7/21/2019 Implementador Lider ISO 22301.pptx
1/464
Implementador Lder
Certificado en la ISO 22301
7/21/2019 Implementador Lider ISO 22301.pptx
2/464
Agenda de la Semana
Introduccin a la norma ISO 22301 y el inicio
De un SGCN
Planificar la implementacin del SGCN
Despliegue del SGCN
Monitoreo del SGCN, mejora contina y
Preparacin para la auditora de certificacin
Examen final
7/21/2019 Implementador Lider ISO 22301.pptx
3/464
Capacitacin del Implementador LderCertificado en la norma ISO 22301
Seccin 2
Estndar y marco normativo
a. Qu es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestin
d. Sistema de gestin integrado
e. Normas de Continuidad delNegocio
f. ISO 22301 e ISO 27001g. Ventajas de la ISO 22301
7/21/2019 Implementador Lider ISO 22301.pptx
4/464
Qu es ISO?
ISO es una red de organismos nacionales de estandarizacin de msde 160 pases
Los resultados finales de los trabajos realizados por ISO son
publicados como normas internacionales
Se han publicado ms de 19000 normas desde 1947
7/21/2019 Implementador Lider ISO 22301.pptx
5/464
Principios BsicosNormas ISO
1. 1. Representacin igualitaria: 1 voto por pas
2. Adhesin voluntaria: ISO no tiene la autoridad
para forzar la adopcin de sus normas
3. Orientacin al negocio: ISO slo desarrolla normas para
existe demanda del mercado
a 4. Enfoque de consenso: busca un amplio consenso entre las
distintas partes interesadas
5. Cooperacin internacional: ms de 160 pases adems de
organismos de enlace
PRINCIPIOS
Bsicos de
las Normas
ISO
7/21/2019 Implementador Lider ISO 22301.pptx
6/464
Los Ocho Principios de Gestin de la ISO
7/21/2019 Implementador Lider ISO 22301.pptx
7/464
Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estarcertificada
ISO 9001Calidad
ISO 14001Medioambiente
OHSAS 18001
Salud ySeguridad en
el trabajo
ISO 20000Servicios
de TI
ISO 22000
SanidadAlimentaria
ISO 22301
Continuidaddel Negocio
ISO 27001Seguridad de la
Informacin
ISO 28000Seguridad de
la Cadena deSuministro
7/21/2019 Implementador Lider ISO 22301.pptx
8/464
Sistema de Gestin Integrado
Estructura tpica de las normas ISO
RequisitosISO
9001:2008ISO
14001:2004ISO
20000:2011ISO
22301:2012ISO
27001:2005
Objetivos del sistema degestin
5.4.1 4.3.3 4.5.2 6.2 4.2.1
Poltica del sistemade gestin
5.3 4.2 4.1.2 5.3 4.2.1
Compromiso de laDireccin
5.1 4.4.1 4.1 5.2 5
Requisitos deDocumentacin
4.2 4.4 4.3 7.5 4.3
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisin por laDireccin
5.6 4.6 4.5.4.3 9.3 7
7/21/2019 Implementador Lider ISO 22301.pptx
9/464
ISO 22301
Especifica los requisitos de gestin de unSGCN
Los requisitos (clusulas) son escritosutilizando el verbo debern en imperativo
Integrar el modelo PDCA (PLAN, DO,CHECK Y Act)
Auditable La organizacin puede ser certificada en
estanorma
INTERNATIONAL ISO
STANDARD 22301
_______________________________________________
Societal security- Business continuity
Management Systems Requirements
_________________________________________________
7/21/2019 Implementador Lider ISO 22301.pptx
10/464
ISO 22301
Contenido
Seccin 1 mbito de aplicacin
Seccin 2 Referencias normativas
Seccin 3 Trminos y definiciones
Seccin 4 Contexto de la organizacin
Seccin 5 Liderazgo
Seccin 6 Planificacin
Seccin 7 Apoyo
Seccin 8 FuncionamientoSeccin 9 Evaluacin del desempeo
Seccin 10 Mejora
7/21/2019 Implementador Lider ISO 22301.pptx
11/464
ISO 22313
Gua para el cdigo de buenas prcticaspara implementar, mejorar un Sistema deGestin de la Continuidad de los Negocios(Documento de referencia).
Clusula escrita utilizando el verbo deberaa fin de proporcionar orientacin en materiade aplicacin.
La organizacin no puede ser certificada en
esta norma
INTERNATIONAL ISO
STANDARD 22313
_______________________________________________
Societal security-Business continuit
Management Systems Gidance
_________________________________________________
7/21/2019 Implementador Lider ISO 22301.pptx
12/464
Historia de la norma ISO 22301
19882013
2012
Creacin del DRIInternacional conocido
originalmente comoDisaster Recovery
Institute (Instituto deRecuperacin ante
Desastres)en los EEUU
1984
2002
2003
2006
2007
1988
2013
Creacin delBusinessContinuityInstitute
(BCI) en elReino Unido
BCI publicaGuas deBuenas
Prcticas de laGCN
Publicacin dePAS 56
Publicacinde la
norma BS25999-1
Publicacin de lanorma
BS25999-2
ISO publicla primeraversin dela norma
ISO 22301
ISO publica laprimera versinde la norma ISO
22313
7/21/2019 Implementador Lider ISO 22301.pptx
13/464
Otras Normas sobre Continuidad del Negocio
Ejemplos
7/21/2019 Implementador Lider ISO 22301.pptx
14/464
El Contenido y la Relacin entre ISO22301 e ISO 27001
ISO 27001, A. 14: Gestin de Continuidad del Negocio
A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales
crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su
reanudacin oportuna
A.14.1.1Incluir seguridad de l
Informacin en el proceso de
Gestin de la continuidaddel negocio
Control
Se debe desarrollar y mantener un proceso gerencial para la continuidad del
negocio a travs de toda la organizacin para tratar los requerimientos de
seguridad de la informacin necesarios para la continuidad comercial de laorganizacin.
A.14.1.2 Continuidad del negocio yevaluacin del riesgo
Control
Se deben identificar los eventos que causan interrupciones en los procesos de
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la informacin.
A.14.1.3 Desarrollo e implementarPlanes de continuidad
Incluyendo seguridad de lainformacin
Control
Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y
asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de
tiempo requeridas despus de la interrupcin o falta en los procesos de negocios
crticos.
A.14.1.4 Marco referencial para laPlaneacin de la continuidad
Del negocio
Control
Se debe mantener un solo marco referencial del plan de continuidad de negocio para
asegurar que todos los planes sean consistentes y para tratar consistentemente los
requerimientos de la seguridad de la informacin e identificar las prioridades de
pruebas y mantenimiento.
A.14.4.5 Prueba mantenimiento y re-Evaluacin de planes de
continuidadDe negocio
Control
Los planes de continuidad de negocio se deben probar y actualizar regularmente para
asegurar que estn actualizados y sean efectivos.
ISO 22301Requisitos
Continuidad del negocio4.4 sistema de gestin
8.2 AIN y la Evaluacin delos riesgo
8.4 Procedimientos de lacontinuidad del negocio
6Planificacin del SGCN
8.5 Ejercicio y pruebas
7/21/2019 Implementador Lider ISO 22301.pptx
15/464
Ejercicio 1
Mitos y Realidades
Continuidad del Negocio
7/21/2019 Implementador Lider ISO 22301.pptx
16/464
Continuidad del Negocio
Ventajas
Mejorcomprensin dela organizacin
Mantenimiento delas actividadesesenciales de la
organizacin
Proteccin delas personas
Previsible yeficaz respuesta
a las crisis
Reduccin decostos:
Proteccin delareputacin y la
marca
Respeto de laspartes
interesadas
Cumplimientode normativas
El cumplimientode los requisitos
legales
Ventajacompetitiva
Confianza delos clientes
Cumplimientode los
contratos
7/21/2019 Implementador Lider ISO 22301.pptx
17/464
Capacitacin del Implementador LderCertificado en la norma ISO 22301
a. Definicin de un SGCN
b. Enfoque en los procesos
c. Visin generalClusulas 4 a 10d. Los componentes claves de un SGCN
Seccin 3Sistema de Gestin de la Continuidad del Negocio (SGCN)
7/21/2019 Implementador Lider ISO 22301.pptx
18/464
Qu es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratgico y tctico de ajuste a los objetivos que:
Mejora la organizacin pro activa de resistencia contra la interrupcin de sucapacidad de lograr sus objetivos clave1
Proporciona un mtodo ensayado para restaurar la capacidad de unaorganizacin para garantizar el suministro de sus productos y servicios clave
despus de una interrupcin
Proporciona una capacidad demostrada para gestionar una interrupcin delnegocio y proteger la reputacin de la organizacin y de la marca
2
3
7/21/2019 Implementador Lider ISO 22301.pptx
19/464
Gestin de Continuidad del Negocio
ISO 22301, clusula 3.4:
Proceso de gestin holstico que identifica amenazas potenciales para laorganizacin as como el impacto en las operaciones del negocio quedichas amenazas, en caso de materializarse, puedan causar, y queproporciona un marco para aumentar la capacidad de resistencia oresilencia de la organizacin para dar respuesta eficaz que salvaguardelos intereses de sus principales partes interesadas, la reputacin, lamarca y las actividades de creacin de valor
Nota: El sistema de gestin incluye la estructura, las polticas, lasactividades de planificacin, las responsabilidades,
Las prcticas, los procedimientos,Los procesos y los recursos de la organizacin
7/21/2019 Implementador Lider ISO 22301.pptx
20/464
Los componentes claves de un SGCN
ISO 22301, Introduccin
Un SGCN, a igual que cualquier otro sistema de gestin,tiene los siguientes Componentes fundamentales :
1. Una poltica2. Personas con responsabilidades definidas;3. Procesos de gestin asociados con:
- Poltica- Planificacin- Implementacin y operacin- Evaluacin del rendimiento- Revisin por la Direccin- Mejora
4. Documentacin que provea pruebasauditables
5. Cualquier proceso de gestin de lacontinuidad del negocio pertinente a laorganizacin
7/21/2019 Implementador Lider ISO 22301.pptx
21/464
El ciclo PlanificarHacerVerificarActuar (PHVA)
ISO 22301, Introduccin
PartesInteresadas
Requerimientosexpectativas
de laContinuidad del
Negocio
PartesInteresadas
Continuidad delNegocio
Gestionada
Planificar
Actuar Hacer
Verificar
Establecer un
SGCN
Mantener y
Mejorar el SGCN
Implementar
El SGCN
Supervisar yRevisar el SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
22/464
Requisitos generales
ISO 22301
En resumenLa organizacin deber establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimiento
de laorganizacin
y su entorno
2. Determinar
lasnecesidades y
requisitos
3. Implementar y
Administrar un
SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
23/464
Contexto de la organizacin
ISO 22301, clusula 4
Conocimiento de laOrganizacin y su
entorno
Comprensin de las
Necesidades y
Expectativas de las
Partes interesadas
Determinar elAlcance del SGCN
Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones,
cadenas de suministro, las relaciones con las partes interesadas.
Los vnculos entre la poltica de continuidad del negocio y los objetivos de la
organizacin y otras polticas
El apetito de la organizacin por el riesgo
Las necesidades de las partes interesadas que son pertinentes para el SGCN
Los requisitos de estas partes interesadas
Requisitos jurdicos y normativos
La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su
alcance
A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones
internas y externas y los requisitos
7/21/2019 Implementador Lider ISO 22301.pptx
24/464
Liderazgo y Compromiso de la Direccin
ISO 22301, clusula 5.1 y 5.2
Orientacin estratgica
Asegurarse de que el SGCN es compatible con laorientacin estratgica de la organizacin
Integrar los requisitos del SGCN en los procesos denegocio de una organizacin
Hacer que los recursos estndisponibles
La Direccin deber determinar y proporcionar los
Recursos necesarios para el SGCN
Direccin deber comunicar la importancia de unabuena Gestin de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Comunicacin
7/21/2019 Implementador Lider ISO 22301.pptx
25/464
Poltica de Continuidad del Negocio
ISO 22301, clusula 5.3:
La alta direccin debe establecer una poltica de continuidad delnegocio que:
- Sea apropiada para los fines de la organizacin
- Proporcione un marco para establecer objetivos de continuidad del negocio- Incluya un compromiso de cumplir los requisitos aplicables- Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber:
- Estar disponible como informacin documentada- Ser comunicada dentro de todas las partes interesadas, segn corresponda- Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
reduzcan cambios significativos
7/21/2019 Implementador Lider ISO 22301.pptx
26/464
Funciones, Responsabilidades y Autoridades
ISO 22301, clusula 5.4:
La alta direccin deber asegurarse de que las responsabilidades yautoridades para funciones pertinentes sean asignadas y comunicadasdentro de la organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para:
-Garantizar que el sistema de gestin
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.-Informar sobre la eficacia de la
gestin a la alta direccin.
7/21/2019 Implementador Lider ISO 22301.pptx
27/464
Los Objetivos y los Planes para Alcanzarlos
ISO 22301, clusula 6.2:
La alta direccin deber asegurarse de que los objetivos decontinuidad del negocio son establecidos y comunicados para lasfunciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern:a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que seaaceptable para la organizacin para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicablese) Ser monitoreados y actualizados segn proceda
7/21/2019 Implementador Lider ISO 22301.pptx
28/464
Apoyo
ISO 22301, clusula 7:
La organizacindeber determinar yproporcionar losrecurso necesariospara el SGCN
Las personas que realizanTrabajo en el marco delControl de a organizacinDebern ser conscientesDe la poltica de la CN,Sus funciones en el SGCNY los requisitos para la
organizacin
El SGCN de laOrganizacin deberIncluir informacinDocumentada requeridaPor la ISO 22301 yRegistros parademostrar
La eficacia del SGCN
Recursos Competencia DocumentacinComunicacinSensibilizacin
La organizacinDeber asegurarTener personasCompetentespara realizar lastareasrelacionadas conel SGCN
La organizacin deberEstablecer, implementary mantener mecanismosDe comunicacin conlas partes interesadasinternas y externas
7/21/2019 Implementador Lider ISO 22301.pptx
29/464
Informacin documentada
ISO 22301, clusula 7.5:
1. Creacin
2. Identificacin3. Clasificacin
y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
7/21/2019 Implementador Lider ISO 22301.pptx
30/464
Anlisis del impacto en el Negocio y Evaluacin de los Riesgos
ISO 22301, clusula 3.50 y 8.2
Proceso deanlisis de lasfunciones delnegocio y delefecto que unainterrupcin delnegocio podratener sobredichas funciones
Anlisis deImpacto en el
Negocio
Evaluacinde riesgo
Proceso generalde identificacin,
Anlisis yEvaluacin deriesgos
7/21/2019 Implementador Lider ISO 22301.pptx
31/464
Estrategia de Continuidad del Negocio
ISO 22301, clusula 8.3
La organizacin deber determinar las opciones apropiadas de continuidadpara:
A) Proteger las actividades
prioritarias
B) Estabilizar, continuar,reanudar y recuperar
actividades prioritarias
C) Mitigar, responder a losimpactos y gestionarlos
7/21/2019 Implementador Lider ISO 22301.pptx
32/464
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, CLUSULA 8.4.1
La organiza deber documentar los procedimientos (incluyendo arreglosnecesarios) para garantizar la continuidad de las actividades y la gestin d deun incidente perjudicial
Generalidades
La organizacin deberestablecer, implementar ymantener procedimientos decontinuidad del negocio paragestionar un incidente
perjudicial y continuar susactividades sobre la base deobjetivos de recuperacinidentificados en el anlisisdel impacto en el negocio
7/21/2019 Implementador Lider ISO 22301.pptx
33/464
Ejercicios y Pruebas
ISO 22301, clusula 8.5
La organizacindeber ejercitar y
Probar susProcedimientos deContinuidad delnegocio paragarantizar que sonCoherentes con susObjetivos de
Continuidad delnegocio
7/21/2019 Implementador Lider ISO 22301.pptx
34/464
Evaluacin del desempeo
ISO 22301, clusula 9
6. Revisin de la gestiny actualizacin de losplanes de continuidad delNegocio y de losProcedimientos.
3. Medicin de la eficaciade los procedimientos
5. Realizacin de las auditoriasinternas.
2. Revisin peridica de la eficaciadel SGCN teniendo en cuenta lasproposiciones y sugerencias de losinteresados.
1. Revisin del ejercicio y laprueba de los procedimientosde continuidad, despus de losinformes sobre incidentes.
4. Revisin de las evaluacionesDe riesgo y del AIN.
Monitoreoy revisindel SGCN
Nota: Cada una de estas acciones debe ser documentada y registrada.
7/21/2019 Implementador Lider ISO 22301.pptx
35/464
Mejora
ISO 22301, clusula 10
La organizacin deber mejorar continuamente la conveniencia, adecuaday eficacia del SGCN.
La organizacin puede utilizar los procesos de SGCN como el liderazgo, la
planificacin y la evaluacin del desempeo, para lograr la mejora.
7/21/2019 Implementador Lider ISO 22301.pptx
36/464
Capacitacin Implementador Lder Certificado en la norma ISO 22 301
Seccin 4Principios fundamentales de la continuidad del negocio
a. Continuidad de negocio y recuperacin de desastres
b. Evento: de un incidente a una emergencia
c. Organizacin y actividades prioritarias
d. Procesos y recursos
e. Probabilidad, consecuencia e Impacto
f. Interesados (partes interesadas)
g. Resiliencia
7/21/2019 Implementador Lider ISO 22301.pptx
37/464
Continuidad del Negocio y Recuperacin ante Desastres
Diferencias
Continuidad del NegocioRecuperacin ante
desastres
Asegurar que el negocioPueda continuar durante
Una emergencia
Los Objetivos son:
En primer lugar, el capitalHumano de la empresa
Entrega de productos oprestacin de servicios a losclientes de la empresa
Funciones crticas dl negocioen la empresa
Recuperar la tecnologaLo ms rpidamenteposible.
Se incluyen:Los Datos, el hardware y elsoftware necesarios parareanudar las operacionesCrticas de la empresa
Un plan de recuperacinante desastres (DRP) tambinincluye la elaboracin deplanes parahacer frente a la inesperadao repentina prdida de personalclave
En u PCN, es uno de losaspectos del plan
7/21/2019 Implementador Lider ISO 22301.pptx
38/464
Participacin de todos los elementos de la organizacin
La Gestin de Continuidad del Negocio
Est en relacin con:
GEST
INDERIESGO
S
EGURIDAD
GEST
INDECALIDAD
GEST
INDELMEDIO
AMBIENTE
ADMINISTRACINDE
LASINSTALACIONES
GESTINANTE
UNA
EMERGENCIA
RECU
PERACINDETI
ANTEDESASTRE
GESTIN
DELACADENAD
E
S
UMINISTRO
COMUNICACIONES&
RRPP
SALU
DYSEGURIDAD
GESTINDECRISIS
RECU
RSOSHUMANOS
7/21/2019 Implementador Lider ISO 22301.pptx
39/464
Evento: de incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399Evento
(ISO 22301, 3.17)
Incidente(ISO 22301, 3.19)
Interrupcin(ISO 22399. 3.4
Crisis(USO 22399, 3.3)
Desastre(ISO 22300, 2.
Emergencia (ISO22399, 3.6)
Ocurrencia de un conjunto particular de circunstancias.
Incidente, ya sea previsto (p. ej., un huracn) o imprevisto (por naturales,que requieren de atencin urgente y de medidas para proteger la vida,los bienes o el medio ambiente.
Situacin en la que se han producido amplias prdidas humanas,materiales, econmicas o ambientales que superaron la capacidad de laorganizacin, la comunidad y la sociedad afectadas para responder yrecuperarse utilizando sus propios recursos.
Cualquier incidente(s), causado por los humanos o causas naturales,que requieren de atencin urgente y de medidas para proteger la vida,los bienes o el medio ambiente.
Suceso o evento repentino, urgente, generalmente inesperado que requiere accin inmediata.
Evento que pudiera constituir o pudiera redundar en una interrupcindel negocio, en una prdida, emergencia o crisis.
7/21/2019 Implementador Lider ISO 22301.pptx
40/464
7/21/2019 Implementador Lider ISO 22301.pptx
41/464
Proceso
ISO 22301, clusula 3.40
Conjunto de actividades mutuamente relacionadas o que interactan, que
transforman elementos de entrada en resultados.
Entrada Actividades Salida
7/21/2019 Implementador Lider ISO 22301.pptx
42/464
Recurso
ISO 22301, CLUSULA 3.47
Recursos
Todos los archivos, personal,habilidades, informacin,tecnologa (incluyendo maqui-naria y equipos), locales, ysuministros e informacin (yasea electrnica o no) que unaorganizacin debe tener dispo-nibles para uso, cuando seanecesario, para operar y
cumplir sus objetivos.
Las Personas
Locales Tecnologas Suministros
Activos Informacin
7/21/2019 Implementador Lider ISO 22301.pptx
43/464
Riesgo
ISO 22301Riesgo (3.48)
Efecto de incertidumbre sobre los objetivos
Apetito por el riesgo (3,49)
Evaluacin de Riesgo (3.50)
Gestin del riesgo (3.51)
Cantidad de riesgo que una organizacin estDispuesta a conseguir o conservar
Proceso general de identificacin, anlisis y
Evaluacin de riesgos.
Actividades coordinadas para dirigir y controlarUna organizacin con respecto al riesgo K
S
I
R
7/21/2019 Implementador Lider ISO 22301.pptx
44/464
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad (3.28)
Grado al que es probable que se produzcaun evento
Impacto (3.10)
Consecuencia (3.2)
Consecuencia evaluada de un resultado enparticular
Resultado de un evento
7/21/2019 Implementador Lider ISO 22301.pptx
45/464
Parte interesada (interesados)
ISO 22301, CLUSULA 3.21:
Persona u organizacin que puede afectar, pueden verse afectados por,
o se consideran afectados por una decisin o actividad
ProveedoresInstituciones
financieras
Regulador Pblico
Grupos
Interesados
Clientes
Medios Accionistas
Consejo de
Administracin
Equipo de
Gestin
Empleados Sindicatos
Organizacin
7/21/2019 Implementador Lider ISO 22301.pptx
46/464
Resilencia
ISO 22300, clusula 2.1.17
Resilencia
Capacidad de adaptacinde una organizacin en unambiente complejo ycambiante
7/21/2019 Implementador Lider ISO 22301.pptx
47/464
Capacitacin Implementador Lder Certificado en la norma ISO 22301
Seccin 5
Iniciando la implementacin del SGCN
a. Enfoque para la implementacin del SGCN
b. Metodologa de implementacin del SGCN
c. Alimentacin con las mejores prcticas
7/21/2019 Implementador Lider ISO 22301.pptx
48/464
Requisitos
ISO 22301, clusula 5.4:
5.4 Funciones organizativas, responsabilidades y autoridades
La alta gerencia deber asigna la responsabilidad y autoridad para :
Garantizar que el sistema de gestin se establece y ejecuta enconformidad con los requisitos de esta Norma Internacional
7/21/2019 Implementador Lider ISO 22301.pptx
49/464
1.1. Iniciando la Implementacin del SGCN
Lista de actividades
Intencin de
Implementar
un SGCN
1.1.1 Definicin
del enfoque para
la implementacin
1.1.2. Seleccin de
un marco
metodolgico
1.1.3. Alineacin
Con las mejores
Prcticas
1.2. Comprensin
De la organizacin
7/21/2019 Implementador Lider ISO 22301.pptx
50/464
1.1.1. Definicin del Enfoque de Aplicacin del SGCN
Posibles Enfoques
2. Nivel de madurez delos Procesos en uso
1. Velocidad deimplementacin
3. Expectativasy alcance
7/21/2019 Implementador Lider ISO 22301.pptx
51/464
Enfoque Propuesto
Directrices1. Enfoque del negocio
Se integra en el contexto delas actividades comercialesa travs de la organizacin 2. Enfoque de sistemas
La aplicacin general del
proceso de SGCN, nomediante al aislamiento delos procesos
3. Enfoque Sistemtico
Aplicar las mejoresprcticas en gestin deproyectos
4. Enfoque Integrado
Integracin del SGCN o armonizarlocon los dems requisitos de la
organizacin
5. Mtodo iterativo
La rpidaImplementacin delSGCN respetando loRequisitos mnimos yCambiar a mejoraContinua a partir deentonces
Directrices
7/21/2019 Implementador Lider ISO 22301.pptx
52/464
Las Directrices de Aplicacin
Recomendaciones
1. Evitar la integracin de nuevas tecnologas2. Integrar el DGCN en los procesos existentes3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organizacin5. Obtener el apoyo de la Direccin6. Identificar y formalmente nombrar a un Director del proyecto del
SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
53/464
1.1.2. Elegir un Marco Metodolgico para Gestionar el Proyecto deImplementacin del SGCN
1. Planificar2. Hacer 3. Verificar 4. Actuar
1.1. Inicio delSGCN
2.3 Estrategia deContinuidad delNegocio
2.2 Evaluacindel negocio
2.1 Anlisis del
Impacto al Negocio(AIN)
3.3 Revisinpor la Direccin
3.2 Auditora interna
3.1 Seguimiento,medicin, anlisis yevaluacin
4.1 No conformidadesy accin correctiva
4.2 Mejora continua
1.8 Informacindocumentada
1.9 Competencia &sensibilizacin
2.7 Ejercicio ypruebas
2.6 Comunicacin
2.5 plan yprocedimientos de lacontinuidad del negocio
2.4 Medidas dePresentacin &Mitigacin
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.7 Estructurade la organizacin
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
M t d l d I l t i I t d l Si t d
7/21/2019 Implementador Lider ISO 22301.pptx
54/464
Metodologa de Implementacin Integrada para los Sistemas deGestin y las Normas (IMS)
Metodologa de PECB para la aplicacin del SGCN
ProyectoDel
SGCN
Hacer
Planificar
Verificar
Actuar
4 FASES 21 Pasos 101 actividades Tareas sin definir
7/21/2019 Implementador Lider ISO 22301.pptx
55/464
Enfoque y Metodologa
Basado en las mejores prcticas
ISO 10006Directrices para la gestin de
calidad en proyectos
PMBOKConjunto de Conocimientosde la gestin de Proyectos(PMBOK en idioma ingls
22313Orientacin para la
Implementacin del sistemade gestin de
Continuidad del Negocio
7/21/2019 Implementador Lider ISO 22301.pptx
56/464
1.1.3. Alineacin con las Mejores Prcticas
Uso de las normas ISO
ISO 27031
ISO 22301
ISO 22313
ISO 24762
ISO 27001
7/21/2019 Implementador Lider ISO 22301.pptx
57/464
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto deSGCN
7/21/2019 Implementador Lider ISO 22301.pptx
58/464
Capacitacin Implementador Lder Certificado en la norma ISO 22301
Seccin 6
Comprensin de la organizacin
a. Comprensin de la organizacin
b. Identificacin y anlisis de las partes interesadas
c. Identificacin y anlisis de los requisitos y expectativasd. Definicin preliminar del alcance
7/21/2019 Implementador Lider ISO 22301.pptx
59/464
1.2. Comprensin de la organizacin
1. Planificar
1.1. Inicio delSGCN
2.3 Estrategia deContinuidad delNegocio
2.2 Evaluacindel negocio
2.1 Anlisis del
Impacto al Negocio(AIN)
3.3 Revisinpor la Direccin
3.2 Auditorainterna
3.1 Seguimiento,medicin, anlisis y
evaluacin
4.1 Noconformidades
y accin correctiva
4.2 Mejoracontinua
1.8 Informacindocumentada
1.9 Competencia &sensibilizacin
2.7 Ejercicio ypruebas
2.6 Comunicacin
2.5 plan yprocedimientos de lacontinuidad del negocio
2.4 Medidas dePresentacin &Mitigacin
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.7 Estructurade la organizacin
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
2. Hacer 3. Verificar 4. Actuar
7/21/2019 Implementador Lider ISO 22301.pptx
60/464
7/21/2019 Implementador Lider ISO 22301.pptx
61/464
1.2. Comprensin de la organizacin
Lista de actividades
1.1 Iniciar elSGCN
1.2.1 Misinobjetivos, valores
estrategias
1.2.2 Entornoexterno
1.2.3 Entornointerno
1.2.5 Infraestructura1.2.6 Partesinteresadas
1.2.7 Requisitosdel negocio
1.2.9 AlcancePreliminar
1.2.8 Apetito porel riesgo y
criterios de riesgo
1.2.4 proceso yactividades
1.4 Alcance1.3 Anlisisde brechas
1.2 Comprensin de laorganizacin
7/21/2019 Implementador Lider ISO 22301.pptx
62/464
1.2.1. Comprensin de la Misin, Objetivos, Valores y Estrategias
Misin
ValoresLosobjetivosDe
Continuidaddel Negocio
EstratgicoAlineamiento
Estrategias
Objetivos
Polticas CorporativasPolticas de Continuidad
del Negocio
7/21/2019 Implementador Lider ISO 22301.pptx
63/464
1.2.2. Anlisis del Ambiente Externo
Consejos Prcticos
La ISO 22301 no ofreceenfoques prcticos paraanalizar el contexto de unaorganizacin
Existen varias metodologaspara entender cmofunciona una organizacin
Lo importante es identificarlas caractersticas de los
factores ambientales internosy externos que influyen en lagestin de la continuidad delnegocio: misin, actividadesprincipales, organizacininterna, partes interesadas, ttc.
Fortalezas Debilidades
Oportunidades Amenazas
7/21/2019 Implementador Lider ISO 22301.pptx
64/464
1.2.3. Anlisis del Entorno Interno
Estructura organizativa y actores claves
Comprender la estructura y losprincipales actores de laorganizacin relacionados con
el mbito de aplicacin en losplanos:
Estratgico (Quinestablece las orientacionesestratgicas?)
Gobierno (Quincoordina y gestiona lasoperaciones?)
Operacional (Quinparticipa en las actividades deproduccin y apoyo?)
7/21/2019 Implementador Lider ISO 22301.pptx
65/464
7/21/2019 Implementador Lider ISO 22301.pptx
66/464
1.2.5. Identificacin de la Infraestructura
ISO 22301, clusula 3.20Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organizacin
Categora
(Ejemplo)
Ejemplos
Sitios Oficinas, centro de datos, residenciad e los empleados, reas seguras,Sitio de fabricacin, etc.
Utilidades Electricidad, gas, aire acondicionado, control de humedad, etc.
Equipo industrial Almacenamiento y manejo de equipos, cintas transportadoras, robotsindustriales,
Servicio Contabilidad, recursos humanos, compras, logstica, etc.
Transporte Camiones, automviles, barcazas, ferrocarriles, transporte pblico, etc.
telecomunicaciones Telfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnologa de la
informacin
Servidor, ordenador porttil, red, sistema operativo, software decontabilidad, etc.
7/21/2019 Implementador Lider ISO 22301.pptx
67/464
1.2.6. Identificacin y Anlisis de las Partes Interesadas
Anlisis de sus necesidades y expectativas
1. Identificar lasNecesidades yexpectativas
Identificar las necesidadesy expectativas de todas laspartes interesadas
Las necesidades yexpectativas puedes serimplcitas o explcitas
Ejemplo: la tasa de
disponibilidad del serviciodel 99,5%
3. Identificar roles yresponsabilidades
2. Validar lasnecesidades y
expectativa
Analizar las necesidades deseguridad y confirmar siresponde a laspreocupaciones de laorganizacin en este momento
Se puede hacer mediante el
envo de un cuestionario,realizando entrevistas o facilitargrupos de enfoque
Definir lo que se espera de lasdiferentes partes interesadasen el proyecto: las f unciones,las responsabilidades y losniveles de participacin que senecesita
Establecer un consenso conellos durante la etapa deplanificacin de suparticipacin
7/21/2019 Implementador Lider ISO 22301.pptx
68/464
Partes Interesadas
Influencia positiva y negativa
Partes interesadas negativas
Por estas, el SGCN podra tener un impacto negativo
Ejemplo: un departamento de recursos humanosinvolucrado en la implementacin del SGCNsufrir una pesada carga con la documentacinde los expedientes de los empleados
Partes interesadas negativas
Los que se beneficiaran del SGCN
Ejemplo: los clientes de una empresa deservicios de TI
Nota importante: Las partes interesadas negativas a menudo ponen su inters en primer lugar al momentode evaluar el riesgo que pudieran experimentar debido a la aplicacin del SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
69/464
1.2.7. Identificacin y Anlisis de los Requisitos del Negocio
Legal yRegulatorio
Todas las leyes yreglamentos con los
debe cumplir laorganizacin
EstndaresLas normas internacionales
Y cdigos de prcticasrelacionados con el sector,que son voluntariamente
Implementados por laorganizacin
Mercado
Todas las obligacionescontractuales que la
organizacin ha firmadocon sus partes
interesadas
Polticas Internas
Todos los requisitosdentro de la organizacin:
las polticas internas, elcdigo de tica, normas de
trabajo, etc.
Externos
Obligatorios Voluntarios
Internos
7/21/2019 Implementador Lider ISO 22301.pptx
70/464
Cumplimiento de los Requisitos Legales
La organizacin debe cumplir con
las leyes y reglamentos aplicables
En la mayora de los pases, la
aplicacin de una norma ISO es una
decisin voluntaria de la organizacin,
no una condicin jurdica
Las organizaciones que operan en
varios lugares a menudo tienen que
satisfacer las necesidades de lasdiferentes jurisdicciones
En todos los casos, las leyes tienen
precedencia sobre las normas
7/21/2019 Implementador Lider ISO 22301.pptx
71/464
Leyes y Reglamentos
Los cuatro sectores de la industria ms afectados
Requiere plan de copia deseguridad de datos, plan derecuperacin ante desastres y unplan de operacin en el modo deemergencia
Requisitos para los registroselectrnicos
Asis
tencia
sanitaria
Requiere plan de copia deseguridad de datos, plan derecuperacin ante desastres y unplan de operacin en el modo deemergencia
Requisitos para los registroselectrnicos
Go
bierno
Requiere que los bancos tenganplanes de CN y RD para garantizar
el funcionamiento continuo y con elfin de limitar las prdidas
Requiere que los planes deContinuidad del Negocio (PCN) seactualicen y prueben paraincorporar los riesgos detectados
Requiere un PCN para garantizarque la contina misin de la
agencia durante una crisis
Se requieren planes de restauracinde emergencia como condicinpara servicios continuados
Finanza
s
Utilidad
es
7/21/2019 Implementador Lider ISO 22301.pptx
72/464
1.2.8. Determinacin del Apetito por el Riesgo y los Criteriosde Riesgo
ISO 22301, clusula 3.49 y 4.1
Apetito por el Riesgo
Definicin: Cantidad y tipo de
de que una organizacin estdispuesta a conseguir o conservar
Es el nivel de riesgo que unaorganizacin est dispuesta aaceptar, antes de que la accin esconsiderada necesaria parareducirlo
Representa un equilibrio entre losbeneficios potenciales de lainnovacin y las amenazas que elcambio inevitablemente trae consigo
0
20
101. Aversin
2. Mnimo
3. Prudente
4. Abierto
5. Hambriento
30
40
50
60
70
80
Ejemplo de escala de apetitopor el riesgo
7/21/2019 Implementador Lider ISO 22301.pptx
73/464
Criterios de Riesgo
ISO 22301, clusula 4.1 y la norma ISO 31000, clusula 5.3.51 Evaluacin de riesgo
2 Impactos
3 Aceptacin del riesgo
Nota: Este paso slo consiste en definir los criterios bsicos para la gestin del riesgo. Los criterios detalladosse definirn durante la evaluacin del riesgo.
7/21/2019 Implementador Lider ISO 22301.pptx
74/464
7/21/2019 Implementador Lider ISO 22301.pptx
75/464
Ejercicio 3
Comprensin de la organizacin
7/21/2019 Implementador Lider ISO 22301.pptx
76/464
Capacitacin Implementador Lder Certificado en la norma ISO 22301
Seccin 7
Anlisis del sistema de gestin existente
a. Recopilacin de la Informacin
b. Realizacin de una Entrevista
c. Anlisis de Brechas
7/21/2019 Implementador Lider ISO 22301.pptx
77/464
1.3. Anlisis del Sistema de Gestin Existente
Hacer
3. Verificar
4.1 Noconformidadesy accin correctiva
4.2 Mejoracontinua
4. Actuar
3.1 Seguimiento,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
2.1 Anlisis delImpacto al Negocio
(AIN)
2.2 Evaluacindel negocio
2.3 Estrategia deContinuidad delNegocio
2.4 Medidas dePresentacin &
Mitigacin
2.5 plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio ypruebas
1.1. Inicio delSGCN
1.2 Comprensin
de la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.8 Informacindocumentada
1.7 Estructurade la organizacin
1.9 Competencia &sensibilizacin
1. Planificar 2. Hacer
7/21/2019 Implementador Lider ISO 22301.pptx
78/464
Lista de las actividades
Anlisis del sistema de gestin existente
1.2 Comprensinde la organizacin
1.4 Liderazgo yplanificacin
1.3.1 Recoleccinde informacin
1.3.2 Anlisisde brechas
1.3.3. Objetivos einforme del anlisis
de brechas
7/21/2019 Implementador Lider ISO 22301.pptx
79/464
1.3.1. Recopilacin de la Informacin
Tcnicas
CuestionariosEncuestas
El envo de cuestionarios a una muestra de personas que representana las partes interesadas
Entrevistas
Revisin de ladocumentacin
Las entrevistas con personas la claves en diferentes niveles jerrquicosdentro de la organizacin
Lectura y anlisis de la documentacin pertinente, las polticas internas,procedimientos, informes de auditoras previas, dictmenes jurdicos,contratos, etc.
7/21/2019 Implementador Lider ISO 22301.pptx
80/464
Entrevista Individual y Grupal
Las entrevistas individuales suelesProporcionar informacin msprecisa y detallada y permiten teneruna evaluacin del riesgo mscorrecta
Individual GrupalEntrevista
Las entrevistas grupales son efectivaspara comprender rpidamente lasoperaciones de un proceso desdeperspectiva global
7/21/2019 Implementador Lider ISO 22301.pptx
81/464
7/21/2019 Implementador Lider ISO 22301.pptx
82/464
1.3.2. Anlisis de Brechas
Anlisis de Brechas
Tcnica para determinar los pasos parapasar de la situacin actual a un estado
futuro deseado.
1. Comparacin del rendimiento actualdel sistema de continuidad delnegocio con los requisitos de la ISO22301
2. Identificacin de las necesidades demejora
3. Bases para la elaboracin del plandel proyecto del SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
83/464
Determinar el Estado Actual
El anlisis de brechas y el nivel de madurez
Las preguntas tpicas:
1. El proceso est presente en la organizacin? Est estandarizado?
2. Es el proceso seguido por los usuarios relevantes?3. Est el proceso documentado? Cmo?
4. hay un responsable designado para la eficacia del proceso? Estndeterminadas las funciones y responsabilidades?
5. Se ha comunicado a todas las personas en cuestin? Por quin? Haycapacitacin disponible?
6. El proceso est controlado Cmo lo est? Medido?7. El proceso est automatizado? Se utilizan herramientas?
8. Existe un proceso para actualizar el proceso?
9. El rendimiento del proceso se compara con las prcticas de la industria?
7/21/2019 Implementador Lider ISO 22301.pptx
84/464
1.3.3. Establecimiento de Objetivos y la Publicacin de un Informe deAnlisis de Brechas
1Inicial
4Gestionado
cuantitativamente
0No existe
2Gestionado
3Definido
Situacin actual Objetivo
5Optimizado
7/21/2019 Implementador Lider ISO 22301.pptx
85/464
Establecimiento de Objetivos
El anlisis de brechas y el nivel de madurez
Usted puede fijar las metas para los procesos
segn el nivel de madurez
No hay procesosestndarvigentes
Los procesos estndocumentadosy comunicados
Procesos
monitoreados ymedidos
Procesosoptimizados
Hay implementacinde proceso caso
por caso sin ningnmtodo
0.Inexistentes
1.Inciales
2.Gestionadas
3.Definidos
4.Cuantitativa
Mente
gestionados
5.Optimizados
Ausencia total deProcesos
identificables
7/21/2019 Implementador Lider ISO 22301.pptx
86/464
Capacitacin Implementador Lder Certificado en la norma ISO 22301
Seccin 8
Alcance del SGCN
a. Lmites de la organizacin
b. Los lmites de las lneas de negocio
c. Lmites Fsicos
d. mbito de aplicacin
7/21/2019 Implementador Lider ISO 22301.pptx
87/464
7/21/2019 Implementador Lider ISO 22301.pptx
88/464
7/21/2019 Implementador Lider ISO 22301.pptx
89/464
mbito de la aplicacin
Importancia
Una clara definicin del alcance, centrndose en actividades clave de laorganizacin, es un factor de xito importante para la implementacin del SGCN.
Esto har que sea ms fcil:
1. Conseguir el apoyo de la direccin
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas
Nota importante: la extensin del mbito de aplicacines el primer factor que determina la cantidad
de esfuerzo requerido por el proyecto.
7/21/2019 Implementador Lider ISO 22301.pptx
90/464
1.4. mbito de Aplicacin del SGCN
Lista de actividades
1.2 Comprensinde la organizacin
1.3 Analiza elSistema existente
1.5 Liderazgo &planificacin
1.6 Polticade CN
1.4.1 LmitesOrganizacionales
1.4.2 Lmites de lasLneas de negocio
1.4.3 Los lmitesfsicos
1.4.4 mbitode aplicacin
7/21/2019 Implementador Lider ISO 22301.pptx
91/464
Lmites del SGCN
Las 3 dimensiones a considerar
del negocio
7/21/2019 Implementador Lider ISO 22301.pptx
92/464
1.4.1 Definiendo los Lmites Organizacionales del Alcance
Un proceso clave
Un departamento
La organizacincomo un todo
La organizacin y suspartes interesadas
Nota: Donde una parte de unaorganizacin, queda excluida del mbitode aplicacin de su SGCN, laorganizacin debera documentar yexplicar la exclusin
7/21/2019 Implementador Lider ISO 22301.pptx
93/464
1.4.2. Definir los Lmites de las Lneas de Negocio del mbito deAplicacin
La organizacin debe identificar los productos y servicios en el mbito
Ejemplo:
Un hospital podra incluir slo los servicios de emergencia en elmbito de aplicacin
La oficina de correos podra incluir todos los servicios en el
mbito de aplicacin con la exclusin de la entrega de paquetes/
encomiendas
Una fbrica podra mantener slo la produccin de un producto. Etc.
7/21/2019 Implementador Lider ISO 22301.pptx
94/464
1.4.3. Definir las Fronteras Fsicas del mbito de Aplicacin
Deberan tomarse en cuenta todos lo lugares fsicos, tanto internos comoexternos incluidos en el SGCN
Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios fsicos necesarios para que funcionen
En el caso de los sitios fsicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
7/21/2019 Implementador Lider ISO 22301.pptx
95/464
1.4.4. Definir el mbito de Aplicacin del SGCN
El documento de definicin del mbito de aplicacin debera incluir:
1. Las principales caractersticas de la organizacin
2. Los procesos de negocios cubiertos por el SGCN
3. La lista de productos y servicios y todas las actividades relacionadas en elmbito de aplicacin del SGCN
4. La lista de los principales recursos (sistemas de Informacin, instalaciones, etc.)
5. La lista de ubicaciones geogrficas
6. Los detalles y motivos para las exclusiones
7/21/2019 Implementador Lider ISO 22301.pptx
96/464
Declaracin del mbito de Aplicacin
Ejemplo
La declaracin del alcance es pblica y, en general, est disponible en el
sitio web del organismo de certificacin que haya expedido el certificado
Esta declaracin resumida estar escrita en el certificado. Deber ser:
1. Tan simple como sea posible2. Comprensible para alguien externo a la organizacin
3. Lo suficientemente precisa para expresar lo que est cubierto por
la certificacin
Ejemplo: Este sistema de gestin de la continuidad del negocioSe aplica al centro de distribucin global proveyendo
Servicios de tercerizacin y contacto con el clienteY externalizacin de ABC S.A.
7/21/2019 Implementador Lider ISO 22301.pptx
97/464
Cambios en el mbito de Aplicacin
Cualquier cambio en elalcance debe ser evaluado,aprobado y documentado
7/21/2019 Implementador Lider ISO 22301.pptx
98/464
Extensin del mbito de Aplicacin
ISO 17021, clusula 9.5.1
Varias empresas auditadas prefieren definir un alcance reducido para unacertificacin inicial y complementar una solicitud de extensin en los aos
siguientes
La auditora de extensin se puede realizar durante una auditora de control
Si no se concede la certificacin de extensin, la organizacin no pierde su
certificado actual
7/21/2019 Implementador Lider ISO 22301.pptx
99/464
Ejercicio 4
Definicin del mbito de aplicacin
7/21/2019 Implementador Lider ISO 22301.pptx
100/464
7/21/2019 Implementador Lider ISO 22301.pptx
101/464
Capacitacin Implementador Lder ISO 22301
Seccin 9Liderazgo y planificacin
a. Caso de negocios del SGCN
b. Equipo del proyecto
c. Objetivos del SGCNd. Plan del proyecto
e. Plan de comunicacin para el proyecto SGCN
f. Aprobacin de la Direccin
7/21/2019 Implementador Lider ISO 22301.pptx
102/464
1.5. Liderazgo y Planificacin
1. Planificar
Negocio
1.1. Iniciar el SGCN
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.7 Estructuraorganizativa
1.8 Informacindocumentada
1.9 Competencia ysensibilizacin
2. Hacer
2.1 Anlisis del Impactoen el Negocio (AIN)
2.2 Evaluacindel riesgo
2.3 Estrategia de laContinuidad del
Negocio
2.4 Medidas deProteccin &
Mitigacin
2.5 Plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio ypruebas
3. Verificar 4. Actuar
3.1 Supervisin,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
4.1 No
conformidadesy accin correctiva
4.2 Mejoracontinua
7/21/2019 Implementador Lider ISO 22301.pptx
103/464
Requisitos
Norma ISO 22301, clusula 5.1. 7.1 y 8.3.2
5.1 Liderazgo y compromisoLas personas en los niveles superiores de la administracin y otras en funciones de gestin en toda laorganizacin bebern demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la DireccinLa alta direccin deber demostrar su liderazgo y compromiso con respecto al SGCN a travs de :
- Asegurar que sean establecidos polticas y objetivos, para el sistema de gestin de la
- continuidad del negocio y que sean compatibles con la direccin estratgica de la organizacin.
- Asegurar que estn disponibles los recursos necesarios para la continuidad del negocio
- Comunicar la importancia de una buena gestin de la continuidad del negocio y deconformidad con los requisitos del SGCN
- Asegurar que el SGCN logre el resultado (s) esperados(s)
- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN
- Promover la mejora continua: y
- Apoyar a otras funciones de gestin pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus reas de responsabilidad
7.1 RecursosLa organizacin deber determinar y proporcionar los recursos necesarios para el SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
104/464
7/21/2019 Implementador Lider ISO 22301.pptx
105/464
1.5.1. Crear y Presentar un Caso de Negocio
Un caso de negocio es:
1. Una herramienta de apoyo deapoyo de la Direccin para latoma de decisiones
2. Un documento que se utilizapara promover el proyectodel SGCN
3. Una primera estructuracindel proyecto
7/21/2019 Implementador Lider ISO 22301.pptx
106/464
Contenido del Caso de Negocios
PMBOK
1.Medioambiente
2. Finalidad yobjetivos
3. ResumenDel proyecto
4. Beneficiosesperados
5. Alcancepreliminar
9. Funciones yResponsabili-
dades
6. FactoresCrticos de xito
7. Anteproyecto
10. Recursosnecesarios
8. Plazos ehitos
11. Presupuesto 12. Restricciones
Nota: El contenido sobre gestin de proyectos en esta seccin se basa en PMBOKpero otros marcos como el Prince 2 son equivalentes
7/21/2019 Implementador Lider ISO 22301.pptx
107/464
1.5.2. Establecer el Equipo del Proyecto del SGCN
Equipo del Proyecto
Partes Interesadas
Gerente
del SGCNDirector
del proyecto
Equipo de Gestin delProyecto
DefensorDel
ProyectoDel SGCN
7/21/2019 Implementador Lider ISO 22301.pptx
108/464
Director del Proyecto SGCN
Competencias requeridas
El director del proyecto SGCN debe tener los conocimientos y habilidades en lassiguientes reas:
1. Conocimiento y habilidades en Gestin de Proyectos
2. Conocimiento de la organizacin y su entorno3. Conocimiento de gestin de la continuidad del negocio
4. Habilidades interpersonales (comunicacin efectiva,
negacin, resolucin de problemas,
habilidades de liderazgo, etc..)
7/21/2019 Implementador Lider ISO 22301.pptx
109/464
Comit Directivo
Durante el proyecto SGCN
Objetivo Asegurar la planificacin y el seguimiento del SGCN
Misiones
Miembros
Frecuencia de lasreuniones
1. Planificar la implementacin del SGCN2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Direccin3. Definir las funciones y responsabilidades para el proyecto SGCN4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (despus de la aplicacin)5. Seleccionar el mtodo de anlisis de riesgo y el AIN6. Gestionar los recursos7. Realizar revisiones de los proyectos de la aplicacin del SGCN
Director del Proyecto SGCN, responsables de los servicios claves queparticipan en los siguientes dominios de aplicacin (TI, auditora, legales,finanzas, recursos humanos, seguridad fsica etc.)
Mensuales
7/21/2019 Implementador Lider ISO 22301.pptx
110/464
1.5.3. Determinacin de los objetivos del SGCN
ISO 22301, clusula 3.32 y 6.2Determinar los objetivos
2
31
Una mayor flexibilidad(resilencia) de la
Empresa Puede el SGCN mejorar
la resilencia de laorganizacin en caso deun incidente perjudicial?
Gestin de continuidaddel negocio eficiente
Puede el SGCNmejorar la eficacia de lagestin de continuidaddel negocio?
Ventaja del negocio L a implementacin de
un SGCN puedeproporcionar ventajascompetitivas
7/21/2019 Implementador Lider ISO 22301.pptx
111/464
Determinar los Objetivos
Ejemplos
Los objetivos relacionados con la aplicacin del SGCN pueden ser:
Velar por el cumplimiento de las obligaciones legales, reglamentarias y
contractuales de la organizacin
Demostrar la debida diligencia y el cuidado debido de la gestin Inspirar confianza de las partes interesadas de la organizacin
Proteger la disponibilidad de las actividades fundamentales de la organizacin
Asegurar la gestin eficaz de continuidad del negocio de acuerdo a las mejores
prcticas
Mejorar el tiempo de respuesta a incidentes y desastres Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.
1 5 4 Determinacin de los Requisitos de Recursos para el
7/21/2019 Implementador Lider ISO 22301.pptx
112/464
1.5.4. Determinacin de los Requisitos de Recursos para elProyecto SGCN
ISO 22301, clusula 8.3.2
Los recursos son los medios que se utilizan para alcanzar los objetivosdel proyecto
El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
informacin
Generalmente hay un desfase entre el tope de la inversin de un proyecto
y las demandas del proyecto
7/21/2019 Implementador Lider ISO 22301.pptx
113/464
1.5.5. Elaboracin del Plan del Proyecto SGCN
PMBOK
Un mtodo iterativo
ContenidoDel
Proyecto
Recursos Costos
Retrasos Riesgos
Plan delproyecto
7/21/2019 Implementador Lider ISO 22301.pptx
114/464
Contenido del plan del proyecto SGCN
PMBOK
Un plan de proyecto incluye lo siguiente:
1. Carta del Proyecto
2. Descripcin del enfoque o estrategia de gestin de proyectos
3. Formulacin del contenido del proyecto, con resultados y objetivos del
proyecto4. Estructura Detallada de Trabajo del proyecto (estructura WBS)
5. Costos estimados, fecha de inicio prevista, y la asignacin deresponsabilidad
6. Referencias; medicin de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
7/21/2019 Implementador Lider ISO 22301.pptx
115/464
Revisin y Presentacin del Plan del Proyecto SGCN
PMBOK
Revisin de los objetivos del proyecto y los factores de xito
Revisin de las funciones
Definicin de la frecuencia y el contenido de las reuniones de progreso
Revisin de los documentos del proyecto
Estimacin de los recursos internos necesarios
Definicin de la planificacin y sucesivas fases de ejecucin
Revisin de las presentaciones que deben proveerse
Revisar el mtodo propuesto
Destacar los riesgos e incertidumbres inherentes en el proyecto
7/21/2019 Implementador Lider ISO 22301.pptx
116/464
1.5.6. Plan de Comunicacin para el Proyecto SGCN
Norma ISO 22301, clusula 7.4
Cuando se establece el SGCN, la organizacin necesita tener comunicacinefectiva y procedimientos de consulta para el intercambio de informacin con
las partes interesadas
La organizacin debera disponer de una comunicacin eficaz como parte de
su programa de sensibilizacin
El plan de comunicacin ser detallado en el Da 3
http://www.google.cl/imgres?biw=1280&bih=587&tbm=isch&tbnid=fdhgVBjFbUBpCM:&imgrefurl=http://es.123rf.com/photo_11949129_personas-3d-en-circulo.html&docid=MM59xCOOIChPrM&itg=1&imgurl=http://us.cdn2.123rf.com/168nwm/3ddock/3ddock1206/3ddock120600234/14228108-las-personas-3d-en-el-circulo.jpg&w=168&h=151&ei=mAavUvvZJIrloASJoICICw&zoom=1&iact=rc&dur=656&page=2&tbnh=120&tbnw=134&start=20&ndsp=29&ved=1t:429,r:41,s:0,i:204&tx=100&ty=267/21/2019 Implementador Lider ISO 22301.pptx
117/464
1.5.7. Aprobacin por la Direccin del Proyecto SGCN
Norma ISO 22301, clusula 5.2
Beneficios Claves delCompromiso de la Direccin
Mayor conocimiento de las leyesptima asignacin de recursosIdentificacin de los activos crticosProcesos y plan de la continuidaddel negocio controlados y medidos
7/21/2019 Implementador Lider ISO 22301.pptx
118/464
Funciones de la Direccin
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia delas reuniones
Alinear el SGCN con los objetivos y estrategia de negocio
1. Asegurarse de que el SGCN es compatible con la direccin estratgica de laorganizacin
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales
3. Validar las funciones y responsabilidades de las principales partes interesadas en elproyecto
4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluacin delriesgo
5. Comunicar la importancia de una buena gestin de la continuidad del negocio y enconformidad con los requisitos SGCN
6. Proveer de recursos suficientes para la implementacin del SGCN7. Asegurar que se llevan a cabo auditorias internas8. Hacer revisin del SGCN por la direccin
9. Prestar apoyo al mejoramiento del SGCN
Alta Direccin (CEO, CIO, CFO)
Algunas de las reuniones de los hitos de este proyecto: reunin de lanzamiento, anlisisde riesgo e informe del AIN, revisin por la direccin, etc.
7/21/2019 Implementador Lider ISO 22301.pptx
119/464
Ejercicio 5
Roles y responsabilidades de las partes interesadas
7/21/2019 Implementador Lider ISO 22301.pptx
120/464
Capacitacin Implementador Lder ISO 22301
Seccin 10
Poltica de la continuidad del negocio
a. Crear modelos de poltica
b. Proceso de redaccin de poltica
c. Aprobacin por la Direccin
d. Publicacin
e. Capacitacin, comunicacin y sensibilizacin
f. Control, evaluacin y revisin
1.6. Poltica de la Continuidad del Negocio
7/21/2019 Implementador Lider ISO 22301.pptx
121/464
1.6. Poltica de la Continuidad del Negocio
1. Planificar 3. Verificar 4. Actuar2. Hacer
1.1. Iniciar el SGCN
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.7 Estructuraorganizativa
1.8 Informacindocumentada
1.9 Competencia ysensibilizacin
4.1 No
conformidadesy accin correctiva
4.2 Mejoracontinua
3.1 Supervisin,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
2.1 Anlisis del Impactoen el Negocio (AIN)
2.2 Evaluacindel riesgo
2.3 Estrategia de laContinuidad del
Negocio
2.4 Medidas deProteccin &
Mitigacin
2.5 Plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio y pruebas
Requisitos
7/21/2019 Implementador Lider ISO 22301.pptx
122/464
Requisitos
Norma ISO 22301, clusula 5.3
PolticaLa alta direccin deber establecer una poltica de continuidad del negocio que:a) Sea apropiada para los fines de la organizacinb) Proporciones un marco para establecer objetivos de continuidad del negocioc) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber:- Estar disponible como informacin documentada- Ser comunicada dentro de la organizacin- Estar a disposicin de todas las partes interesadas, segn corresponda
- Ser revisada para su adecuacin continuada a intervalos definidos y cuando seproduzcan cambios significativos
La organizacin deber retener informacin documentada sobre la polticaDe continuidad del negocio.
7/21/2019 Implementador Lider ISO 22301.pptx
123/464
Definicin de Poltica de la Continuidad del Negocio
Norma ISO 22399, clusula 3.19
Las intenciones generales y la direccin de la organizacin, relacionadas con supreparacin ante incidencias y continuidad operacional, tal y como ha sidoexpresado por la alta direccin
http://www.google.cl/imgres?start=364&biw=1280&bih=587&tbm=isch&tbnid=05SjpMPqVZ_nRM:&imgrefurl=http://es.dreamstime.com/fotos-de-archivo-libres-de-regal%C3%ADas-neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-image3235568&docid=sJjX8_RVYFXyaM&imgurl=http://thumbs.dreamstime.com/x/neutonio-del-p%C3%A9ndulo-de-la-bola-de-la-colisi%C3%B3n-3235568.jpg&w=400&h=300&ei=dGivUvu4EMH8kQec6YGABg&zoom=1&iact=rc&dur=485&page=14&tbnh=142&tbnw=183&ndsp=32&ved=1t:429,r:91,s:300,i:277&tx=112&ty=747/21/2019 Implementador Lider ISO 22301.pptx
124/464
1.6. Poltica de la Continuidad del Negocio
Lista de actividades
1.5 Liderazgo &planificacin
1.6.4 Publicacin
1.6.3 Aprobacinpor la Direccin
1.6.2 Redaccin dela Poltica
1.6.1 Proceso deredaccin de la
Poltica
1.6.5 Capacitacin,comunicacin ysensibilizacin
1.6.6 Control,evaluacin y
revisin
1.7 Estructuraorganizativa
1.6 Poltica de C. N.
7/21/2019 Implementador Lider ISO 22301.pptx
125/464
1.6.1. Definicin del Proceso de Redaccin de la Poltica
Proceso General
2.Definir los
componentesde la poltica
3.Redactar
lasSecciones
4.Validacin
de loscontenidos yel formato
5.Aprobacin
por lasPartesInteresadas
1.Designar una
PersonaResponsable
Es importante asegurar el apoyo a y la comprensin de una poltica antes de su publicacin
7/21/2019 Implementador Lider ISO 22301.pptx
126/464
1.6.2. Redaccin de la Poltica de Continuidad del Negocio
Temas que suelen incluirse en la poltica
1. Un marco que permite definir objetivos y establecer una direccin y directricesde poltica para la gestin de Continuidad del Negocio
2. Una consideracin de las obligaciones legales y reglamentarias impuestas a la
organizacin, as como otros compromisos
3. La alineacin de la gestin de continuidad del negocio con los objetivosestratgicos de la organizacin
4. Atribucin de las funciones y responsabilidades
5. Aprobacin oficial de los anteriores por la Direccin
7/21/2019 Implementador Lider ISO 22301.pptx
127/464
1.6.3. Aprobacin por la Direccin
La poltica del SGCN debe:
Demostrar el compromiso de la direccin
Ser aprobada por la Direccin
La poltica debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobacin puede pertenecer a un comit:
Junto de Directores
Consejo de Administracin
1 6 4 P bli i d l P l i d C i id d d l N i
7/21/2019 Implementador Lider ISO 22301.pptx
128/464
1.6.4. Publicacin de la Poltica de Continuidad del Negocio
Principales modos de comunicacin
Intranet
Distribucin deCopias en papel
Reunin
Sesin de orientacinde nuevos empleados
1 6 5 C it i C i i S ibili i
7/21/2019 Implementador Lider ISO 22301.pptx
129/464
1.6.5. Capacitacin, Comunicacin y Sensibilizacin
Plan de comunicacin
Pblico de destino
Difusin (reuniones, intranet,extranet, documentos)
Comunicacin
Sensibilizacin Capacitacin
Objetivoalcanzado?
Control, evaluacin y revisin
Procesorecurrente
No
Si Nota: Esta temtica sediscutir durante elDa 3
1 6 6 Control Evaluacin y Revisin
7/21/2019 Implementador Lider ISO 22301.pptx
130/464
1.6.6. Control, Evaluacin y Revisin
Control
Evaluacin
Revisin
Mantener Asegurarconformidad
Medir el grado deconformidad
Capacitacin Implementador Lder en la ISO 22301
7/21/2019 Implementador Lider ISO 22301.pptx
131/464
Capacitacin Implementador Lder en la ISO 22301
Seccin 11
Estructura Organizativa
a. Estructura de gestin
b. Estructura Orgnica para la gestin de la continuidad delnegocio
c. Designacin de un coordinacin de la continuidad del negocio
d. Roles y responsabilidades de las partes interesadas
e. Roles y responsabilidades de los comits clave
f. Equipos de la continuidad del negocio
g. Proceso de decisin y de control
1 7 Estructura Organizativa
7/21/2019 Implementador Lider ISO 22301.pptx
132/464
1.7. Estructura Organizativa
1. Planificar 2. Hace 3. Verificar 4. Actuar
4.1 No
conformidadesy accin correctiva
4.2 Mejoracontinua
3.1 Supervisin,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
2.1 Anlisis del Impactoen el Negocio (AIN)
2.2 Evaluacindel riesgo
2.3 Estrategia de laContinuidad del
Negocio
2.4 Medidas deProteccin &
Mitigacin
2.5 Plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio ypruebas
1.1. Iniciar el SGCN
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.5 Liderazgo yplanificacin
1.6 Poltica de CN
1.7 Estructuraorganizativa
1.8 Informacindocumentada
1.9 Competencia ysensibilizacin
Req isitos
7/21/2019 Implementador Lider ISO 22301.pptx
133/464
Requisitos
Norma ISO 22301, clusula 5.4
Funciones, responsabilidades y autoridades organizativas
La alta direccin deber asegurarse de que las responsabilidades y autoridadespara funciones pertinentes sean asignadas y comunicadas dentro de la
organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para :
a) Garantizar que el sistema de gestin se establece y ejecuta en conformidadcon los requisitos de esta Norma Internacional; e
b) Informar sobre la eficacia de la gestin del SGCN a la alta direccin
Estructura organizativa
7/21/2019 Implementador Lider ISO 22301.pptx
134/464
Estructura organizativa
Principios
Para ser eficaz, un programa de continuidad empresarial debera ser un
proceso integrado de gestin impulsado desde las altas esferas de laorganizacin, apoyado y promovido por los principales directores y
ejecutivos
Debera ser administrado en los niveles operativos y de la organizacin
Puede requerirse una serie de profesionales y personal de otras disciplinas
relacionadas con la gestin y los servicios necesarios para apoyar y gestionar
el programa
La continuidad de recursos necesarios, depender del tamao y la diversidad
de la organizacin
1.7. Estructura Organizativa
7/21/2019 Implementador Lider ISO 22301.pptx
135/464
1.7. Estructura Organizativa
Lista de actividades
1.6 Poltica decontinuidaddel negocio
1.7.1 Estructurade gobierno yorganizacin
1.7.2 Coordinadorde la continuidad
del negocio
1.7.3 Roles yResponsabilidades
de las partesinteresadas
1.7.6 Proceso dedecisin y control
1.7.5 Equipos de lacontinuidaddel negocio
1.7.4 Roles yResponsabilidades
de los comitsprincipales
1.8 Informacindocumentada
1.7 Estructura organizativa
1.7.1. Definicin de la Gestin de Gobierno y de la EstructuraO i l G ti d C ti id d d l N i
7/21/2019 Implementador Lider ISO 22301.pptx
136/464
Orgnica para la Gestin de Continuidad del Negocio
Estructura de gobierno
Junta deDirectores
CEO
Comit de Crisis
Comit deContinuidad del
negocio
OperacionesRecursoshumanos
AuditoraInterna
ServiciosAdministrativos
Tecnologa dela informacin
(TI)
Ventas &Marketing
Continuidaddel Negocio
7/21/2019 Implementador Lider ISO 22301.pptx
137/464
7/21/2019 Implementador Lider ISO 22301.pptx
138/464
7/21/2019 Implementador Lider ISO 22301.pptx
139/464
1.7.4. Definicin de la Funciones y Responsabilidades de losC it Cl
7/21/2019 Implementador Lider ISO 22301.pptx
140/464
Comits Claves
1. Comit Ejecutivo y Comit de Crisis
2. Comit de Continuidad del Negocio
3. Comits Operativos yComit Local de CN
1.7.5. Creacin de los Equipos Necesarios de Continuidad delNegocio
7/21/2019 Implementador Lider ISO 22301.pptx
141/464
Negocio
Ejemplo
Lder del Equipo deGestin de Crisis(Director Ejecutivo)
Gerente deEvaluacin de
Riesgo
Coordinar dela Continuidaddel Negocio
TI/RR.HH./Legales/Finanzas
Representantes deLa unidad de
Negocio
Equipo deRespuesta deEmergencia
Equipo deEvaluacin de
Daos
Equipo deRelaciones
Pblicas
Equipo deRecuperacin
Equipo deRestauracin
Equipo deTelecomuni-
caciones
Equipo deObtencin deRecursos yLogstica
Nota importante: La creacin de equipos y comits no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisin y Control
7/21/2019 Implementador Lider ISO 22301.pptx
142/464
y
Modelo de la estructura de comando y control
Nivel 2Tctico
Nivel 3Operativo
Nivel 1Estratgico
Capacitacin Implementador Lder ISO 22301
7/21/2019 Implementador Lider ISO 22301.pptx
143/464
p p
Seccin 12
Informacin documentada
a. Requisitos de la informacin documentada
b. Valor de la documentacin
c. Creacin de plantillas
d. Gestin de la documentacin
e. Implementacin de un sistema de gestin de
documentos
f. Redaccin de la informacin documentada de
l SGCN
g. Control de los registros
1.8. Informacin documentada
7/21/2019 Implementador Lider ISO 22301.pptx
144/464
1.8. Informacin documentada
1. Planificar 2. Hacer 3. Verificar 4. Actuar
1.1. Iniciar el SGCN
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.6 Poltica de CN
1.5 Liderazgo yplanificacin
1.8 Informacindocumentada
1.7 Estructuraorganizativa
1.9 Competencia ysensibilizacin
2.1 Anlisis delImpacto
en el Negocio (AIN)
2.2 Evaluacindel riesgo
2.3 Estrategia de laContinuidad del
Negocio
2.4 Medidas deProteccin &
Mitigacin
2.5 Plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio ypruebas
3.1 Supervisin,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
4.1 No
conformidadesy accin correctiva
4.2 Mejoracontinua
Requisitos
7/21/2019 Implementador Lider ISO 22301.pptx
145/464
Norma ISO 22301, clusula 7.5
7.5 Informacin documentada
7.5.1 Generalidades
El SGCN de la organizacin incluir:
- La informacin documentada requerida por esta norma internacional- Informacin documentada determinada por la organizacin como necesaria para la
eficacia del SGCN
7.5.2 Creacin y actualizacin
Al crear y actualizar la informacin documentada, la organizacin deber garantizar laadecuada:
a) Identificacin y descripcin (por ejemplo, un ttulo, fecha, autor o nmero de referencia),
b) Formato (por ejemplo, el idioma, la versin del software, grficos) y los medios (por ejemplo,papel, electrnico), y la revisin y aprobacin de idoneidad y suficiencia.
Requisitos
7/21/2019 Implementador Lider ISO 22301.pptx
146/464
Norma ISO 22301, clusula 7.57.5.3 Control de la informacin documentadaLa informacin documentada requerida por el SGCN y por esta Norma Internacional deber ser controlada paraasegurar que:
a) Est disponible y apta para su uso, cundo y dnde sea necesario,
b) Est protegida adecuadamente (por ejemplo, de prdida de la confidencialidad, uso indebido, o la prdida deintegridad).
Para el control de la informacin documentada, la organizacin deber abordar las siguientes
actividades, segn corresponda:- Distribucin, acceso, recuperacin y uso,
- Almacenamiento y conservacin, incluida la conservacin de la legibilidad,
- Control de los cambios (p. ej., control de versiones).
- Retencin y disposicin
- Recuperacin y uso,
- Preservacin de la legibilidad (es decir lo suficientemente claro para leer), y
- Prevencin del uso no intencionado de informacin obsoleta.
La informacin documentada de origen externo determinada por la organizacin como necesaria
para la planificacin y el funcionamiento del SGCN deber ser identificada, segn corresponda, y
controlada.
Cuando se establece el control de la informacin documentada, la organizacin deber asegurarse de que exista
una proteccin adecuada d la informacin documentada (por ejemplo, la proteccin ante cualquier peligro, la
modificacin no autorizada o la eliminacin).
Requisitos de Informacin Documentada
7/21/2019 Implementador Lider ISO 22301.pptx
147/464
equ s tos de o ac ocu e tada
Resumen
Contenido Formato Ciclo de Vidadel Documento
Documentacin del Sistema de Gestin
7/21/2019 Implementador Lider ISO 22301.pptx
148/464
Tipos de informacin documentada
DescripcionesDel
Marco de Gestin
Describe los procesos,
Procedimientos y controles(quin, qu, cundo, cmo,Dnde y por qu)
Describe en detalle cmo se llevan aCabo las tareas y actividades
Proporciona la evidencia objetiva delCumplimiento de los requisitos de la norma
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Polticas, el alcance, revisin por la direccin,y otros documentos estratgicos
Descripcin del proceso, actividades,controles y procedimientos
Hojas de clculo, formularioslistas de control, etc.
Registros
Valor de la Documentacin
7/21/2019 Implementador Lider ISO 22301.pptx
149/464
Notas importantes
En muchas organizaciones, la creacin de la
documentacin est desproporcionada
La preparacin de los documentos no debera
ser un objetivo en s mismo. Esta debe seractividad de valor aadido, soporte del SGCN
La documentacin que es demasiado es difcil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza
Cada organizacin determina la extensin de
la documentacin necesaria y los medios de
comunicacin a utilizar
1.8 Informacin documentada
7/21/2019 Implementador Lider ISO 22301.pptx
150/464
Lista de actividades
1.7 Estructuraorganizativa
1.9 Competencia ysensibilizacin
1.8.1 Creacin deplantillas
1.8.2 Control delos documentos
1.8.3Sistema de gestin
de documentos
1.8.4 Establecer laDocumentacin
del SGCN
1.8.5 Control delos registros
1.8 Informacin documentada
1.8.1. Creacin de Plantillas
7/21/2019 Implementador Lider ISO 22301.pptx
151/464
Tipo de documentos
Tipo Objetivos
Poltica Intenciones y directrices generales de una organizacin formalmente expresadas por la Direccin
Procedimiento
Directrices
Plan deContinuidad del Negocio
Carta
Esquema de proceso
Normativa de proceso
Formulario
Gua
Hoja de datos
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la poltica, lasdirectrices y las normas de apoyo se aplicarn realmente en un entorno operativo
Declaracin general para alcanzar los objetivos de la poltica al proporcionar orientacin sobre buenas
prcticas a seguirAmplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseadas para facilitarla actividad de la continuidad del negocio o la ordenada y rpida recuperacin de los procesos crticos (de negocio) enel caso de una crisis
Descripcin de los acuerdos en vigor entre la organizacin y un grupo de actores como usuariosempleados, proveedores o prestadores de servicios
Esquema que ilustra el trabajo de un proceso
Explicacin detallada de funcionamiento de un proceso como una descripcin
Formulario de papel o en formato electrnico que est diseado para proporcionarlo o registrar la informacin sobre unaoperacin (solicitud de cambio, solicitud de autorizacin, notificacin de incidentes, etc.)
Documento prctico con instrucciones detalladas sobre el uso y/o instalacin mantenimiento operacin
Documento que resume la informacin tcnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestin de la documentacin
7/21/2019 Implementador Lider ISO 22301.pptx
152/464
El desarrollo de un proceso de gestin de la documentacin y
redaccin de un procedimiento
c) Clasificacin, indexado yseguridad
b) Identificacina) Creacin
d) Modificacin
e) Aprobacin
f) Distribucin
g) Uso adecuado
h) Conservacin yarchivado
i) Eliminacin
7/21/2019 Implementador Lider ISO 22301.pptx
153/464
1.8.4. Redaccin de la Informacin Documentada Requerida delSGCN
7/21/2019 Implementador Lider ISO 22301.pptx
154/464
SGCN
Como mnimo, el SGCN debera contener la siguiente documentacin:
1. El contexto de la organizacin
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El mbito de aplicacin del SGCN y cualquier exclusin (4.3.2)
4. Poltica de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)7. Anlisis del impacto en el negocio y proceso de evaluacin de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategiaconsideradas
9. Procedimientos de continuidad , gestin de incidentes y de recuperacin (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditoras Internas (9.2)13. Revisin por la direccin (9.3)
14. No Conformidades y acciones correctivas (10.1)
Informacin Documentada que puede ser Requerida
7/21/2019 Implementador Lider ISO 22301.pptx
155/464
Adems puede ser requerida la informacin documentada que abarca la siguiente
informacin necesaria para asegurar la eficacia del SGCN:
1. Los contratos con clientes y los niveles de servicio
2. Resultados de los anlisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinacin y seleccin de las estrategias de continuidad del negocio5. Resumen de respuesta ante incidentes
6. Programa de sensibilizacin
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitacin para la organizacin y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspeccin, mantenimiento y calibracin
13. Despus de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunin de la revisin del SGCN
Crear una Lista Maestra de Documentos
7/21/2019 Implementador Lider ISO 22301.pptx
156/464
Buenas prcticas
Es una buena prctica crear una lista nica de todos los documentos relacionadoscon el SGCN con informacin bsica tal como:
El identificador nico
Ttulo
El tipo de documento
Los nombres, funciones y servicios de los autores (y / o los propietarios)
El nombre del responsable y la fecha de la aprobacin
Fecha de emisin
Fecha de la versin y de la revisin
Numeracin de pginas Nivel de clasificacin
1.8.5. Control de los Registros
7/21/2019 Implementador Lider ISO 22301.pptx
157/464
o Los controles para garantizar la identificacin, almacenamiento, proteccin,
disponibilidad, tiempo de conservacin y eliminacin de registros deben estardocumentados e implementados
o Los registros deben ser protegidos, permanecen legibles, fcilmente
identificables y accesibles
o Ejemplos de registros:
Las actas de reunin
Certificados de capacitacin
Enviar cartas a las partes interesadas
Los informes de auditora
Informe de resultados de pruebas
Lista Maestra de Documentos
7/21/2019 Implementador Lider ISO 22301.pptx
158/464
Ejemplo
Identificacin Almacenamiento ResponsabilidadDuracin de laconservacin
Clasificacin
Registro decapacitacin
Departamento deRecursos Humanos
Director deRecursos Humanos
3 aos Uso interno
Hoja de informeDe incidentes
Centro de ServiciosDirector
Centro de Servicios 2 aos Confidencial
Ejercicios yRegistros de las
Pruebas delSGCN
Departamento deGestin de Riesgos
Director de CN5 aos Muy confidencial
7 aosSecretario del
Comit EjecutivoComit EjecutivoRevisin por la
Direccin Muy confidencial
7/21/2019 Implementador Lider ISO 22301.pptx
159/464
Ejercicio 6
7/21/2019 Implementador Lider ISO 22301.pptx
160/464
Lista maestra de documentos
Capacitacin Implementador Lder en la ISO 22301
7/21/2019 Implementador Lider ISO 22301.pptx
161/464
Seccin 13
Competencia y sensibilizacin
a. Diferencia entre capacitacin, sensibilizacin y comunicacin
b. Definicin de un programa de desarrollo de competencias
c. Evaluacin de las competencias requeridas
d. Definicin de un programa de capacitacin
e. Definicin de un programa de sensibilizacin
f. Evaluacin y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilizacin
7/21/2019 Implementador Lider ISO 22301.pptx
162/464
1. Planificar 2. Hacer 3. Verificar 4. Actuar
4.1 No
conformidadesy accin correctiva
4.2 Mejoracontinua
3.1 Supervisin,medicin, anlisis y
evaluacin
3.2 Auditorainterna
3.3 Revisinpor la Direccin
2.1 Anlisis del Impactoen el Negocio (AIN)
2.2 Evaluacindel riesgo
2.3 Estrategia de laContinuidad del
Negocio
2.4 Medidas deProteccin &
Mitigacin
2.5 Plan yprocedimientos de lacontinuidad del negocio
2.6 Comunicacin
2.7 Ejercicio y pruebas
1.1. Iniciar el SGCN
1.2 Comprensinde la organizacin
1.3 Analizar elsistema existente
1.4 Alcance
1.5 Liderazgo yplanificacin
1.7 Estructuraorganizativa
1.6 Poltica de CN
1.8 Informacindocumentada
1.9 Competencia ysensibilizacin
Requisitos
7/21/2019 Implementador Lider ISO 22301.pptx
163/464
ISO 22301, clusula 7.2 y 7.3
7.2 CompetenciaLa organizacin deber:
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta surendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitacin yexperiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de lasmedidas adoptadas, y
d) Mantener adecuada informacin documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formacin para la