03. García Canclini. (2009). Culturas híbridas. 13-25. 191-235
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
-
Upload
maricarmen-garcia-de-urena -
Category
Business
-
view
229 -
download
0
Transcript of Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Título de la Presentación
Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo
el enfoque de ISO 22301 Expositor: Maricarmen García de Ureña
Sobre Maricarmen Maricarmen García de Ureña, es socio fundador de la firma de consultoría Secure Information Technologies, es empresaria, catedrático y consultor especialista en temas de Gestión de Riesgos, Continuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Es instructor oficial del BSI (British Standards Institucion).
E-mail: [email protected] www.secureit.com.mx
Maricarmen García de Ureña
Director General Secure Information
Technologies
Instructor certificado de bsi
CBCP, ISO 22301 LA, ISO 27001 LA,
México
Agenda 1. Introducción 2. Beneficios del SGCN (BCMS). 3. Proceso de auditoría 4. Auditorías de GCN vs Auditorías de SGCN 5. Deberes de los auditores de SGCN 6. Responsabilidad de la Alta Direción en las
auditorías de SGCN 7. Resumen y conclusiones 8. Preguntas
1. Introducción
¿Qué amenaza es la que más te preocupa?
Piensa en aquella que actualmente no te permita conciliar tus sueños
RESPUESTAS:
1. Introducción Algunas Respuestas: Nada me quita el sueño, en mi empresa todo funciona bien, nada no nos va a pasar jamás
No estar preparado ante ataques cibernéticos El que nuestros competidores demuestren estar mejor preparados que nosotros.
No saber como enfrentar un desastre natural No haberme preparado aún para un cataclismo
2. Beneficios de un SGCN • Asegura el cumplimiento con los requisitos
legales y regulatorios • Due care • Due dilligence • Desempeño robusto de la GCN • Resiliencia organizacional (GI + GCN)
3. Proceso de auditoría • Estándares de auditoría de SGCN
– ISO 19011
– Proporciona orientación sobre la gestión de un programa de auditoría del SGCN
– ISO/IEC 17021
– Evalúa la conformidad para los organismos que realizan auditorías de certificación ISO 22301
3. Proceso de auditoría • Etapas:
Iniciar la auditoría
Preparar las actividades de auditoría
Llevar a cabo las actividades de auditoría
Preparar y distribuir el informe de auditoría
Completar la auditoría
Llevar a cabo el seguimiento de auditoría
3. Proceso de auditoría • Tipos de auditorías de auditoría de SGCN
– Primera parte • Auditorías Internas del SGCN
– Segunda parte • Auditorías que las empresas realizan a sus proveedores
– Tercera parte • Auditorías de certificación
Auditorías Internas
Se realizan a intervalos planeados para determinar si el SGCN:
Cumple con los requisitos propios de la organización para GCN
Cumple con los requisitos de ISO 22301
Se ha implementado y se mantiene eficazmente
3. Proceso de auditoría
4. Auditorías de GCN vs Auditorías de SGCN
• Ciclo de vida de GCN
Fuente: BS 25999
4. Auditorías de GCN vs Auditorías de SGCN
Fuente: Secure Informa4on Technologies, 2014
Ele
me
nto
s d
e G
CN
Curso de capacitación
Análisis de riesgos
Análisis de Impacto al Negocio
Estrategia de recuperación
Planes de Con4nuidad
Prueba
Políticas
4. Auditorías de GCN vs Auditorías de SGCN
• Ciclo Deming del SGCN
Auditorías SGCN con ISO 22301
Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción
Proceso obligatorio
Proceso obligatorio documentado
Procedimiento obligatorio
Procedimiento obligatorio documentado
Información documentada (prác4ca común)
Información documentada obligatoria
14
4. Auditorías de GCN vs Auditorías de SGCN
Fuente: Secure Informa4on Technologies, 2014
Ele
me
nto
s q
ue
se
a
ud
itan
en
un
SG
CN
Contexto de la organización
Liderazgo Planeación Soporte
Operación
Evaluación del
desempeño
Mejora
Análisis de partes
interesadas
Alcance
Factores internos y externos de incer4dumbre
Polí4ca de con4nuidad del negocio
Compromiso de la
dirección
Roles, responsabilidades y
autoridades
Obje4vos de con4nuidad
Análisis de
recursos
Evidencia de concien4zación
Procedimientos de comunicación
Control de documentos
Análisis de Impacto al Negocio
Análisis de riesgos
Estrategia de con4nuidad
Procedimientos de con4nuidad del negocio
Estructura de respuesta a incidentes
Ejercicios y pruebas
Monitoreo, medición, análisis y evaluación
Auditoría interna Revisión de
la dirección
Ges4ón de no conformidades
Ges4ón de acciones correc4vas
Mejora con4nua
Contexto de la organización
Requerimientos legales y
regulatorios
Requerimientos legales y
regulatorios
Exclusiones
Aspectos internos y externos
Propósito del SGCN
Ape4to y criterios de
riesgo
Ac4vidades, funciones, servicios,
etc.
SGCN Evidencia de competencia
Planeación y control
operacional
Requerimientos de recursos
Tratamiento de riesgos
Advertencia y comunicación
Planes de con4nuidad del negocio
Procedimientos de recuperación
Reportes post-‐
ejercicio
Monitoreo del
desempeño Auditoría interna
Auditoría interna
Derechos reservados. Secure Informa4on Technologies 2014. Prohibida su reproducción
5. Deberes de los auditores de SGCN
• Planear las auditorías • Uso de efectivo de los recursos de GCN • Ejecutar la auditoría • Habilidades para comunicarse con el
liderargo en CN • Ser competentes en SGCN • Evalualuar la efectividad de SGCN • Prevenir y resolver los conflictos • Preparar y completar el informe de
auditoría • Ser reservado con los hallazgos de
auditoria • Generar las conclusiones de auditoría
6. Responsabilidad de la Alta Dirección en las auditorías de SGCN
• Garantizar la provisión de productos y servicios a sus partes interesadas.
• Ser competentes en SGCN. • Provisionar los recursos de GCN. • Garantizar un SGCN alineado a sus
objetivos estratégicos. • Establecer formalmente su compromiso,
autoridad. • Definir su apetito de riesgo. • Revisiones de la GCN y prácticas de GCN • Empoderamiento de sus colaboradores. • Garantizar su cumplimiento legal y
regulatorio.
Conclusiones y recomendaciones • Una auditoría de SGCN alineada a los objetivos
estratégicos de la organización bajo el liderazgo estratrégico, desarrolla resiliencia organizacional.
• No es lo mismo auditar GCN bajo un enfoque tradicional, a realizar auditorías en conformidad con un SGCN bajo los requisitos de una norma internacional como lo es la ISO 22301.
• Un SGCN te permite permanecer en el mercado global y mantener la provisión de productos y servicios al nível mínimo de operación que definas en tu organización.
• En la evolución del SGCN ahora nos dirigimos hacia la seguridad de las sociedades.
¿Preguntas? Auditando un Sistema de Gestión de
Continuidad del Negocio (SGCN), bajo el enfoque de ISO 22301 Maricarmen García de Ureña,
Director General Secure Information Technologies