute
professional advice. You should not act upon the information contained in this publication without obtaining
specific professional advice. No representation or warranty (express or implied) is given as to the accuracy
or completeness of the information contained in this publication, and, to the extent permitted by law,
PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any
liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to
act, in reliance on the information contained in this publication or for any decision based on it.
© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers
Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of
which is a separate legal entity. |