Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
•
0 recomendaciones•1,907 vistas
Este documento presenta los aspectos clave de auditar un Sistema de Gestión de Continuidad del Negocio (SGCN) bajo el enfoque de ISO 22301. Explica los beneficios de un SGCN, el proceso de auditoría según estándares como ISO 19011 e ISO/IEC 17021, y las diferencias entre auditorías de continuidad del negocio y auditorías de SGCN. También cubre los deberes de los auditores de SGCN, la responsabilidad de la alta dirección, y concluye recomendando que una auditoría
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Similar a Auditando un SGCN en ISO 22301 Maricarmen García de Ureña (20)
Más de Maricarmen García de Ureña
Más de Maricarmen García de Ureña (10)
Último
Último (20)
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
- 1. Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo Título de la Presentación el enfoque de ISO 22301 Expositor: Maricarmen García de Ureña
- 2. Sobre Maricarmen Maricarmen García de Ureña, es socio fundador de la firma de consultoría Secure Information Technologies, es empresaria, catedrático y consultor especialista en temas de Gestión de Riesgos, Continuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Es instructor oficial del BSI (British Standards Institucion). E-mail: maricarmen.garcia@secureit.com.mx www.secureit.com.mx México Maricarmen García de Ureña Director General Secure Information Technologies Instructor certificado de bsi CBCP, ISO 22301 LA, ISO 27001 LA,
- 3. Agenda 1. Introducción 2. Beneficios del SGCN (BCMS). 3. Proceso de auditoría 4. Auditorías de GCN vs Auditorías de SGCN 5. Deberes de los auditores de SGCN 6. Responsabilidad de la Alta Direción en las auditorías de SGCN 7. Resumen y conclusiones 8. Preguntas
- 4. 1. Introducción ¿Qué amenaza es la que más te preocupa? Piensa en aquella que actualmente no te permita conciliar tus sueños RESPUESTAS:
- 5. 1. Introducción Algunas Respuestas: Nada me quita el sueño, en mi empresa todo funciona bien, nada no nos va a pasar jamás No estar preparado ante ataques cibernéticos El que nuestros competidores demuestren estar mejor preparados que nosotros. No saber como enfrentar un desastre natural No haberme preparado aún para un cataclismo
- 6. 2. Beneficios de un SGCN • Asegura el cumplimiento con los requisitos legales y regulatorios • Due care • Due dilligence • Desempeño robusto de la GCN • Resiliencia organizacional (GI + GCN)
- 7. 3. Proceso de auditoría • Estándares de auditoría de SGCN – ISO 19011 – Proporciona orientación sobre la gestión de un programa de auditoría del SGCN – ISO/IEC 17021 – Evalúa la conformidad para los organismos que realizan auditorías de certificación ISO 22301
- 8. 3. Proceso de auditoría • Etapas: Iniciar la auditoría Preparar las actividades de auditoría Llevar a cabo las actividades de auditoría Preparar y distribuir el informe de auditoría Completar la auditoría Llevar a cabo el seguimiento de auditoría
- 9. 3. Proceso de auditoría • Tipos de auditorías de auditoría de SGCN – Primera parte • Auditorías Internas del SGCN – Segunda parte • Auditorías que las empresas realizan a sus proveedores – Tercera parte • Auditorías de certificación
- 10. 3. Proceso de auditoría Auditorías Internas Se realizan a intervalos planeados para determinar si el SGCN: Cumple con los requisitos propios de la organización para GCN Cumple con los requisitos de ISO 22301 Se ha implementado y se mantiene eficazmente
- 11. 4. Auditorías de GCN vs Auditorías de SGCN • Ciclo de vida de GCN Fuente: BS 25999
- 12. 4. Auditorías de GCN vs Auditorías de SGCN Fuente: Secure Informa4on Technologies, 2014 Elementos de GCN Curso de capacitación Análisis de riesgos Análisis de Impacto al Negocio Estrategia de recuperación Planes de Con4nuidad Prueba Políticas
- 13. 4. Auditorías de GCN vs Auditorías de SGCN • Ciclo Deming del SGCN
- 14. Auditorías SGCN con ISO 22301 Proceso obligatorio Proceso obligatorio documentado Procedimiento obligatorio Procedimiento obligatorio documentado Información documentada (prác4ca común) Información documentada obligatoria Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción 14
- 15. 4. Auditorías de GCN vs Auditorías de SGCN Fuente: Secure Informa4on Technologies, 2014 Elementos que se auditan en un SGCN
- 16. Contexto de la organización Liderazgo Planeación Soporte Operación Evaluación del desempeño Mejora Requerimientos legales y regulatorios Análisis de partes interesadas Alcance Ape4to y criterios de riesgo Factores internos y externos de incer4dumbre Polí4ca de con4nuidad del negocio Compromiso de la dirección Roles, responsabilidades y autoridades Obje4vos de con4nuidad Análisis de recursos Evidencia de concien4zación Procedimientos de comunicación Control de documentos Análisis de Impacto al Negocio Análisis de riesgos Estrategia de con4nuidad Procedimientos de con4nuidad del negocio Ejercicios y pruebas Estructura de respuesta a incidentes Monitoreo, medición, análisis y evaluación Auditoría interna Revisión de la dirección Ges4ón de no conformidades Ges4ón de acciones correc4vas Mejora con4nua Contexto de la organización Requerimientos legales y regulatorios Exclusiones Ac4vidades, funciones, servicios, etc. Propósito del SGCN Aspectos internos y externos SGCN Evidencia de competencia Planeación y control operacional Requerimientos de recursos Tratamiento de riesgos Advertencia y comunicación Planes de con4nuidad del negocio Procedimientos de recuperación Reportes post-‐ ejercicio Monitoreo del desempeño Auditoría interna Auditoría interna Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción
- 17. 5. Deberes de los auditores de SGCN • Planear las auditorías • Uso de efectivo de los recursos de GCN • Ejecutar la auditoría • Habilidades para comunicarse con el liderargo en CN • Ser competentes en SGCN • Evalualuar la efectividad de SGCN • Prevenir y resolver los conflictos • Preparar y completar el informe de auditoría • Ser reservado con los hallazgos de auditoria • Generar las conclusiones de auditoría
- 18. 6. Responsabilidad de la Alta Dirección en las auditorías de SGCN • Garantizar la provisión de productos y servicios a sus partes interesadas. • Ser competentes en SGCN. • Provisionar los recursos de GCN. • Garantizar un SGCN alineado a sus objetivos estratégicos. • Establecer formalmente su compromiso, autoridad. • Definir su apetito de riesgo. • Revisiones de la GCN y prácticas de GCN • Empoderamiento de sus colaboradores. • Garantizar su cumplimiento legal y regulatorio.
- 19. Conclusiones y recomendaciones • Una auditoría de SGCN alineada a los objetivos estratégicos de la organización bajo el liderazgo estratrégico, desarrolla resiliencia organizacional. • No es lo mismo auditar GCN bajo un enfoque tradicional, a realizar auditorías en conformidad con un SGCN bajo los requisitos de una norma internacional como lo es la ISO 22301. • Un SGCN te permite permanecer en el mercado global y mantener la provisión de productos y servicios al nível mínimo de operación que definas en tu organización. • En la evolución del SGCN ahora nos dirigimos hacia la seguridad de las sociedades.
- 20. ¿Preguntas? Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo el enfoque de ISO 22301 Maricarmen García de Ureña, Director General Secure Information Technologies maricarmen.garcia@secureit.com.mx