Mario Ureña Cuate CISSP, CISA, CISM, CGEIT British Standards Institution Gerente de Riesgos / Instructor
Las mejores prácticas de continuidad del negocioBS25999, ISO22301, ISO27031, ISO24762
28 de Mayo de2012
Consideración para el lector:
Esta presentación ha sido preparada para acompañar la conferencia presentada por el autor en un tiempo y contexto específico. Es recomendable acompañar dicha presentación con la explicación correspondiente. En caso de considerar necesario, favor de contactar al autor a través de las opciones indicadas al final de la presentación.
¿Quiénes somos?…
BSI tiene más de 100 años de experiencia liderando el camino del desarrollo de normas para una gran variedad de operaciones de negocio, lo que nos convierte en un organismo líder proveedor de soluciones en capacitación, certificación y software para la normatividad.
Nuestro objetivo…Nuestro objetivo es crear soluciones integrales y programas de capacitación que mejoren el desempeño de su compañía y le permitan administrar eficientemente sus riesgos.
Lo que hacemos ...
• Establecer estándares • Proveer toda la información y entrenamiento sobre
estandarización • Apoyar a las organización mejorando la manera en
que operan con buenos procesos de gestión y soluciones empresariales
• Probar y verificar independientemente productos y servicios para asegurar que están al nivel requerido, en términos de la especificación de desempeño y seguridad
Estándares renombrados originados por BSI1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
DesempeñoCrear ventaja competitiva a través de la mejora en el desempeño
SustentabilidadCrear valor a través de prácticas sustentables
Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo
Continuidad del negocio
Relación entre estándares
Relación entre estándares
Retirado
Vigente
Próximamente
ISO 27031 Guías para la preparación de las tecnologías de información
y comunicaciones para la continuidad del negocio
Information and communication technology
readiness for business continuity (IRBC)
ISO 27031
• Eventos e incidentes de TIC que afecten la continuidad de las funciones críticas del negocio
• Permite la medición del desempeño • Se encuentra estrechamente vinculada con:
• Sistema de Gestión de Seguridad de la Información • Sistema de Gestión de Servicios de TI • Sistema de Gestión de Continuidad del Negocio
ISO 27031
ISO 27031
ISO 27031
De BS25999 a BS ISO 22301
BS25999-2 BS ISO 22301
Business continuity management – Part 2: Specification
Societal security – Business continuity management systems – Requirements
20 / Noviembre / 2007
15 / Mayo / 2012
Publicado por: British Standards Institution
Publicado por: International Organization for Standardization
Societal security?
Proveer protección a la sociedad de, y la habilidad de responder a, incidentes, emergencias y desastres
causados por actos humanos intencionales o no, desastres naturales, y
fallas técnicas.
Societal security - Technical Committee
Societal security - Technical Committee
Aplicabilidad de ISO 22301• Organizaciones de cualquier tipo y tamaño • Establecer, implementar, mantener y mejorar un SGCN • Asegurar conformidad con la política de continuidad del
negocio establecida • Demostrar conformidad a terceras partes • Buscan certificación / registro de su SGCN por una entidad
certificadora acreditada • Autodeterminación de conformidad con ISO 22301
Transición BS25999 a ISO 22301• ISO 22301 sustituye a BS 25999-2 • Fecha límite para certificaciones con BS 25999-2: Noviembre
2012 • Periodo de transición definido: 31 Mayo 2014 • Después de este periodo ningún certificado BS 25999-2 será
válido • Es posible realizar la transición antes de la siguiente visita de
evaluación continua
Adiciones en ISO 22301
Contexto de la organización (Context of the organization)
Explicación:
Ambiente en el que opera la organización
Adiciones en ISO 22301
Partes interesadas (Interested parties)
Explicación:
Sustituye a “Stakeholders”
Adiciones en ISO 22301
Liderazgo (Leadership)
Explicación:
Requerimientos específicos para
la alta gerencia
Adiciones en ISO 22301
MAO (Maximum Acceptable Outage)
Explicación:
Tiempo en el que impactos adversos se convierten en “inaceptables”
Adiciones en ISO 22301
MBCO (Minimum Business Continuity Objective)
Explicación:
Nivel mínimo de servicios y/o productos que es aceptable para la organización para lograr sus objetivos de negocio durante una interrupción
Adiciones en ISO 22301
Evaluación del desempeño (Performance evaluation)
Explicación:
Cubre la medición de la efectividad del SGCN y la GCN
Adiciones en ISO 22301
Periodos de tiempo priorizados (Prioritized timeframes)
Explicación:
Orden y tiempo de recuperación para actividades críticas
Adiciones en ISO 22301
Alerta y comunicación (Warning and communication)
Explicación:
Actividades a realizar durante un incidente
EstructuraBS 25999-2 1 - Alcance 2 - Términos y definiciones 3 - Planear el SGCN 4 - Implementar y operar el SGCN 5 - Monitorear y revisar el SGCN 6 - Mantener y mejorar el SGCN
ISO 22301 1 - Alcance 2 - Referencias normativas 3 - Términos y definiciones 4 - Contexto de la organización 5 - Liderazgo 6 - Planeación 7 - Soporte 8 - Operación 9 - Evaluación del desempeño 10 - Mejora
P D C A
ISO 22301• Cláusula 4 – Contexto de la organización • Consideración del contexto interno y externo • Necesidades, requerimientos y alcance • Apetito del riesgo, requerimientos legales y regulatorios • Igualmente importantes son las inclusiones / exclusiones • Comunicación clara del alcance a partes internas y
externas
ISO 22301• Cláusula 5 – Liderazgo • Resumen de los requerimientos específicos del rol de la
alta gerencia • Establecimiento de política • Nuevos requerimientos para demostrar compromiso • Designación de responsable del SGCN
ISO 22301• Cláusula 6 – Planeación • Establecer objetivos estratégicos • Determinar responsables para el cumplimiento de
objetivos • Determinar riesgos y oportunidades • Tareas a realizar y tiempos • Como se evaluarán los resultados
ISO 22301• Cláusula 7 – Soporte • No especifíca el requerimiento de análisis de
necesidades de entrenamiento • Mayor énfasis en concientización • Mayor énfasis en comunicación • Mas específico en requerimientos de control
documental, sin embargo, mas abierto en documentos mínimos
ISO 22301• Cláusula 8 – Operación • Requerimientos extendidos en estructura de respuesta a
incidentes • Planes de continuidad del negocio tienen menos
requerimientos que en BS 25999-2 • Recuperación como un requerimiento totalmente nuevo • No requiere un programa de ejercicios aprobado
ISO 22301• Cláusula 8 – Operación
Business Impact Analysis / Risk Assessment
Risk Assessment / Business Impact Analysis
ISO 22301
• Cláusula 8.2.1 – Nota
There are various methodologies for business impact analysis and risk
assessment which will determine the order in which these will be conducted.
ISO 22301• Cláusula 9 – Evaluación del desempeño • Monitoreo, medición, análisis y evaluación • Auditoría interna • Revisión de la gerencia • Comunicar los resultados de la revisión de la gerencia a partes
interesadas relevantes • Las entradas de las partes interesadas y los resultados de
programas de concientización y entrenamiento no se consideran como entradas de la revisión
ISO 22301 • Cláusula 10 – Mejora • Se combinan las cláusulas de acciones correctivas y
preventivas en una sola
Camino a la certificación
• Seleccionar estándar
• Establecer contacto con BSI
• Conocer al equipo de evaluación
• Considerar entrenamiento
• Revisión y evaluación
• Certificación
PwC
CONSULTAS
© The British Standards Institution 2012. All rights reserved. This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining
specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law,
PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to
act, in reliance on the information contained in this publication or for any decision based on it.
© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of
which is a separate legal entity. |
Mario Ureña Cuate CISSP, CISA, CISM, CGEIT
www.mariourenacuate.com
Twitter:
@mariourena
Slideshare: slideshare.net/mariourena