Diapositivas utilizadas en la sesión de clausura de la conferencia DRJ en Español. ISO22301: La meta internacional para la continuidad del negocio.
Mario Ureña
Aprendizaje basado en proyectos. La vida no son asignaturas_CPAL_PERU.pdf
Sesion general 09 mario ureña iso22301
1. ISO 22301: la meta
internacional para la Mario Ureña,
Continuidad del Negocio ISO27001 LA, BS25999 LA,
CISSP, CISA, CISM , CGEIT
BSI México
D R J ’s C o n f e r e n c e 2 0 1 2 e n E s p a ñ o l - H a r d R o c k H o t e l – P u n t a C a n a - D e l 7 a l 1 0 d e
2. Nota para el lector
Las diapositivas que se presentan a continuación han sido
utilizadas para la conferencia "ISO 22301: La meta
internacional para la continuidad del negocio" en el marco de
la Conferencia DRJ en español realizada el mes de Octubre
del 2012 en Punta Cana, República Dominicana.
Para tener un correcto entendimiento del mensaje que el autor
trata de transmitir, es recomendable acompañar la información
de las diapositivas con la explicación hablada.
En caso de alguna pregunta relacionada con estas diapositivas
es posible contactar al autor a través de los datos incluidos al
final de la presentación.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !2
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
3. Sobre el Expositor
Mario es instructor del BSI en temas de
Seguridad de la Información, Continuidad del
Negocio, Gestión de Riesgos y Servicios de
Tecnología de Información, es especialista en
auditoria, control y seguridad de TI. Posee las
certificaciones LA BS25999, LA ISO27001, LA
BS7799, CISP, CISA, CISM, CGIT, entre otras.
Cuenta con una amplia experiencia en asesorías
de COBIT, Auditoria de aplicaciones, Proyectos
Mario Ureña, especiales de análisis de datos, Diagnósticos de
ISO27001 LA, cumplimiento e implementaciones de las normas
BS25999 LA, CISSP, ISO27001 / ISO20000 / BS25999 / ISO 31000 /
CISA, CISM , CGEIT
BS 10012 / ISO 27031 / ISO 27005.
BSI México
Correo electrónico: mario@urena.com.mx
Página web: www.bsi.org
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
4. ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !4
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
5. Agenda
1. Introducción
2. Comparación entre BS25999-2 e ISO22301
3. Términos y definiciones
4. Cláusula 4. Contexto de la organización
5. Cláusula 5. Liderazgo
6. Cláusula 6. Planeación
7. Cláusula 7. Soporte
8. Cláusula 8. Operación
9. Cáusula 9. Evaluación del desempeño
10. Cláusula 10. Mejora
11. Resumen y Conclusiones
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !5
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
6. 1. Introducción
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !6
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
7. 1. Introducción
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !7
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
8. 1. Introducción
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !8
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
9. 1. Introducción - Adopción de SGCN
ICT Financial Services Distribution
Professional Services Business Services Electricity Production
Construction Manufacturing Other
5%
6%
5%
7% 38%
11%
12%
15%
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !9
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
10. 1. Introducción
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !10
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
11. 1. Introducción - Errores comunes
No considerar a
todas las partes
interesadas
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !11
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
12. 1. Introducción - Errores comunes
Falta de compromiso
de la dirección
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !12
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
13. 1. Introducción - Errores comunes
No considerar todos
los recursos
necesarios
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !13
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
14. 1. Introducción - Errores comunes
Pensar:
“A mi no me va a
pasar...”
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !14
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
15. 1. Introducción - Desastres en Latinoamerica
(2000-2012)
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
16. 1. Introducción - Errores comunes
Riesgos no tratados
adecuadamente
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !16
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
17. 1. Introducción - Errores comunes
Pensar que continuidad
del negocio solo es
tecnología
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !17
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
18. 1. Introducción - Errores comunes
Planes muy generales o
extremadamente
detallados
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !18
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
19. 1. Introducción - Errores comunes
Pruebas y ejercicios
mal planificados
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !19
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
20. 1. Introducción - Errores comunes
Olvidar las medidas
establecidas
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !20
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
21. ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !21
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
22. ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !22
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
23. 1. Introducción
Proveer protección a la
sociedad de, y la habilidad
de responder a, incidentes,
emergencias y desastres
causados por actos
humanos intencionales o
no, desastres naturales, y
fallas técnicas.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
24. 2. Comparación entre BS25999-2 e ISO22301
BS 25999-2 ISO 22301
1 - Alcance 1 - Alcance
2 - Referencias normativas
2 - Términos y definiciones 3 - Términos y definiciones
3 - Planear el SGCN 4 - Contexto de la organización
P 5 - Liderazgo
6 - Planeación
7 - Soporte
D 4 - Implementar y operar el SGCN 8 - Operación
C 5 - Monitorear y revisar el SGCN 9 - Evaluación del desempeño
A 6 - Mantener y mejorar el SGCN 10 - Mejora
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !24
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
25. 3. Términos y definiciones
Estimado CEO, en GRC estamos preocupados
por la BCM de la compañía y sugerimos
implementar un BCMS que soporte nuestro
BCMP a través de un BCP que mediante un BIA
y un AR permitan documentar el DRP, IMP,
COOP, BRP y CP’s según se requiera y tomando
en consideración los RTO´s, RPO´s, MTPoD´s,
MAO´s y MBCO´s de los procesos críticos.
Quedo a sus órdenes en caso de alguna duda...
:)
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !25
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
26. 3. Términos y definiciones
Activity
Audit
Business continuity
Business continuity management
Business continuity management system (BCMS)
Business continuity plan
Business impact analysis / Risk assessment
Excercise
Incident
Interested party
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !26
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
27. 3. Términos y definiciones
MAO – Maximum acceptable outage
MTPD – Maximum tolerable period of disruption
MBCO – Minimum business continuity objective
RPO – Recovery point objective
RTO – Recovery time objective
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !27
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
28. 4. Contexto de la organización
Consideración de aspectos internos y externos.
Consideración de socios y cadena de provisión.
Partes interesadas.
Documentación de requerimientos legales y
regulatorios.
Documentación del alcance del SGCN (BCMS).
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !28
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
29. 5. Liderazgo
Énfasis en el compromiso de la alta dirección.
Participación activa de la alta dirección en ejercicios.
Integración de BCM en los procesos del negocio.
Política de continuidad del negocio.
Reporte de desempeño.
Roles, responsabilidades y autoridades.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !29
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
30. 6. Planeación
Consideración de riesgos y oportunidades.
Objetivos de continuidad del negocio y planes para
lograrlos.
– Responsables
– Acciones
– Recursos requeridos
– Tiempos
– Medidores de resultados
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !30
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
31. 7. Soporte
Recursos.
Competencia.
Concientización.
Comunicación.
Información documentada.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !31
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
32. 8. Operación
Planeación y control operacional.
Análisis de Impacto al Negocio (BIA).
Análisis y evaluación de riesgos.
Estrategia de continuidad del negocio.
Implementación de procedimientos de continuidad del
negocio.
Planes de continuidad del negocio.
Ejercicios y pruebas.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !32
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
33. 9. Evaluación del desempeño
Monitoreo, medición, análisis y evaluación.
Auditoría interna.
Revisión de la gerencia.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !33
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
34. 10. Mejora
No conformidad y acción correctiva.
Mejora continua.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !34
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
35. Resumen y Conclusiones
Es aplicable a organizaciones de cualquier tamaño e
industria tanto en el sector público, como privado.
ISO 22301 Sustituye completamente a BS25999-2.
Define un Sistema de Gestión de Continuidad del
Negocio.
Es compatible con otros estándares y buenas prácticas
de BCM.
Es certificable con acreditación internacional.
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !35
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
36. ¿Preguntas?
¡Muchas gracias!
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !36
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
37. ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !37
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b
38. DEPENDE!
ISO 22301: la meta internacional para la Continuidad del Negocio - Mario Ureña, BSI !38
D R J ’sJ ’s o n f ee r en c e 2 00 1 2 n n sE a ñ oa ñ o la r dH a r d H o tc lk –H o t e a – aP a n t a lC aa l a 0 d eeO c t ua lr e1 0 d e
DR C Conf re nc e 2 12 e e E p sp l - H - Rock Ro e Punt l C nu - De 7 n 1 - D l 7 b