View
268
Download
4
Category
Preview:
Citation preview
Copyright © 2012 BSI. All rights reserved.
Conociendo BS ISO 22301, estándar internacional de continuidad del negocio
Presentado por: Maricarmen García de Ureña CBCP, Auditor Líder ISO 22301, ISO 27001
31/10/2013
2 Copyright © 2012 BSI. All rights reserved. Copyright © 2012 BSI. All rights reserved.
Agenda
•- Generalidades
•- Principales definiciones
•- Componentes del SGCN
•- Principales diferencias con BS 25999
•- Principales diferencias con otras mejores prácticas
•- Certificación
•- Siguientes pasos
31/10/2013
3 Copyright © 2012 BSI. All rights reserved.
Generalidades
• ¿Qué es ISO 22301?
• Provee los requerimientos para un Sistema de Gestión de la Continuidad del Negocio (BCMS)
• Basado en una BCM global de mejores prácticas
• Creado en respuesta al fuerte interés en la Norma Británica original, BS 25999-2 y otros estándares regionales
• BS 25999-2 texto original clave para su desarrollo
• Para aquellos certificados o alineados a BS 25999-2, los requerimientos adicionales no son onerosos
• Compatible con otros estándares y buenas prácticas
31/10/2013
4 Copyright © 2012 BSI. All rights reserved.
Generalidades
• BS ISO 22301:2012 - Societal security. Business continuity management systems. Requirements
• Puede ser utilizado por organizaciones:
• … de cualquier tamaño.
• … en el sector público y privado.
• … de manufactura o servicio.
• … en cualquier sector de la industria.
• Financiero
• Mercado de valores
• Telecomunicaciones
• Manufactura
• Entretenimiento
• Educación
• Hospitalario
• Retail
• Consultoría
• Entre otros.
31/10/2013
5 Copyright © 2012 BSI. All rights reserved.
Generalidades
• Comité técnico 223
• Alcance:
• (Provisional) Estandarización internacional en el área de seguridad social, orientada a incrementar la gestión de crisis y las capacidades de continuidad del negocio, por ejemplo, a través de interoperabilidad técnica, humana, organizacional y funcional, así como concientización situacional compartida, entre todas las partes interesadas.
• El comité utilizará un enfoque de “todos los riesgos” cubriendo todas las actividades necesarias en en las fases clave de la gestión de crisis y continuidad del negocio.
31/10/2013
6 Copyright © 2012 BSI. All rights reserved.
Generalidades
• Resiliencia en las organizaciones y en la sociedad.
• “En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management Survey, March 2012
31/10/2013
7 Copyright © 2012 BSI. All rights reserved.
Generalidades
• Beneficios de un Sistema de Gestión de Continuidad del Negocio:
• Continuidad en la provisión de productos y servicios fundamentales
• Cumplimiento regulatorio, legal y contractual
• Disminución en los costos de polizas de seguros
• Diferencia sobre competidores
• Cumplimiento con requisitos en licitaciones
• Participación en mercados internacionales
31/10/2013
8 Copyright © 2012 BSI. All rights reserved.
Generalidades – Adopción de BS 25999 por industria
31/10/2013
9 Copyright © 2012 BSI. All rights reserved.
Generalidades - Evolución
31/10/2013
10 Copyright © 2012 BSI. All rights reserved.
Generalidades – Estándares relacionados
31/10/2013
Retirado
Vigente
Próximamente
11 Copyright © 2012 BSI. All rights reserved.
Principales definiciones
• Actividad.- Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos y servicios.
• Continuidad del negocio.- Capacidad de una organización para continuar la entrega de productos o servicios en niveles aceptables predefinidos después de que ocurre un incidente de interrupción.
• Gestión de Continuidad del Negocio.- Proceso de gestión holístico que identifica amenazas potenciales para una organización y los impactos a las operaciones del negocio, que esas amenazas pudieras causar en caso de materializarse y que provee un marco de referencia para crear resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus principales partes interesadas, reputación, marca y actividades que generar valor.
• Sistema de Gestión de Continuidad del Negocio.- Parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
31/10/2013
Evento Organizado por:
12 Copyright © 2012 BSI. All rights reserved.
Principales definiciones
• Business Impact Analysis (BIA).- Análisis de Impacto al Negocio. Proceso de analizar actividades y el efecto que una interrupción puede tener sobre ellas.
• Evaluación de Riesgos.- Proceso general de identificación, análisis y evaluación de riesgos.
• Incidente.- Situación que puede ser o derivar en una interrupción, pérdida, emergencia o crisis.
• Pruebas.- Procedimiento para evaluar.
(En nuestro caso los arreglos de continuidad).
• Ejercicio.- Proceso para entrenar, evaluar, practicar,
y mejorar el desempeño de una organización.
31/10/2013
13 Copyright © 2012 BSI. All rights reserved.
Principales definiciones (Acrónimos)
• BCP.- Business Continuity Plan
• RTO.- Recovery Time Objective
• RPO.- Recovery Point Objective
• MTPD.- Maximum tolerable period of disruption
31/10/2013
14 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Como otros Sistemas de Gestión, tiene los siguientes componentes:
a) Política
b) Personas con responsabilidades definidas
c) Procesos de gestión relativos a:
1. Política
2. Planeación
3. Implementación y operación
4. Evaluación del desempeño
5. Revisión de la gerencia
6. Mejora
d) Documentación que provee evidencia auditable
e) Cualquier proceso de gestión de continuidad del negocio relevante para la organización
31/10/2013
15 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
31/10/2013
BS 25999 - 2
1 - Alcance
2 - Términos y definiciones
3 - Planear el SGCN
4 - Implementar y operar el SGCN
5 - Monitorear y revisar el SGCN
6 - Mantener y mejorar el SGCN
Evento Organizado por:
16 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
31/10/2013
BS 25999 - 2
1 - Alcance
2 - Términos y definiciones
3 - Planear el SGCN
4 - Implementar y operar el SGCN
5 - Monitorear y revisar el SGCN
6 - Mantener y mejorar el SGCN
P
D
C
A
17 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
31/10/2013
BS 25999 - 2
1 - Alcance
2 - Términos y definiciones
3 - Planear el SGCN
4 - Implementar y operar el SGCN
5 - Monitorear y revisar el SGCN
6 - Mantener y mejorar el SGCN
ISO 22301
1 - Alcance
2 - Referencias normativas
3 - Términos y definiciones
4 - Contexto de la organización
5 - Liderazgo
6 - Planeación
7 - Soporte
8 - Operación
9 - Evaluación del desempeño
10 - Mejora
P
D
C
A
Evento Organizado por:
18 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 4 – Contexto de la organización
• Consideración del contexto interno y externo
• Necesidades, requerimientos y alcance
• Apetito del riesgo, requerimientos legales y regulatorios
• Igualmente importantes son las inclusiones / exclusiones
• Comunicación clara del alcance a partes internas y externas
31/10/2013
19 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 5 – Liderazgo
• Resumen de los requerimientos específicos del rol de la alta gerencia
• Establecimiento de política
• Nuevos requerimientos para demostrar compromiso
• Designación de responsable del SGCN
31/10/2013
SGCN
20 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 6 – Planeación
• Establecer objetivos estratégicos
• Determinar responsables para el cumplimiento de objetivos
• Determinar riesgos y oportunidades
• Tareas a realizar y tiempos
• Como se evaluarán los resultados
31/10/2013
21 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 7 – Soporte
• No especifíca el requerimiento de análisis de necesidades de entrenamiento
• Mayor énfasis en concientización
• Mayor énfasis en comunicación
• Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos
31/10/2013
22 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 8 – Operación
• Requerimientos extendidos en estructura de respuesta a incidentes
• Planes de continuidad del negocio tienen menos requerimientos que en BS 25999-2
• Recuperación como un requerimiento totalmente nuevo
• No requiere un programa de ejercicios aprobado
31/10/2013
23 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 8.2.1 – Nota
• 22301 permite implementar BIA o Riesgos no importando el orden en que se lleven a cabo.
31/10/2013
Análisis de Impacto al Negocio
Evaluación de Riesgos
24 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 9 – Evaluación del desempeño
• Monitoreo, medición, análisis y evaluación
• Auditoría interna
• Revisión de la gerencia
• Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes
• Las entradas de las partes interesadas y los resultados de programas de concientización y entrenamiento no se consideran como entradas de la revisión
31/10/2013
25 Copyright © 2012 BSI. All rights reserved.
Componentes del SGCN
• Cláusula 10 – Mejora
• Se combinan las cláusulas de acciones correctivas y preventivas en una sola
31/10/2013
26 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Contexto de la organización (Context of the organization)
Explicación:
Ambiente en el que opera la organización
27 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Partes interesadas (Interested parties)
Explicación:
Sustituye a “Stakeholders”
28 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Liderazgo (Leadership)
Explicación:
Requerimientos específicos para la alta gerencia
Evento Organizado por:
29 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
MAO (Maximum Acceptable Outage)
Explicación:
Tiempo en el que impactos adversos se
convierten en “inaceptables”
Evento Organizado por:
30 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
MBCO (Minimum Business Continuity Objective)
Explicación:
Nivel mínimo de servicios y/o productos que
es aceptable para la organización para lograr
sus objetivos de negocio durante una
interrupción
31 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Evaluación del desempeño (Performance evaluation)
Explicación:
Cubre la medición de la efectividad del
SGCN y la GCN
Evento Organizado por:
32 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Periodos de tiempo priorizados (Prioritized timeframes)
Explicación:
Orden y tiempo de recuperación para
actividades críticas
33 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con BS 25999 - Adiciones
31/10/2013
Alerta y comunicación (Warning and communication)
Explicación:
Actividades a realizar durante un incidente
34 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con otras mejores prácticas:
31/10/2013
Fuente de imagen: Secure Information Technologies, 2013
27001
PAS56 BS25999-1
BCMS
Sistema de Gestión de
Continuidad del
Negocio
Buenas prácticas
BCM
27031
22301* * Antes BS 25999-2
35 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con otras mejores prácticas:
31/10/2013
Fuente de imagen: Secure Information Technologies, 2013
Ciclo de Vida de BCM
BCMS
Método tradicional Método con sistema de gestión
36 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con otras mejores prácticas:
31/10/2013 Fuente de imagen: Secure Information Technologies, 2013
Entregables tradicionales de BCM
Curso de capacitació
n
Análisis de riesgos
Análisis de Impacto al Negocio
Estrategia de
recuperación
BCP
Prueba
Políticas
37 Copyright © 2012 BSI. All rights reserved.
Principales diferencias con otras mejores prácticas:
31/10/2013 Fuente de imagen: Secure Information Technologies, 2013
Entregables tradicionales de BCM
Curso de capacitació
n
Análisis de riesgos
Análisis de Impacto al Negocio
Estrategia de
recuperación
BCP
Prueba
Políticas
Copyright © 2012 BSI. All rights reserved.
Documentos en el enfoque de Sistema de Gestión (BCMS)
Contexto de la
organización
Liderazgo Planeación Soporte
Operación
Evaluación del
desempeño
Mejora
Análisis de partes
interesadas
Alcance
Apetito y criterios de riesgo
Política de continuidad del negocio
Compromiso de la
dirección
Roles, responsabil-
idades y autoridades
Objetivos de
continuidad Análisis
de recursos
Concientización
Comunicación
Control de documentos
Análisis de Impacto al Negocio
Análisis de riesgos
Estrategia de
continuidad
Procedimientos de
continuidad
DRP IMP BCP
Programa de pruebas y ejercicios
Monitoreo, medición, análisis y evaluación
Auditoría interna
Revisión de la dirección
Gestión de no conformidades
Gestión de acciones
correctivas
Procedimiento de mejora continua
Fuente de imagen:
Secure Information Technologies, 2013
Copyright © 2012 BSI. All rights reserved.
Principales diferencias con otras mejores prácticas
Contexto de la
organización
Liderazgo Planeación Soporte
Operación
Evaluación del
desempeño
Mejora
Análisis de partes
interesadas
Alcance
Apetito y criterios de riesgo
Política de continuidad del negocio
Compromiso de la
dirección
Roles, responsabil-
idades y autoridades
Objetivos de
continuidad Análisis
de recursos
Concientización
Comunicación
Control de documentos
Análisis de Impacto al Negocio
Análisis de riesgos
Estrategia de
continuidad
Procedimientos de
continuidad
DRP IMP BCP
Programa de pruebas y ejercicios
Monitoreo, medición, análisis y evaluación
Auditoría interna
Revisión de la dirección
Gestión de no conformidades
Gestión de acciones
correctivas
Procedimiento de mejora continua
Fuente de imagen:
Secure Information Technologies, 2013
40 Copyright © 2012 BSI. All rights reserved.
Certificación
31/10/2013
Evento Organizado por:
41 Copyright © 2012 BSI. All rights reserved.
Certificación
31/10/2013
• Seleccionar estándar
• Establecer contacto con BSI
• Conocer al equipo de evaluación
• Considerar entrenamiento
• Revisión y evaluación
• Certificación
42 Copyright © 2012 BSI. All rights reserved.
Certificación
Transición de BS 25999 a ISO 22301
• ISO 22301 sustituye a BS 25999-2 • Fecha límite para certificaciones con BS 25999-2: Fue en noviembre del 2012 • Periodo de transición definido: 31 Mayo 2014 • Después de este periodo ningún certificado BS 25999-2 será válido • Es posible realizar la transición antes de la siguiente visita de evaluación continua
31/10/2013
43 Copyright © 2012 BSI. All rights reserved.
Siguientes pasos
• Estándar disponible en http://shop.bsigroup.com/
• Participe en nuestros cursos
• Introducción
• Transición
• Implementación
• Auditor Interno
• Auditor Líder
31/10/2013
Maricarmen García de Ureña
www.maricarmengarcia.com.mx
@besair
@besair
informacion.msmexico@bsigroup.com
Recommended