Sistema Gestion Continuidad del Negocio (ISO 22301).pdf

8/11/2019 Sistema Gestion Continuidad del Negocio (ISO 22301).pdf

1/67

Sistema Gestin Continuidad delNegocio

(ISO 22301)

Luis Gustavo Rojas, MBA, CPA, CISA


2/67

Agenda

Antecedentes

Situaciones que no se consideranregularmente

Factores crticos de xito

Sistema de Gestin de la Continuidad delNegocio (norma ISO 22301)

Conclusiones


3/67

Antecedentes


4/67

Antecedentes

El 81 por ciento de los directores cuyas

organizaciones activaron sus mecanismos de

continuidad de negocio en los ltimos 12 meses

dicen que fue efectivo en la reduccin de lasinterrupciones. En resumen: la continuidad de

negocio funciona *


5/67


6/67

Situaciones que no se consideran

generalmente


7/67


8/67


9/67


10/67


11/67

Escndalo europeo sobre carne de caballo reaparece en Francia,

Rumania reacciona

Pars, El escndalo europeo del fraude con carne de caballo salt eldomingo a Francia, donde platos preparados fueron retirados de la ventaen seis grandes cadenas de supermercados, mientras que en Rumania, los

profesionales responsabilizan al importador francs.


12/67


13/67


14/67

Cundo estamosante un evento osituacin que puededesencadenar enuna crisis?


15/67

Factores Crticos de xito


16/67

Apoyo de la Alta Direccin

La decisin de contar con unSistema de Gestin deContinuidad del Negocio(BCMS) debe nacer de la alta

administracin

Debe existir una cultura degobierno corporativo fuerte

Debe dotar de recursos e

invertir en capacitacin,entrenamiento, pruebas, etc

Debe ser un participanteactivo


17/67

Integracin de un Comit de AltoNivel

El Gerente debe integrar un equipo de trabajo ocomit de alto nivel para impulsar y evaluar el BCMS

Riesgo

Comercial Finanzas

Tecnologa de Informacin

Operaciones Recursos Humanos


18/67

Lograr el esfuerzo colectivo

No es un esfuerzosolo de tecnologa de

informacin No es un esfuerzo

solo del negocio


19/67

Definir una estrategia

Se debe utilizar unaestrategia de divide yvencers

Quick wins

Definir un estndar o buenaprctica para seguir

Hacerse acompaar de

especialistas o entrenarrecursos humanos


20/67

ISO 22301 Seguridad Social- Sistema degestin de la Continuidad de Negocio

(BCMS Business continuity managment systems)

Si d G i l


21/67

Sistema de Gestin para laContinuidad del Negocio (BCMS)

Un BCMS hace nfasis en la importancia de:

Entender lasnecesidades de

la organizacin ylos

requerimientosde sus polticas yobjetivos

Implementar yoperacionalizarcontroles y

medidas paragestionar la

capacidad total

de laorganizacinpara manejar

incidentesdisruptivos.

Monitorear yrevisar el

desempeo y

efectividad delBCMS

Medir elmejoramientocontinuo del

sistema


22/67

Componentes Claves del BCMS

Poltica

Responsabilidadesdefinidas

Personas

Poltica

PlanificacinImplementacin yOperacin

Evaluacin deldesempeo

Revisin de la GestinMejoramiento

Administracinde Procesos

Relacionadoscon:

Que proveaevidenciaauditable

Documentacin De continuidad delnegocio relevantespara la organizacin

Otros procesosde gestin


23/67

M d l Pl D Ch k A t PDCA


24/67

Modelo Plan-Do-Check-Act PDCAAplicado a los Procesos de BCMS

Establecer

(plan)

Implementar yOperar

(Do)

Monitoreo yrevisin (check)

Mantener ymejorar

(Act)

Partes

Interesadas

Requerimientos

para la

continuidad del

negocio

Partes

Interesadas

Administracin

de la

continuidad del

negocio

Mejoramiento continuo del sistema de gestin de la continuidad delnegocio

Establecer la poltica de continuidad del

negocio, objetivos, alcances, controles,

procesos y procedimientos relevantes para

mejorar la continuidad del negocio con el

fin de entregar resultados alineados con

las polticas y objetivos organizacionales

d l l h k


25/67


Establecer

(plan)

Implementar yOperar

(Do)


Mantener ymejorar

(Act)

Partes

Interesadas

Requerimientos

para la

continuidad del

negocio

Partes

Interesadas

Administracin

de la

continuidad del

negocio


Implementar y operacionalizar la poltica

de continuidad del negocio, controles,

procesos y procedimientos



26/67


Establecer

(plan)

Implementar yOperar

(Do)


Mantener ymejorar

(Act)

Partes

Interesadas

Requerimientos

para la

continuidad del

negocio

Partes

Interesadas

Administracin

de la

continuidad del

negocio


Monitorear y revisar el desempeo contra

la poltica de continuidad del negocio y los

objetivos, reportar los resultados de la

revisin de la gestin, y determinar y

autorizar acciones para remediar o mejorar



27/67


Establecer

(plan)

Implementar yOperar

(Do)


Mantener ymejorar

(Act)

Partes

Interesadas

Requerimientos

para la

continuidad del

negocio

Partes

Interesadas

Administracin

de la

continuidad del

negocio


Mantener y mejorar el BCMS

C t d l


28/67

Componentes de laNorma ISO 22301

Alcance

Contexto de laOrganizacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin dedesempeo

Mejoramiento


29/67

Conclusiones

Es necesario desarrollar la continuidad Con una visin de proceso de gestin

Con un enfoque Plan- Do Check - Act

El Sistema de Gestin de la Continuidad delNegocio

Parte de la priorizacin de actividades claves

Considera los riesgos de incidentes disruptivos

Para garantizar la suficiencia y eficiencia

Es necesario el ejercicio y las pruebas peridicas

Realizar revisiones de auditora y administrativas


30/67

Muchas Gracias

Luis Gustavo Rojas, CPA, CISA, MBA

[email protected]

[email protected]
mailto:[email protected]:[email protected]:[email protected]:[email protected]


31/67


32/67

Entender la organizacin y su

contexto

La organizacin debe entender loselementos internos y externos que leson relevantes para sus propsitos y quepueden afectar la habilidad de alcanzar

el resultado deseado de su BCMS


33/67


34/67

Entender la organizacin y su

contexto

El alineamiento entre la poltica de continuidad delnegocio y los objetivos estratgicos organizacionalesy otras polticas, incluyendo la Gestin de Riesgos(apetito de riesgo).


35/67

Entender las necesidades y

expectativas de las partes interesadas

Al establecer un BCMS la organizacin debe entenderlas partes interesadas y sus requerimientos yexpectativas, incluyendo requerimientos legales yregulatorios


36/67

Determinar el alcance del BCMS

La organizacindebe definir la

frontera yaplicabilidaddel BCMS(documentar)

Establecer laspartes de la

organizacinque sernincluidas

Establecer losrequerimientos

del BCMS(visin, misin,objetivos yobligaciones)


37/67

Liderazgo

La alta administracin y las personas con rolesrelevantes para la organizacin, deben demostrarliderazgo con respecto al BCMS


38/67

Compromiso de la direccin

Asegurarse que las polticas y objetivos son establecidos.

Asegurar la integracin del BCMS con los procesos de negocio.

Asegurar que los recursos necesarios para el BCMS estndisponibles.

Comunicar la importancia del BCMS

Asegurar que se logre el resultado esperado.

Nombrar las personas competentes para ser responsables de la

implementacin del BCMS y dotarlas de la autoridad apropiada


39/67

Compromiso de la direccin

Direccionar y dar soporte a las personas que contribuyen a laefectividad del BCMS.

Promover la mejora continua

Definir los criterios de aceptacin del riesgo y los nivelesaceptables de riesgo

Participar activamente en los ejercicios y pruebas.

Asegurar que las auditorias internas del BCMS son realizadas

Conducir las revisiones administrativas del BCMS

Demostrando su compromiso con el mejoramiento continuo.


40/67

Poltica

Debe serapropiada

para lospropsitos

de laorganizacin

Proporcionarun marco

para elestableci-miento de

objetivos decontinuidad

de negocio

Incluir el

compromisode satisfacerlos

requerimien-tos

aplicables

Incluir elcompromisode la mejoracontinua del

BCMS

Debe estardocumentada,comunicada,disponible y

se debendefinir los

tiempos para

su revisin.


41/67

Roles, responsabilidad y autoridad

Los roles relevantesdeben ser asignados ycomunicados a laorganizacin:

Asegurar que el sistemacumple de conformidadcon los requerimientosdel estndar.

Reportar el desempeodel BCMS a la altaadministracin.


42/67

Planificacin

Cuando se planifica, se deben considerarlos requerimientos y gestionar los riesgos

y oportunidades.

Considerar los eventos no deseados paraprevenirlos o reducirlos

Evaluar la efectividad de esos planes.

Establecer los objetivos de la continuidaddel negocio y comunicarlos a los niveles

apropiados de la organizacin.

Se deben establecer mtricas para medirel alcance de los objetivos


43/67

Planificacin

Quin es responsable?

Qu se debe hacer?

Qu recursos sern

requeridos? Cundo se debe

terminar?

Cmo sern evaluadoslos resultados?


44/67

Soporte

La organizacin debedeterminar los recursosnecesarios paraestablecer,implementar, mantenery mejorarcontinuamente suBCMS.


45/67

Competencia

Definir personascompetentes parahacer el trabajo

Asegurar que tienen laeducacin apropiada,entrenamiento yexperiencia.

Evaluar lascompetenciasregularmente


46/67

Conciencia

Las personas que trabajan en elBCMS deben ser consientes de:

La poltica

Su contribucin a la efectividaddel BCMS

Las implicaciones por las noconformidades

Su rol durante los eventosdisruptivos
http://psicoblogia.com/wp-content/uploads/2010/02/entrevistaseleccion2.jpg


47/67

Comunicacin

Las organizacin debe determinar las necesidades

internas y externas de comunicacin.

Qu debe ser comunicado?

A quines se les debe comunicar?


48/67

Operacionalizar el BCMS

Actividades Soportan los Productos y Servicios

BIAAnlisis de

Riesgos

Definicin de Estrategias

Estructura de Respuestaa Incidentes

Procedimientos deContinuidad

Alerta yComunicacin

Planes deContinuidad

Recuperacin

Pruebas

Evalua

cindelDesempeo

A

uditora

Interna

Revisiones

Administrativas


49/67

Operacin

La organizacindebe planificar,implementar y

controlar elproceso necesariopara alcanzar losrequerimientos


50/67

Anlisis de Impacto al Negocio BIA

Establecer el contexto de la evaluacin

Identificar actividades que soportan los productos yservicios

Evaluar los impactos sobre el tiempo por no llevar acabo estas actividades

Definir los criterios

Compromisos legales

Cuantitativos Cualitativos


51/67


tiempo que tomara para que los efectos adversos que puedan surgircomo consecuencia de no proporcionar un producto o servicio o la norealizacin de una actividad, sean inaceptables

MAO Maximum Acceptable Outage(Interrupcin mxima aceptable)

tiempo que tomara para que los efectos adversos que puedan surgircomo consecuencia de no proporcionar un producto o servicio o la norealizacin de una actividad, lleguen a ser inaceptables

MTPD Maximum tolerable period ofdisruption (Perodo mximo

tolerable de interrupcin)

Nivel mnimo de servicios o productos y que sera aceptable para laorganizacin para lograr sus objetivos durante una interrupcin

MBCO minimum business continuityobjective (objetivo mnimo de

continuidad del negocio)

punto en que la informacin utilizada por una actividad debe serrestaurada para que la actividad reanude operaciones

RPO recovery point objective (puntoobjetivo de recuperacin)

perodo de tiempo despus de un incidente en el que: el producto oservicio debe reanudarse, la actividad debe reanudarse o los recursosdebe ser recuperados

RTO recovery time objective (tiempoobjetivo de recuperacin)


52/67


Establecer plazos priorizados parala reanudacin de estasactividades a un nivel mnimoaceptable, teniendo en cuenta eltiempo en el que los efectos de la

no reanudacin de ellos serainaceptable.

Identificar dependencias yrecursos de soporte para lasactividades, incluyendo

proveedores y otras partesinteresadas.


53/67

Evaluacin de Riesgos RA

Actividades priorizadas

Procesos

Sistemas

Informacin

Personas

Activos

Servicios tercerizados

Otros recursos de soporte

Identificar riesgosde disrupcin para

la organizacin:

Identificar el

tratamiento de losriesgos de acuerdocon el apetito de

riesgo de laorganizacin

Estrategias de Continuidad del


54/67


Negocio

Determinar y seleccionar estrategias de acuerdo conlos resultados del BIA y el RA

Establecer estrategias apropiadas para estabilizar,continuar, reanudar y recuperar las actividadespriorizadas y sus dependencias y recursos de apoyo

La estrategia deber incluir la definicin de ventanastiempo priorizadas para la reanudacin de lasactividades



55/67


NegocioLa organizacin debe determinar los recursos requeridos para implementar lasestrategias seleccionadas

Personas

Informacin y datos

Edificios, ambientes de trabajo y utilitarios

Equipamiento y proveedura

Sistemas de comunicacin tecnolgicos

Transporte

Financieros

Proveedores



56/67


Negocio

La organizacin debe darleun tratamiento a losriesgos para:

Reducir la probabilidad

de ocurrencia

Acortar el periodo de ladisrupcin

Limitar el impacto de la

disrupcin en losproductos y serviciosclaves de la organizacin

Establecer los procedimientos de


57/67

Establecer los procedimientos de

continuidad del negocio

Se deben establecer, implementar y dar mantenimiento a losprocedimientos para administrar los incidentes disruptivos y darle

continuidad a las actividades, de acuerdo a los objetivos derecuperacin identificados en el BIA

Protocolo decomunicacin a lointerno y externo

Ser especficos enpasos que se

deben realizardurante la

disrupcin.

Ser flexibles pararesponder a

situaciones noesperadas, o

cambios en las

condicionesinternas o externas

Desarrollarsesobre la base de

los supuestosestablecidos y un

anlisis de las

interdependencias


58/67

Estructura de Respuesta a Incidentes

La organizacin debe establecer procedimientos y mantener unaestructura para responder a los incidentes disruptivos usando elpersonal que sea necesario, con autoridad y competencias para

administrar el incidente.

identificar losumbrales deimpacto quejustifiqueniniciar unarespuesta

formal.

Evaluar lanaturaleza y

extensin delincidente y su

impacto

potencial

Activar unaapropiada

respuesta decontinuidad del

negocio

Contar conprocesos y

procedimientospara la activacin,

operacin,coordinacin y

comunicacin dela respuesta

Contar con losrecursos

disponiblespara soportarlos procesos y

procedimientoso para

minimizar elimpacto

Comunicarsecon las partesinteresadas,autoridadesas como conlos medios decomunicacin


59/67

Alerta y Comunicacin

La organizacin debe tener procedimientos establecidos para: Detectar un incidente

Monitoreo regular de incidentes

Comunicacin interna y documentacin para responder a las partesinteresadas

Recepcin, documentacin y repuesta a cualquier organizacinnacional o regional de riesgos o similar

Asegurar disponibilidad para los medios de comunicacin durante elincidente

Facilidades de comunicacin estructuradas con los servicios de

emergencia Recolectar la informacin vital durante el incidente, acciones

tomadas, decisiones tomadas, etc


60/67

Planes de continuidad del negocio

Los planes de continuidad del negocio en conjuntocontendrn:

Roles y responsabilidades de las personas y equipos que tienenautoridad durante el incidente

El proceso para activacin de la respuesta

Detalles del manejo de las consecuencias inmediatas:

El bienestar de las personas

Opciones operacionales tcticas y estratgicas para responder alincidente

Prevencin de una prdida mayor por falta de disponibilidad de lasactividades priorizadas

Pl d i id d d l i


61/67

Planes de continuidad del negocio

Detalles de cmo y bajo que circunstancias la organizacin se comunicar

con los empleados o sus familiares, partes interesadas claves o contactos deemergencia.

Cmo la organizacin continuar o recuperar sus actividades priorizadasen las ventanas de tiempo predefinidas

Detalles de las respuesta de la organizacin a los medios

Estrategia de comunicacin

Interfaz preferida con los medios de comunicacin Guas o borradores de declaraciones a los medios

Vocero apropiado

Proceso para volver a la normalidad una vez que el incidente ha terminado

R i


62/67

Recuperacin

La organizacin debetener procedimientosdocumentados pararestablecer o retornar a

las actividades denegocio, desde lasmedidas temporalesadoptadas para

soportar losrequerimientos delnegocio luego delincidente.

P b


63/67

Pruebas

La organizacin debeejercitarse y probar sus

procedimientos decontinuidad del negocio paraasegurar que sonconsistentes con los objetivos

P b


64/67

Pruebas

La organizacin debe conducir ejercicios para probar: Si el BCMS es consistente con el alcance y objetivos

Si estn basados en escenarios apropiados

Validar el tiempo conjunto para lograr los acuerdos de

continuidad del negocio, involucrando a las partes interesadaspertinentes

Minimizar el riesgo de disrupcin de las operaciones

Preparar informes post-evaluacin que contenganrecomendaciones y acciones de mejora

Se examinan en el contexto de mejora continua Son realizados en intervalos planificados y cuando ocurren

cambios significativos en la organizacin o su ambiente


65/67

A dit I t


66/67

Auditora Interna

La organizacin debe conducir auditoriasinternas a intervalos planeados para proveer

informacin sobre el BCMS

La organizacin debe planear, establecer,implementar y mantener los programas deauditoria, incluyendo: frecuencia, mtodos,

responsabilidades y reportes.

Definir los criterios de auditora y el alcance decada auditora.

La auditora debe considerar las actividades deevaluacin de riesgos de la organizacin y el

seguimiento de informes anteriores.

R i i d i i t ti


67/67

Revisin administrativa

La alta administracin debe revisar el BCMS de laorganizacin a intervalos planificados, para asegurarsu continuidad, idoneidad, adecuacin y eficacia.

Estatus de las acciones de revisiones administrativas

previas Cambios internos y externos relevantes

Informacin del desempeo de la continuidad delnegocio

Oportunidades de mejoramiento continuo

Sistema Gestion Continuidad del Negocio (ISO 22301).pdf

Documents

Transcript of Sistema Gestion Continuidad del Negocio (ISO 22301).pdf