Este documento presenta información sobre la gestión de continuidad del negocio y el estándar ISO 22301. Explica que ISO 22301 proporciona los requisitos para un sistema de gestión de continuidad del negocio basado en mejores prácticas. También describe los pasos para lograr la certificación ISO 22301 en una empresa, incluyendo la selección del estándar, entrenamiento, revisión y certificación.
1. Maricarmen García de Ureña
–British Standards Institution
Riesgos Asociados a la
Continuidad del Negocio
(Enfoque en ISO 22301)
Costa Rica - 30 de septiembre, 2013
2. PwC
Indice:
Introducción
La Continuidad del Negocio
La necesidad de gestionar riesgos y operar en Continuidad del
Negocio
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Pasos para lograr una certifiación en Contunuidad del Negocio en
tu empresa
Conclusiones
9. PwC
Introducción:
Conocer los riesgos a los que nos
enfrentamos para saber como
tratarlos…
… ADECUADAMENTE
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
10. PwC
La Continuidad del Negocio
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
11. PwC
La continuidad del negocio
Resiliencia en las organizaciones y en la sociedad.
“En los últimos doce meses, 81% de directores que han implementado
Gestión de Continuidad del Negocio están de acuerdo en que se han
reducido exitosamente sus interrupciones y el costo ha valido la pena
por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012
12. PwC
La continuidad del negocio
Beneficios:
Continuidad en la provisión de productos y servicios
fundamentales
Cumplimiento regulatorio, legal y contractual
Disminución en los costos de pólizas de seguros
Diferencia sobre competidores
Cumplimiento con requisitos en licitaciones
Participación en mercados internacionales
13. PwC
La necesidad de gestionar
riesgos y operar en
continuidad del negocio
Fuente de imagen: http://www.cne.go.cr/CEDO-CRID/CEDO-
CRID%20v2.0/CEDO/pdf/spa/doc2226/doc2226-contenido.pdf
14. PwC
La necesidad de gestionar riesgos y operar en
continuidad del negocio
Gestión de Riesgos
El estándar ISO 31000, proporciona en forma integra a las
organizaciones, principios bajo un marco de proceso, destinado a
gestionar cualquier tipo de riesgo de forma:
Sistemática, Creíble, Transparente
“ISO 31000, ayuda a las organizaciones a desarrollar su propia
estrategia para administrar sus riesgos “.
El estándar ISO 31010, proporciona técnicas sistemáticas de apoyo al
implementar el ISO 31ooo
15. PwC
La necesidad de gestionar riesgos y operar en
continuidad del negocio
La Continuidad del Negocio en ISO 22301 y el ISO 31000:
La continuidad del Negocio basada en mejores prácticas internacionales
como la ISO 22301, puede basarse en ISO 31000.
16. PwC
ISO 22301 – Seguridad de las
Sociedades
“Sistema de Gestión de Continuidad
del Negocio”
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
17. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Provee los requerimientos para un
Sistema de Gestión de la Continuidad del
Negocio (SGCN ó BCMS por sus siglas en Inglés)
Basado en una Gestión de Continuidad de
Negocio global. (Lo hace compatible con otros
estándares y mejores prácticas ).
Creado en respuesta al fuerte interés en la
Norma Británica original, BS 25999-2 y
otros estándares regionales
“BS 25999-2 texto original clave para su desarrollo “
BS ISO 22301:2012 -
Societal Security. Business
continuity management
systems. Requirements.
18. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio – Seguridad de las sociedades
Puede ser utilizado por organizaciones:
- … de cualquier tamaño.
- … en el sector público y privado.
- … de manufactura o servicio.
- … en cualquier sector de la industria.
Financiero
Mercado de
valores
Manufactura
Entretenimiento
Educación
Hospitalario
Retail
Consultoría
Telecomunicacio
nes
Entre otros
19. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Adopción del estándar BS 25999 por industria según bsi.
Servicios de TI y
Comunicaciones:
39%
Servicios
Financieros: 15%
Distribución:
12%
Servicios
profesionales:
11%
Servicios: 7%
Generación de
energía: 5%
Construcción/
Manufactura: 6%
Otras: 5%
20. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
21. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Componentes:
Partes interesadas – Asuntos externos – Requerimientos legales y regulatorios
Compromiso de la gerencia, asuntos internos, partes interesadas, alcancel del SGCN políticas y
objetivos de continuidad del negocio, riesgo organizacional, recursos, responsabilidades y
autoridades, competencias, concientización, comunicación, información documentada
PLANEAR
• Análisis del
Impacto al
Negocio
• Evaluación de
riesgos
• Tratamientos
Ejercicios y
Pruebas:
•Metas y objetivos
•Minimizar riesgo
•Reporte y acciones
Procedimientos de
continuidad del
negocio:
• Estructura de
respuesta a incidentes
• Advertencia y
comunicaciones
• Planes de BC
• Recuperación
Estrategia de
continuidad del
negocio:
• Prioridades
• Recursos
• Protección y
mitigación
HACER
Monitoreo de mediciones, análisis, evaluación, auditoría interna, revisión de la gerenciaVERIFICAR
Medidas para abordar no conformidades, mejora continuaACTUAR
22. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 4 – Contexto de la organización
Consideración del contexto interno y
externo
Necesidades, requerimientos y alcance
Apetito del riesgo, requerimientos legales
y regulatorios
Igualmente importantes son las
inclusiones / exclusiones
Comunicación clara del alcance a partes
internas y externas
23. PwC
SGCN
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 5 – Liderazgo
Resumen de los requerimientos
específicos del rol de la alta
gerencia
Establecimiento de política
Nuevos requerimientos para
demostrar compromiso
Designación de responsable del
SGCN
24. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 6 – Planeación
Establecer objetivos estratégicos
Determinar responsables para el
cumplimiento de objetivos
Determinar riesgos y
oportunidades
Tareas a realizar y tiempos
Como se evaluarán los resultados
25. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 7 – Soporte
Mayor énfasis en concientización
Mayor énfasis en comunicación
Mas específico en requerimientos
de control documental, sin
embargo, mas abierto en
documentos mínimos
26. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 8 – Operación
Requerimientos extendidos en estructura de
respuesta a incidentes
Planes de continuidad del negocio con énfasis
en procedimientos de continuidad
Recuperación como un requerimiento
totalmente nuevo
No requiere que el programa de ejercicios
aprobado, considera válido al programa de
ejercicios en casos reales de operación en
continuidad
27. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 9 – Evaluación del desempeño
Monitoreo, medición, análisis y
evaluación
Auditoría interna
Revisión de la gerencia
Comunicar los resultados de la
revisión de la gerencia a partes
interesadas relevantes
28. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Cláusula 10 – Mejora
Se combinan las cláusulas de
acciones correctivas y
preventivas en una sola
Mantener la eficacia del
Sistema de Gestión de la
Continuidad del Negocio
29. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:Secure Information Technologies, 2013
27001
PAS56
BS25999-1
BCMS
Sistema de Gestión de
Continuidad del Negocio
27031
22301*
* Antes BS 25999-2
Principales diferencias con otras mejores prácticas:
30. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:Secure Information Technologies, 2013
Ciclo de
Vida de GCN/BCM SGCN/BCMS
Método tradicional Método con sistema de gestión
Principales diferencias con otras mejores prácticas:
31. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Principales diferencias
con otras mejores
prácticas:
Fuente de imagen:
Secure Information Technologies, 2013
Capacitación
Análisis
de
riesgos
Análisis de
Impacto al
Negocio
Estrategia de
recuperación
BCP
Prueba
Políticas
32. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Fuente de imagen:
Secure Information Technologies, 2013
33. PwC
ISO 22301 – Sistema de Gestión de Continuidad del
Negocio
Pasos para lograr una Certificación en tu empresa:
Seleccionar estándar
Establecer contacto con bsi.
Conocer al equipo de evaluación
Considerar entrenamiento
Revisión y evaluación
Certificación
35. PwC
Conclusiones
El contar con un análisis y evaluación de riesgos basado en ISO 31000,
utilizando la técnica de “análisis de escenarios” conforme a ISO 31010,
permite Gestionar la Continuidad de su empresa bajo los requisitos del
estándar ISO 22301.
ALERTA
SANITARIA
(Influenza en
México)
37. PwC
Conclusiones
Escenario:
Epidemia
Estrategia:
Parte del personal
laborando
en oficinas
Estrategia:
Parte del personal
laborando desde casa
comunicándose
vía Internet
y teléfono
Escenario:
Sismo
Estrategia:
Desalojo y
concentración en
puntos de reunión
Posible Contagio
Escenario:
Saturación de líneas
telefónicas
Escenario:
Perdida de
comunicaciones Interrupción de
la continuidad
del negocio
38. PwC
Consultas:
Participe en nuestros cursos:
Introducción
Implementación
Certificación de
Implementador Líder ISO
22301
Transición de la BS 25999 al
ISO 22301Auditor Interno
Certificación de Auditor
Líder ISO 22301
Conversión del certificado en
AL BS 29999 a ISO 22301
Maricarmen García de Ureña
www.maricarmengarcia.com.mx
@besair
@besair
besair_
informacion.msmexico@bsigroup.com
Estándar disponible en:
http://shop.bsigroup.com/