Título  de  la  Presentación  

Auditando un Sistema de Gestión de Continuidad del Negocio (SGCN), bajo

el enfoque de ISO 22301 Expositor: Maricarmen García de Ureña

Sobre Maricarmen Maricarmen García de Ureña, es socio fundador de la firma de consultoría Secure Information Technologies, es empresaria, catedrático y consultor especialista en temas de Gestión de Riesgos, Continuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Es instructor oficial del BSI (British Standards Institucion).

E-mail: maricarmen.garcia@secureit.com.mx www.secureit.com.mx

Maricarmen García de Ureña

Director General Secure Information

Technologies

Instructor certificado de bsi

CBCP, ISO 22301 LA, ISO 27001 LA,

México

Agenda 1.  Introducción 2.  Beneficios del SGCN (BCMS). 3.  Proceso de auditoría 4.  Auditorías de GCN vs Auditorías de SGCN 5.  Deberes de los auditores de SGCN 6.  Responsabilidad de la Alta Direción en las

auditorías de SGCN 7.  Resumen y conclusiones 8.  Preguntas

1. Introducción

¿Qué amenaza es la que más te preocupa?

Piensa en aquella que actualmente no te permita conciliar tus sueños

RESPUESTAS:

1. Introducción Algunas Respuestas: Nada me quita el sueño, en mi empresa todo funciona bien, nada no nos va a pasar jamás

No estar preparado ante ataques cibernéticos El que nuestros competidores demuestren estar mejor preparados que nosotros.

No saber como enfrentar un desastre natural No haberme preparado aún para un cataclismo

2. Beneficios de un SGCN •  Asegura el cumplimiento con los requisitos

legales y regulatorios •  Due care •  Due dilligence •  Desempeño robusto de la GCN •  Resiliencia organizacional (GI + GCN)

3. Proceso de auditoría •  Estándares de auditoría de SGCN

–  ISO 19011

–  Proporciona orientación sobre la gestión de un programa de auditoría del SGCN

–  ISO/IEC 17021

–  Evalúa la conformidad para los organismos que realizan auditorías de certificación ISO 22301

3. Proceso de auditoría •  Etapas:

Iniciar la auditoría

Preparar las actividades de auditoría

Llevar a cabo las actividades de auditoría

Preparar y distribuir el informe de auditoría

Completar la auditoría

Llevar a cabo el seguimiento de auditoría

3. Proceso de auditoría •  Tipos de auditorías de auditoría de SGCN

–  Primera parte •  Auditorías Internas del SGCN

–  Segunda parte •  Auditorías que las empresas realizan a sus proveedores

–  Tercera parte •  Auditorías de certificación

Auditorías Internas

Se realizan a intervalos planeados para determinar si el SGCN:

Cumple con los requisitos propios de la organización para GCN

Cumple con los requisitos de ISO 22301

Se ha implementado y se mantiene eficazmente

3. Proceso de auditoría

4. Auditorías de GCN vs Auditorías de SGCN

•  Ciclo de vida de GCN

Fuente:  BS  25999  

4. Auditorías de GCN vs Auditorías de SGCN    

   

   

Fuente:  Secure  Informa4on  Technologies,  2014  

Ele

me

nto

s d

e G

CN

Curso de capacitación

Análisis de riesgos

Análisis de Impacto al Negocio

Estrategia de recuperación

Planes  de  Con4nuidad  

Prueba  

Políticas

4. Auditorías de GCN vs Auditorías de SGCN

•  Ciclo Deming del SGCN

Auditorías SGCN con ISO 22301

Derechos  reservados.  Secure  Informa4on  Technologies  2014.  Prohibida  su  reproducción  

Proceso  obligatorio  

Proceso  obligatorio  documentado  

Procedimiento  obligatorio  

Procedimiento  obligatorio  documentado  

Información  documentada  (prác4ca  común)  

Información  documentada  obligatoria  

14  

4. Auditorías de GCN vs Auditorías de SGCN    

   

   

Fuente:  Secure  Informa4on  Technologies,  2014  

Ele

me

nto

s q

ue

se

a

ud

itan

en

un

SG

CN

Contexto  de  la  organización  

Liderazgo   Planeación   Soporte  

Operación  

Evaluación  del  

desempeño  

Mejora  

Análisis    de  partes  

interesadas  

Alcance  

Factores  internos  y  externos  de  incer4dumbre  

Polí4ca  de  con4nuidad  del  negocio  

Compromiso  de  la  

dirección  

Roles,  responsabilidades  y  

autoridades  

Obje4vos  de  con4nuidad  

Análisis  de  

recursos  

Evidencia  de  concien4zación  

Procedimientos  de  comunicación  

Control  de  documentos  

Análisis    de  Impacto  al  Negocio  

Análisis    de  riesgos  

Estrategia  de  con4nuidad  

Procedimientos  de  con4nuidad  del  negocio  

Estructura  de  respuesta  a  incidentes  

Ejercicios  y  pruebas  

Monitoreo,  medición,  análisis  y  evaluación  

Auditoría  interna   Revisión  de  

la  dirección  

Ges4ón  de  no  conformidades  

Ges4ón  de  acciones  correc4vas  

Mejora  con4nua  

Contexto  de  la  organización  

Requerimientos  legales  y  

regulatorios  

Requerimientos  legales  y  

regulatorios  

Exclusiones  

Aspectos  internos  y  externos  

Propósito  del  SGCN  

Ape4to  y  criterios  de  

riesgo  

Ac4vidades,  funciones,  servicios,  

etc.  

SGCN  Evidencia  de  competencia  

Planeación  y  control  

operacional  

Requerimientos  de  recursos  

Tratamiento  de  riesgos  

Advertencia  y  comunicación  

Planes  de  con4nuidad  del  negocio  

Procedimientos  de  recuperación  

Reportes  post-­‐

ejercicio  

Monitoreo  del  

desempeño   Auditoría  interna  

Auditoría  interna  

Derechos  reservados.  Secure  Informa4on  Technologies  2014.  Prohibida  su  reproducción  

5. Deberes de los auditores de SGCN

•  Planear las auditorías •  Uso de efectivo de los recursos de GCN •  Ejecutar la auditoría •  Habilidades para comunicarse con el

liderargo en CN •  Ser competentes en SGCN •  Evalualuar la efectividad de SGCN •  Prevenir y resolver los conflictos •  Preparar y completar el informe de

auditoría •  Ser reservado con los hallazgos de

auditoria •  Generar las conclusiones de auditoría

6. Responsabilidad de la Alta Dirección en las auditorías de SGCN

•  Garantizar la provisión de productos y servicios a sus partes interesadas.

•  Ser competentes en SGCN. •  Provisionar los recursos de GCN. •  Garantizar un SGCN alineado a sus

objetivos estratégicos. •  Establecer formalmente su compromiso,

autoridad. •  Definir su apetito de riesgo. •  Revisiones de la GCN y prácticas de GCN •  Empoderamiento de sus colaboradores. •  Garantizar su cumplimiento legal y

regulatorio.

Conclusiones y recomendaciones •  Una auditoría de SGCN alineada a los objetivos

estratégicos de la organización bajo el liderazgo estratrégico, desarrolla resiliencia organizacional.

•  No es lo mismo auditar GCN bajo un enfoque tradicional, a realizar auditorías en conformidad con un SGCN bajo los requisitos de una norma internacional como lo es la ISO 22301.

•  Un SGCN te permite permanecer en el mercado global y mantener la provisión de productos y servicios al nível mínimo de operación que definas en tu organización.

•  En la evolución del SGCN ahora nos dirigimos hacia la seguridad de las sociedades.

¿Preguntas? Auditando un Sistema de Gestión de

Continuidad del Negocio (SGCN), bajo el enfoque de ISO 22301 Maricarmen García de Ureña,

Director General Secure Information Technologies

maricarmen.garcia@secureit.com.mx