ISO 22301 Seguridad de las sociedades- Continuidad del negocio

Copyright © 2012 BSI. All rights reserved.

Conociendo BS ISO 22301, estándar internacional de continuidad del negocio

Presentado por: Maricarmen García de Ureña CBCP, Auditor Líder ISO 22301, ISO 27001

31/10/2013

2 Copyright © 2012 BSI. All rights reserved. Copyright © 2012 BSI. All rights reserved.

Agenda

•- Generalidades

•- Principales definiciones

•- Componentes del SGCN

•- Principales diferencias con BS 25999

•- Principales diferencias con otras mejores prácticas

•- Certificación

•- Siguientes pasos

31/10/2013

3 Copyright © 2012 BSI. All rights reserved.

Generalidades

• ¿Qué es ISO 22301?

• Provee los requerimientos para un Sistema de Gestión de la Continuidad del Negocio (BCMS)

• Basado en una BCM global de mejores prácticas

• Creado en respuesta al fuerte interés en la Norma Británica original, BS 25999-2 y otros estándares regionales

• BS 25999-2 texto original clave para su desarrollo

• Para aquellos certificados o alineados a BS 25999-2, los requerimientos adicionales no son onerosos

• Compatible con otros estándares y buenas prácticas

31/10/2013


Generalidades

• BS ISO 22301:2012 - Societal security. Business continuity management systems. Requirements

• Puede ser utilizado por organizaciones:

• … de cualquier tamaño.

• … en el sector público y privado.

• … de manufactura o servicio.

• … en cualquier sector de la industria.

• Financiero

• Mercado de valores

• Telecomunicaciones

• Manufactura

• Entretenimiento

• Educación

• Hospitalario

• Retail

• Consultoría

• Entre otros.

31/10/2013


Generalidades

• Comité técnico 223

• Alcance:

• (Provisional) Estandarización internacional en el área de seguridad social, orientada a incrementar la gestión de crisis y las capacidades de continuidad del negocio, por ejemplo, a través de interoperabilidad técnica, humana, organizacional y funcional, así como concientización situacional compartida, entre todas las partes interesadas.

• El comité utilizará un enfoque de “todos los riesgos” cubriendo todas las actividades necesarias en en las fases clave de la gestión de crisis y continuidad del negocio.

31/10/2013


Generalidades

• Resiliencia en las organizaciones y en la sociedad.

• “En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”.

Fuente: “Planning for the worst” – CMI Business Continuity Management Survey, March 2012

31/10/2013


Generalidades

• Beneficios de un Sistema de Gestión de Continuidad del Negocio:

• Continuidad en la provisión de productos y servicios fundamentales

• Cumplimiento regulatorio, legal y contractual

• Disminución en los costos de polizas de seguros

• Diferencia sobre competidores

• Cumplimiento con requisitos en licitaciones

• Participación en mercados internacionales

31/10/2013


Generalidades – Adopción de BS 25999 por industria

31/10/2013


Generalidades - Evolución

31/10/2013


Generalidades – Estándares relacionados

31/10/2013

Retirado

Vigente

Próximamente


Principales definiciones

• Actividad.- Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos y servicios.

• Continuidad del negocio.- Capacidad de una organización para continuar la entrega de productos o servicios en niveles aceptables predefinidos después de que ocurre un incidente de interrupción.

• Gestión de Continuidad del Negocio.- Proceso de gestión holístico que identifica amenazas potenciales para una organización y los impactos a las operaciones del negocio, que esas amenazas pudieras causar en caso de materializarse y que provee un marco de referencia para crear resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus principales partes interesadas, reputación, marca y actividades que generar valor.

• Sistema de Gestión de Continuidad del Negocio.- Parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

31/10/2013

Evento Organizado por:


Principales definiciones

• Business Impact Analysis (BIA).- Análisis de Impacto al Negocio. Proceso de analizar actividades y el efecto que una interrupción puede tener sobre ellas.

• Evaluación de Riesgos.- Proceso general de identificación, análisis y evaluación de riesgos.

• Incidente.- Situación que puede ser o derivar en una interrupción, pérdida, emergencia o crisis.

• Pruebas.- Procedimiento para evaluar.

(En nuestro caso los arreglos de continuidad).

• Ejercicio.- Proceso para entrenar, evaluar, practicar,

y mejorar el desempeño de una organización.

31/10/2013


Principales definiciones (Acrónimos)

• BCP.- Business Continuity Plan

• RTO.- Recovery Time Objective

• RPO.- Recovery Point Objective

• MTPD.- Maximum tolerable period of disruption

31/10/2013


Componentes del SGCN

• Como otros Sistemas de Gestión, tiene los siguientes componentes:

a) Política

b) Personas con responsabilidades definidas

c) Procesos de gestión relativos a:

1. Política

2. Planeación

3. Implementación y operación

4. Evaluación del desempeño

5. Revisión de la gerencia

6. Mejora

d) Documentación que provee evidencia auditable

e) Cualquier proceso de gestión de continuidad del negocio relevante para la organización

31/10/2013



31/10/2013

BS 25999 - 2

1 - Alcance

2 - Términos y definiciones

3 - Planear el SGCN

4 - Implementar y operar el SGCN

5 - Monitorear y revisar el SGCN

6 - Mantener y mejorar el SGCN




31/10/2013

BS 25999 - 2

1 - Alcance


3 - Planear el SGCN




P

D

C

A



31/10/2013

BS 25999 - 2

1 - Alcance


3 - Planear el SGCN




ISO 22301

1 - Alcance

2 - Referencias normativas


4 - Contexto de la organización

5 - Liderazgo

6 - Planeación

7 - Soporte

8 - Operación

9 - Evaluación del desempeño

10 - Mejora

P

D

C

A




• Cláusula 4 – Contexto de la organización

• Consideración del contexto interno y externo

• Necesidades, requerimientos y alcance

• Apetito del riesgo, requerimientos legales y regulatorios

• Igualmente importantes son las inclusiones / exclusiones

• Comunicación clara del alcance a partes internas y externas

31/10/2013



• Cláusula 5 – Liderazgo

• Resumen de los requerimientos específicos del rol de la alta gerencia

• Establecimiento de política

• Nuevos requerimientos para demostrar compromiso

• Designación de responsable del SGCN

31/10/2013

SGCN



• Cláusula 6 – Planeación

• Establecer objetivos estratégicos

• Determinar responsables para el cumplimiento de objetivos

• Determinar riesgos y oportunidades

• Tareas a realizar y tiempos

• Como se evaluarán los resultados

31/10/2013



• Cláusula 7 – Soporte

• No especifíca el requerimiento de análisis de necesidades de entrenamiento

• Mayor énfasis en concientización

• Mayor énfasis en comunicación

• Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos

31/10/2013



• Cláusula 8 – Operación

• Requerimientos extendidos en estructura de respuesta a incidentes

• Planes de continuidad del negocio tienen menos requerimientos que en BS 25999-2

• Recuperación como un requerimiento totalmente nuevo

• No requiere un programa de ejercicios aprobado

31/10/2013



• Cláusula 8.2.1 – Nota

• 22301 permite implementar BIA o Riesgos no importando el orden en que se lleven a cabo.

31/10/2013

Análisis de Impacto al Negocio

Evaluación de Riesgos



• Cláusula 9 – Evaluación del desempeño

• Monitoreo, medición, análisis y evaluación

• Auditoría interna

• Revisión de la gerencia

• Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes

• Las entradas de las partes interesadas y los resultados de programas de concientización y entrenamiento no se consideran como entradas de la revisión

31/10/2013



• Cláusula 10 – Mejora

• Se combinan las cláusulas de acciones correctivas y preventivas en una sola

31/10/2013


Principales diferencias con BS 25999 - Adiciones

31/10/2013

Contexto de la organización (Context of the organization)

Explicación:

Ambiente en el que opera la organización



31/10/2013

Partes interesadas (Interested parties)

Explicación:

Sustituye a “Stakeholders”



31/10/2013

Liderazgo (Leadership)

Explicación:

Requerimientos específicos para la alta gerencia




31/10/2013

MAO (Maximum Acceptable Outage)

Explicación:

Tiempo en el que impactos adversos se

convierten en “inaceptables”




31/10/2013

MBCO (Minimum Business Continuity Objective)

Explicación:

Nivel mínimo de servicios y/o productos que

es aceptable para la organización para lograr

sus objetivos de negocio durante una

interrupción



31/10/2013

Evaluación del desempeño (Performance evaluation)

Explicación:

Cubre la medición de la efectividad del

SGCN y la GCN




31/10/2013

Periodos de tiempo priorizados (Prioritized timeframes)

Explicación:

Orden y tiempo de recuperación para

actividades críticas



31/10/2013

Alerta y comunicación (Warning and communication)

Explicación:

Actividades a realizar durante un incidente


Principales diferencias con otras mejores prácticas:

31/10/2013

Fuente de imagen: Secure Information Technologies, 2013

27001

PAS56 BS25999-1

BCMS

Sistema de Gestión de

Continuidad del

Negocio

Buenas prácticas

BCM

27031

22301* * Antes BS 25999-2



31/10/2013

Fuente de imagen: Secure Information Technologies, 2013

Ciclo de Vida de BCM

BCMS

Método tradicional Método con sistema de gestión



31/10/2013 Fuente de imagen: Secure Information Technologies, 2013

Entregables tradicionales de BCM

Curso de capacitació

n

Análisis de riesgos


Estrategia de

recuperación

BCP

Prueba

Políticas



31/10/2013 Fuente de imagen: Secure Information Technologies, 2013

Entregables tradicionales de BCM

Curso de capacitació

n



Estrategia de

recuperación

BCP

Prueba

Políticas


Documentos en el enfoque de Sistema de Gestión (BCMS)

Contexto de la

organización

Liderazgo Planeación Soporte

Operación

Evaluación del

desempeño

Mejora

Análisis de partes

interesadas

Alcance

Apetito y criterios de riesgo

Política de continuidad del negocio

Compromiso de la

dirección

Roles, responsabil-

idades y autoridades

Objetivos de

continuidad Análisis

de recursos

Concientización

Comunicación

Control de documentos



Estrategia de

continuidad

Procedimientos de

continuidad

DRP IMP BCP

Programa de pruebas y ejercicios

Monitoreo, medición, análisis y evaluación

Auditoría interna

Revisión de la dirección

Gestión de no conformidades

Gestión de acciones

correctivas

Procedimiento de mejora continua

Fuente de imagen:

Secure Information Technologies, 2013


Principales diferencias con otras mejores prácticas

Contexto de la

organización

Liderazgo Planeación Soporte

Operación

Evaluación del

desempeño

Mejora

Análisis de partes

interesadas

Alcance

Apetito y criterios de riesgo

Política de continuidad del negocio

Compromiso de la

dirección

Roles, responsabil-

idades y autoridades

Objetivos de

continuidad Análisis

de recursos

Concientización

Comunicación

Control de documentos



Estrategia de

continuidad

Procedimientos de

continuidad

DRP IMP BCP

Programa de pruebas y ejercicios

Monitoreo, medición, análisis y evaluación

Auditoría interna

Revisión de la dirección

Gestión de no conformidades

Gestión de acciones

correctivas

Procedimiento de mejora continua

Fuente de imagen:

Secure Information Technologies, 2013


Certificación

31/10/2013



Certificación

31/10/2013

• Seleccionar estándar

• Establecer contacto con BSI

• Conocer al equipo de evaluación

• Considerar entrenamiento

• Revisión y evaluación

• Certificación


Certificación

Transición de BS 25999 a ISO 22301

• ISO 22301 sustituye a BS 25999-2 • Fecha límite para certificaciones con BS 25999-2: Fue en noviembre del 2012 • Periodo de transición definido: 31 Mayo 2014 • Después de este periodo ningún certificado BS 25999-2 será válido • Es posible realizar la transición antes de la siguiente visita de evaluación continua

31/10/2013


Siguientes pasos

• Estándar disponible en http://shop.bsigroup.com/

• Participe en nuestros cursos

• Introducción

• Transición

• Implementación

• Auditor Interno

• Auditor Líder

31/10/2013

Maricarmen García de Ureña

www.maricarmengarcia.com.mx

@besair

@besair

[email protected]

mailto:[email protected]

ISO 22301 Seguridad de las sociedades- Continuidad del negocio

Business

Transcript of ISO 22301 Seguridad de las sociedades- Continuidad del negocio