Auditando un Sistema de Gestión de 
Continuidad del Negocio (SGCN), bajo 
Título 
de 
la 
Presentación 
el enfoque de ISO ...
Sobre Maricarmen 
Maricarmen García de Ureña, es socio fundador 
de la firma de consultoría Secure Information 
Technologi...
Agenda 
1. Introducción 
2. Beneficios del SGCN (BCMS). 
3. Proceso de auditoría 
4. Auditorías de GCN vs Auditorías de SG...
1. Introducción 
¿Qué amenaza es la que más te preocupa? 
Piensa en aquella que actualmente no te 
permita conciliar tus s...
1. Introducción 
Algunas Respuestas: 
Nada me quita el sueño, en mi empresa todo 
funciona bien, nada no nos va a pasar ja...
2. Beneficios de un SGCN 
• Asegura el cumplimiento con los requisitos 
legales y regulatorios 
• Due care 
• Due dilligen...
3. Proceso de auditoría 
• Estándares de auditoría de SGCN 
– ISO 19011 
– Proporciona orientación sobre la 
gestión de un...
3. Proceso de auditoría 
• Etapas: 
Iniciar la auditoría 
Preparar las actividades de auditoría 
Llevar a cabo las activid...
3. Proceso de auditoría 
• Tipos de auditorías de auditoría de SGCN 
– Primera parte 
• Auditorías Internas del SGCN 
– Se...
3. Proceso de auditoría 
Auditorías 
Internas 
Se realizan a intervalos planeados 
para determinar si el SGCN: 
Cumple con...
4. Auditorías de GCN vs Auditorías 
de SGCN 
• Ciclo de vida de GCN 
Fuente: 
BS 
25999
4. Auditorías de GCN vs Auditorías de SGCN 
Fuente: 
Secure 
Informa4on 
Technologies, 
2014 
Elementos de GCN 
Curso de 
...
4. Auditorías de GCN vs Auditorías 
de SGCN 
• Ciclo Deming del SGCN
Auditorías SGCN con ISO 22301 
Proceso 
obligatorio 
Proceso 
obligatorio 
documentado 
Procedimiento 
obligatorio 
Proced...
4. Auditorías de GCN vs Auditorías de SGCN 
Fuente: 
Secure 
Informa4on 
Technologies, 
2014 
Elementos que se 
auditan en...
Contexto 
de 
la 
organización 
Liderazgo 
Planeación 
Soporte 
Operación 
Evaluación 
del 
desempeño 
Mejora 
Requerimien...
5. Deberes de los auditores de 
SGCN 
• Planear las auditorías 
• Uso de efectivo de los recursos de GCN 
• Ejecutar la au...
6. Responsabilidad de la Alta Dirección 
en las auditorías de SGCN 
• Garantizar la provisión de productos y 
servicios a ...
Conclusiones y recomendaciones 
• Una auditoría de SGCN alineada a los objetivos 
estratégicos de la organización bajo el ...
¿Preguntas? 
Auditando un Sistema de Gestión de 
Continuidad del Negocio (SGCN), bajo 
el enfoque de ISO 22301 
Maricarmen...
Próxima SlideShare
Cargando en…5
×

Auditando un SGCN en ISO 22301 Maricarmen García de Ureña

974 visualizaciones

Publicado el

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
974
En SlideShare
0
De insertados
0
Número de insertados
5
Acciones
Compartido
0
Descargas
53
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Auditando un SGCN en ISO 22301 Maricarmen García de Ureña

  1. 1. Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo Título de la Presentación el enfoque de ISO 22301 Expositor: Maricarmen García de Ureña
  2. 2. Sobre Maricarmen Maricarmen García de Ureña, es socio fundador de la firma de consultoría Secure Information Technologies, es empresaria, catedrático y consultor especialista en temas de Gestión de Riesgos, Continuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Es instructor oficial del BSI (British Standards Institucion). E-mail: maricarmen.garcia@secureit.com.mx www.secureit.com.mx México Maricarmen García de Ureña Director General Secure Information Technologies Instructor certificado de bsi CBCP, ISO 22301 LA, ISO 27001 LA,
  3. 3. Agenda 1. Introducción 2. Beneficios del SGCN (BCMS). 3. Proceso de auditoría 4. Auditorías de GCN vs Auditorías de SGCN 5. Deberes de los auditores de SGCN 6. Responsabilidad de la Alta Direción en las auditorías de SGCN 7. Resumen y conclusiones 8. Preguntas
  4. 4. 1. Introducción ¿Qué amenaza es la que más te preocupa? Piensa en aquella que actualmente no te permita conciliar tus sueños RESPUESTAS:
  5. 5. 1. Introducción Algunas Respuestas: Nada me quita el sueño, en mi empresa todo funciona bien, nada no nos va a pasar jamás No estar preparado ante ataques cibernéticos El que nuestros competidores demuestren estar mejor preparados que nosotros. No saber como enfrentar un desastre natural No haberme preparado aún para un cataclismo
  6. 6. 2. Beneficios de un SGCN • Asegura el cumplimiento con los requisitos legales y regulatorios • Due care • Due dilligence • Desempeño robusto de la GCN • Resiliencia organizacional (GI + GCN)
  7. 7. 3. Proceso de auditoría • Estándares de auditoría de SGCN – ISO 19011 – Proporciona orientación sobre la gestión de un programa de auditoría del SGCN – ISO/IEC 17021 – Evalúa la conformidad para los organismos que realizan auditorías de certificación ISO 22301
  8. 8. 3. Proceso de auditoría • Etapas: Iniciar la auditoría Preparar las actividades de auditoría Llevar a cabo las actividades de auditoría Preparar y distribuir el informe de auditoría Completar la auditoría Llevar a cabo el seguimiento de auditoría
  9. 9. 3. Proceso de auditoría • Tipos de auditorías de auditoría de SGCN – Primera parte • Auditorías Internas del SGCN – Segunda parte • Auditorías que las empresas realizan a sus proveedores – Tercera parte • Auditorías de certificación
  10. 10. 3. Proceso de auditoría Auditorías Internas Se realizan a intervalos planeados para determinar si el SGCN: Cumple con los requisitos propios de la organización para GCN Cumple con los requisitos de ISO 22301 Se ha implementado y se mantiene eficazmente
  11. 11. 4. Auditorías de GCN vs Auditorías de SGCN • Ciclo de vida de GCN Fuente: BS 25999
  12. 12. 4. Auditorías de GCN vs Auditorías de SGCN Fuente: Secure Informa4on Technologies, 2014 Elementos de GCN Curso de capacitación Análisis de riesgos Análisis de Impacto al Negocio Estrategia de recuperación Planes de Con4nuidad Prueba Políticas
  13. 13. 4. Auditorías de GCN vs Auditorías de SGCN • Ciclo Deming del SGCN
  14. 14. Auditorías SGCN con ISO 22301 Proceso obligatorio Proceso obligatorio documentado Procedimiento obligatorio Procedimiento obligatorio documentado Información documentada (prác4ca común) Información documentada obligatoria Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción 14
  15. 15. 4. Auditorías de GCN vs Auditorías de SGCN Fuente: Secure Informa4on Technologies, 2014 Elementos que se auditan en un SGCN
  16. 16. Contexto de la organización Liderazgo Planeación Soporte Operación Evaluación del desempeño Mejora Requerimientos legales y regulatorios Análisis de partes interesadas Alcance Ape4to y criterios de riesgo Factores internos y externos de incer4dumbre Polí4ca de con4nuidad del negocio Compromiso de la dirección Roles, responsabilidades y autoridades Obje4vos de con4nuidad Análisis de recursos Evidencia de concien4zación Procedimientos de comunicación Control de documentos Análisis de Impacto al Negocio Análisis de riesgos Estrategia de con4nuidad Procedimientos de con4nuidad del negocio Ejercicios y pruebas Estructura de respuesta a incidentes Monitoreo, medición, análisis y evaluación Auditoría interna Revisión de la dirección Ges4ón de no conformidades Ges4ón de acciones correc4vas Mejora con4nua Contexto de la organización Requerimientos legales y regulatorios Exclusiones Ac4vidades, funciones, servicios, etc. Propósito del SGCN Aspectos internos y externos SGCN Evidencia de competencia Planeación y control operacional Requerimientos de recursos Tratamiento de riesgos Advertencia y comunicación Planes de con4nuidad del negocio Procedimientos de recuperación Reportes post-­‐ ejercicio Monitoreo del desempeño Auditoría interna Auditoría interna Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción
  17. 17. 5. Deberes de los auditores de SGCN • Planear las auditorías • Uso de efectivo de los recursos de GCN • Ejecutar la auditoría • Habilidades para comunicarse con el liderargo en CN • Ser competentes en SGCN • Evalualuar la efectividad de SGCN • Prevenir y resolver los conflictos • Preparar y completar el informe de auditoría • Ser reservado con los hallazgos de auditoria • Generar las conclusiones de auditoría
  18. 18. 6. Responsabilidad de la Alta Dirección en las auditorías de SGCN • Garantizar la provisión de productos y servicios a sus partes interesadas. • Ser competentes en SGCN. • Provisionar los recursos de GCN. • Garantizar un SGCN alineado a sus objetivos estratégicos. • Establecer formalmente su compromiso, autoridad. • Definir su apetito de riesgo. • Revisiones de la GCN y prácticas de GCN • Empoderamiento de sus colaboradores. • Garantizar su cumplimiento legal y regulatorio.
  19. 19. Conclusiones y recomendaciones • Una auditoría de SGCN alineada a los objetivos estratégicos de la organización bajo el liderazgo estratrégico, desarrolla resiliencia organizacional. • No es lo mismo auditar GCN bajo un enfoque tradicional, a realizar auditorías en conformidad con un SGCN bajo los requisitos de una norma internacional como lo es la ISO 22301. • Un SGCN te permite permanecer en el mercado global y mantener la provisión de productos y servicios al nível mínimo de operación que definas en tu organización. • En la evolución del SGCN ahora nos dirigimos hacia la seguridad de las sociedades.
  20. 20. ¿Preguntas? Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo el enfoque de ISO 22301 Maricarmen García de Ureña, Director General Secure Information Technologies maricarmen.garcia@secureit.com.mx

×