Implementador Lider ISO 22301

Implementador Lder
Certificado en la ISO 22301

Agenda de la Semana
Introduccin a la norma ISO 22301 y el inicio
De un SGCN
Planificar la implementacin del SGCN
Despliegue del SGCN

Monitoreo del SGCN, mejora contina y
Preparacin para la auditora de certificacin

Examen final
Capacitacin del Implementador Lder
Certificado en la norma ISO 22301
Seccin 2
Estndar y marco normativo

a. Qu es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestin
d. Sistema de gestin integrado
e. Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301

Qu es ISO?
ISO es una red de organismos nacionales de estandarizacin de ms
de 160 pases

Los resultados finales de los trabajos realizados por ISO son
publicados como normas internacionales

Se han publicado ms de 19000 normas desde 1947

Principios Bsicos Normas ISO
1. 1. Representacin igualitaria: 1 voto por pas
2. Adhesin voluntaria: ISO no tiene la autoridad
para forzar la adopcin de sus normas
3. Orientacin al negocio: ISO slo desarrolla normas para
existe demanda del mercado
a 4. Enfoque de consenso: busca un amplio consenso entre las
distintas partes interesadas
5. Cooperacin internacional: ms de 160 pases adems de
organismos de enlace
PRINCIPIOS
Bsicos de
las Normas
ISO

Los Ocho Principios de Gestin de la ISO

Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estar
certificada
ISO 9001
Calidad
ISO 14001
Medioambiente
OHSAS 18001
Salud y
Seguridad en
el trabajo
ISO 20000
Servicios
de TI
ISO 22000
Sanidad
Alimentaria
ISO 22301
Continuidad
del Negocio
ISO 27001
Seguridad de la
Informacin
ISO 28000
Seguridad de
la Cadena de
Suministro
Sistema de Gestin Integrado
Estructura tpica de las normas ISO

Requisitos

ISO
9001:2008
ISO
14001:2004

ISO
20000:2011
ISO
22301:2012
ISO
27001:2005
Objetivos del sistema de
gestin
5.4.1 4.3.3 4.5.2 6.2 4.2.1
Poltica del sistema
de gestin
5.3 4.2 4.1.2 5.3 4.2.1
Compromiso de la
Direccin
5.1 4.4.1 4.1 5.2 5
Requisitos de
Documentacin
4.2 4.4 4.3 7.5 4.3
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisin por la
Direccin
5.6 4.6 4.5.4.3 9.3 7
ISO 22301

Especifica los requisitos de gestin de un
SGCN
Los requisitos (clusulas) son escritos
utilizando el verbo debern en imperativo
Integrar el modelo PDCA (PLAN, DO,
CHECK Y Act)
Auditable
La organizacin puede ser certificada en
esta norma

INTERNATIONAL ISO
STANDARD 22301

_______________________________________________
Societal security-
Business continuity

Management Systems Requirements

_________________________________________________

ISO 22301

Contenido

Seccin 1
mbito de aplicacin
Seccin 2
Referencias normativas
Seccin 3
Trminos y definiciones
Seccin 4
Contexto de la organizacin
Seccin 5
Liderazgo
Seccin 6
Planificacin
Seccin 7
Apoyo
Seccin 8
Funcionamiento
Seccin 9
Evaluacin del desempeo
Seccin 10
Mejora

ISO 22313

Gua para el cdigo de buenas prcticas
para implementar, mejorar un Sistema de
Gestin de la Continuidad de los Negocios
(Documento de referencia).
Clusula escrita utilizando el verbo debera
a fin de proporcionar orientacin en materia
de aplicacin.
La organizacin no puede ser certificada en
esta norma

INTERNATIONAL ISO
STANDARD 22313

_______________________________________________

Societal security-Business continuit

Management Systems Gidance

_________________________________________________

Historia de la norma ISO 22301
1988 2013

2012
Creacin del DRI
Internacional conocido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperacin ante
Desastres)en los EEUU
1984
2002
2003
2006
2007
1988
2013
Creacin del
Business
Continuity
Institute
(BCI) en el
Reino Unido
BCI publica
Guas de
Buenas
Prcticas de la
GCN
Publicacin de
PAS 56
Publicacin
de la
norma BS
25999-1
Publicac
in de la
norma
BS
25999-2
ISO public
la primera
versin de
la norma
ISO 22301
ISO publica la
primera versin
de la norma ISO
22313
Otras Normas sobre Continuidad del Negocio
Ejemplos
El Contenido y la Relacin entre ISO
22301 e ISO 27001
ISO 27001, A. 14: Gestin de Continuidad del Negocio
A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales
crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su
reanudacin oportuna

A.14.1.1

Incluir seguridad de l
Informacin en el proceso de
Gestin de la continuidad
del negocio
Control

Se debe desarrollar y mantener un proceso gerencial para la continuidad del
negocio a travs de toda la organizacin para tratar los requerimientos de
seguridad de la informacin necesarios para la continuidad comercial de la
organizacin.

A.14.1.2

Continuidad del negocio y
evaluacin del riesgo
Control

Se deben identificar los eventos que causan interrupciones en los procesos de
negocios, junto con la probabilidad de impacto de dichas interrupciones y sus
consecuencias para la seguridad de la informacin.

A.14.1.3

Desarrollo e implementar
Planes de continuidad
Incluyendo seguridad de la
informacin
Control

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y
asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de
tiempo requeridas despus de la interrupcin o falta en los procesos de negocios
crticos.

A.14.1.4

Marco referencial para la
Planeacin de la continuidad
Del negocio
Control

Se debe mantener un solo marco referencial del plan de continuidad de negocio para
asegurar que todos los planes sean consistentes y para tratar consistentemente los
requerimientos de la seguridad de la informacin e identificar las prioridades de
pruebas y mantenimiento.

A.14.4.5

Prueba mantenimiento y re-
Evaluacin de planes de
continuidad
De negocio
Control

Los planes de continuidad de negocio se deben probar y actualizar regularmente para
asegurar que estn actualizados y sean efectivos.
ISO 22301
Requisitos
Continuidad del negocio
4.4 sistema de gestin
8.2 AIN y la Evaluacin de
los riesgo
8.4 Procedimientos de la
continuidad del negocio
6 Planificacin del SGCN
8.5 Ejercicio y pruebas
Ejercicio 1
Mitos y Realidades Continuidad del Negocio
Continuidad del Negocio
Ventajas
Mejor
comprensin de
la organizacin
Mantenimiento de
las actividades
esenciales de la
organizacin
Proteccin de
las personas
Previsible y
eficaz respuesta
a las crisis
Reduccin de
costos:
Proteccin dela
reputacin y la
marca
Respeto de las
partes
interesadas
Cumplimiento
de normativas
El cumplimiento
de los requisitos
legales
Ventaja
competitiva
Confianza de
los clientes
Cumplimiento
de los
contratos
Capacitacin del Implementador Lder
Certificado en la norma ISO 22301

a. Definicin de un SGCN
b. Enfoque en los procesos
c. Visin general Clusulas 4 a 10
d. Los componentes claves de un SGCN
Seccin 3
Sistema de Gestin de la Continuidad del Negocio (SGCN)
Qu es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco
Estratgico y tctico de ajuste a los objetivos que:
Mejora la organizacin pro activa de resistencia contra la interrupcin de su
capacidad de lograr sus objetivos clave
1
Proporciona un mtodo ensayado para restaurar la capacidad de una
organizacin para garantizar el suministro de sus productos y servicios clave
despus de una interrupcin
Proporciona una capacidad demostrada para gestionar una interrupcin del
negocio y proteger la reputacin de la organizacin y de la marca
2
3
Gestin de Continuidad del Negocio
ISO 22301, clusula 3.4:
Proceso de gestin holstico que identifica amenazas potenciales para la
organizacin as como el impacto en las operaciones del negocio que
dichas amenazas, en caso de materializarse, puedan causar, y que
proporciona un marco para aumentar la capacidad de resistencia o
resilencia de la organizacin para dar respuesta eficaz que salvaguarde
los intereses de sus principales partes interesadas, la reputacin, la
marca y las actividades de creacin de valor

Nota: El sistema de gestin incluye la estructura, las polticas, las
actividades de planificacin, las responsabilidades,
Las prcticas, los procedimientos,
Los procesos y los recursos de la organizacin

Los componentes claves de un SGCN
ISO 22301, Introduccin
Un SGCN, a igual que cualquier otro sistema de gestin,
tiene los siguientes Componentes fundamentales :
1. Una poltica
2. Personas con responsabilidades definidas;
3. Procesos de gestin asociados con:
- Poltica
- Planificacin
- Implementacin y operacin
- Evaluacin del rendimiento
- Revisin por la Direccin
- Mejora
4. Documentacin que provea pruebas
auditables
5. Cualquier proceso de gestin de la
continuidad del negocio pertinente a la
organizacin
El ciclo Planificar Hacer Verificar Actuar (PHVA)
ISO 22301, Introduccin
Partes
Interesadas

Requerimientos
expectativas
de la
Continuidad del
Negocio
Partes
Interesadas

Continuidad del
Negocio
Gestionada
Planificar
Actuar Hacer
Verificar
Establecer un
SGCN
Mantener y
Mejorar el SGCN
Implementar
El SGCN
Supervisar y
Revisar el SGCN
Requisitos generales
ISO 22301

En resumen
La organizacin deber establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas

1.Conocimiento
de la
organizacin
y su entorno
2. Determinar
las
necesidades y
requisitos
3. Implementar y
Administrar un
SGCN
Contexto de la organizacin
ISO 22301, clusula 4
Conocimiento de la
Organizacin y su
entorno
Comprensin de las
Necesidades y
Expectativas de las
Partes interesadas
Determinar el
Alcance del SGCN
Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones,
cadenas de suministro, las relaciones con las partes interesadas.
Los vnculos entre la poltica de continuidad del negocio y los objetivos de la
organizacin y otras polticas
El apetito de la organizacin por el riesgo

Las necesidades de las partes interesadas que son pertinentes para el SGCN
Los requisitos de estas partes interesadas
Requisitos jurdicos y normativos

La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su
alcance

A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones
internas y externas y los requisitos
Liderazgo y Compromiso de la Direccin
ISO 22301, clusula 5.1 y 5.2
Orientacin estratgica
Asegurarse de que el SGCN es compatible con la
orientacin estratgica de la organizacin
Integrar los requisitos del SGCN en los procesos de
negocio de una organizacin
Hacer que los recursos estn
disponibles

La Direccin deber determinar y proporcionar los
Recursos necesarios para el SGCN

Direccin deber comunicar la importancia de una
buena Gestin de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN

Comunicacin
Poltica de Continuidad del Negocio
La alta direccin debe establecer una poltica de continuidad del
negocio que:

- Sea apropiada para los fines de la organizacin
- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:

- Estar disponible como informacin documentada
- Ser comunicada dentro de todas las partes interesadas, segn corresponda
- Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
reduzcan cambios significativos

Funciones, Responsabilidades y Autoridades

La alta direccin deber asegurarse de que las responsabilidades y
autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestin
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.
-Informar sobre la eficacia de la
gestin a la alta direccin.
Los Objetivos y los Planes para Alcanzarlos

La alta direccin deber asegurarse de que los objetivos de
continuidad del negocio son establecidos y comunicados para las
funciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern:
a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que sea
aceptable para la organizacin para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados segn proceda

Apoyo
ISO 22301, clusula 7:

La organizacin
deber determinar y
proporcionar los
recurso necesarios
para el SGCN
Las personas que realizan
Trabajo en el marco del
Control de a organizacin
Debern ser conscientes
De la poltica de la CN,
Sus funciones en el SGCN
Y los requisitos para la
organizacin

El SGCN de la
Organizacin deber
Incluir informacin
Documentada requerida
Por la ISO 22301 y
Registros para
demostrar
La eficacia del SGCN
Recursos Competencia Documentacin Comunicacin Sensibilizacin
La organizacin
Deber asegurar
Tener personas
Competentes
para realizar las
tareas
relacionadas con
el SGCN
La organizacin deber
Establecer, implementar
y mantener mecanismos
De comunicacin con
las partes interesadas
internas y externas
Informacin documentada
1. Creacin
2. Identificacin
3. Clasificacin
y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Anlisis del impacto en el Negocio y Evaluacin de los Riesgos
ISO 22301, clusula 3.50 y 8.2
Proceso de
anlisis de las
funciones del
negocio y del
efecto que una
interrupcin del
negocio podra
tener sobre
dichas funciones
Anlisis de
Impacto en el
Negocio
Evaluacin
de riesgo
Proceso general
de identificacin,
Anlisis y
Evaluacin de
riesgos

Estrategia de Continuidad del Negocio
ISO 22301, clusula 8.3

La organizacin deber determinar las opciones apropiadas de continuidad
para:
A) Proteger las actividades
prioritarias
B) Estabilizar, continuar,
reanudar y recuperar
actividades prioritarias
C) Mitigar, responder a los
impactos y gestionarlos
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, CLUSULA 8.4.1

La organiza deber documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestin d de
un incidente perjudicial
Generalidades

La organizacin deber
establecer, implementar y
mantener procedimientos de
continuidad del negocio para
gestionar un incidente
perjudicial y continuar sus
actividades sobre la base de
objetivos de recuperacin
identificados en el anlisis
del impacto en el negocio

Ejercicios y Pruebas
La organizacin
deber ejercitar y
Probar sus
Procedimientos de
Continuidad del
negocio para
garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
Evaluacin del desempeo
6. Revisin de la gestin
y actualizacin de los
planes de continuidad del
Negocio y de los
Procedimientos.
3. Medicin de la eficacia
de los procedimientos
5. Realizacin de las auditorias
internas.
2. Revisin peridica de la eficacia
del SGCN teniendo en cuenta las
proposiciones y sugerencias de los
interesados.
1. Revisin del ejercicio y la
prueba de los procedimientos
de continuidad, despus de los
informes sobre incidentes.
4. Revisin de las evaluaciones
De riesgo y del AIN.
Monitoreo
y revisin
del SGCN
Nota: Cada una de estas acciones debe ser documentada y registrada.
Mejora

La organizacin deber mejorar continuamente la conveniencia, adecuada
y eficacia del SGCN.

La organizacin puede utilizar los procesos de SGCN como el liderazgo, la
planificacin y la evaluacin del desempeo, para lograr la mejora.
Capacitacin Implementador Lder Certificado en la norma ISO 22 301
Seccin 4
Principios fundamentales de la continuidad del negocio

a. Continuidad de negocio y recuperacin de desastres

b. Evento: de un incidente a una emergencia

c. Organizacin y actividades prioritarias

d. Procesos y recursos

e. Probabilidad, consecuencia e Impacto

f. Interesados (partes interesadas)

g. Resiliencia
Continuidad del Negocio y Recuperacin ante Desastres
Diferencias
Recuperacin ante
desastres
Asegurar que el negocio
Pueda continuar durante
Una emergencia

Los Objetivos son:

En primer lugar, el capital
Humano de la empresa

Entrega de productos o
prestacin de servicios a los
clientes de la empresa

Funciones crticas dl negocio
en la empresa

Recuperar la tecnologa
Lo ms rpidamente
posible.

Se incluyen:
Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Crticas de la empresa

Un plan de recuperacin
ante desastres (DRP) tambin
incluye la elaboracin de
planes para
hacer frente a la inesperada
o repentina prdida de personal
clave

En u PCN, es uno de los
aspectos del plan

Participacin de todos los elementos de la organizacin

La Gestin de Continuidad del Negocio
Est en relacin con:
G
E
S
T
I
N

D
E

R
I
E
S
G
O

S
E
G
U
R
I
D
A
D

G
E
S
T
I
N

D
E

C
A
L
I
D
A
D

G
E
S
T
I
N

D
E
L

M
E
D
I
O

A
M
B
I
E
N
T
E

A
D
M
I
N
I
S
T
R
A
C
I
N

D
E

L
A
S

I
N
S
T
A
L
A
C
I
O
N
E
S

G
E
S
T
I
N

A
N
T
E

U
N
A

E
M
E
R
G
E
N
C
I
A

R
E
C
U
P
E
R
A
C
I
N

D
E

T
I

A
N
T
E

D
E
S
A
S
T
R
E

G
E
S
T
I
N

D
E

L
A

C
A
D
E
N
A

D
E

S
U
M
I
N
I
S
T
R
O

C
O
M
U
N
I
C
A
C
I
O
N
E
S

&

R
R
P
P

S
A
L
U
D

Y

S
E
G
U
R
I
D
A
D

G
E
S
T
I
N

D
E

C
R
I
S
I
S

R
E
C
U
R
S
O
S

H
U
M
A
N
O
S

Evento: de incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento
(ISO 22301, 3.17)
Incidente
(ISO 22301, 3.19)
Interrupcin
(ISO 22399. 3.4
Crisis
(USO 22399, 3.3)
Desastre
(ISO 22300, 2.
Emergencia (ISO
22399, 3.6)
Ocurrencia de un conjunto particular de circunstancias.
Incidente, ya sea previsto (p. ej., un huracn) o imprevisto (por naturales,
que requieren de atencin urgente y de medidas para proteger la vida,
los bienes o el medio ambiente.
Situacin en la que se han producido amplias prdidas humanas,
materiales, econmicas o ambientales que superaron la capacidad de la
organizacin, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.
Cualquier incidente(s), causado por los humanos o causas naturales,
que requieren de atencin urgente y de medidas para proteger la vida,
los bienes o el medio ambiente.
Suceso o evento repentino, urgente, generalmente inesperado que
requiere accin inmediata.
Evento que pudiera constituir o pudiera redundar en una interrupcin
del negocio, en una prdida, emergencia o crisis.
Organizacin y Actividades
ISO 22301, CLUSULA 3.1,3.33 y 3.42
Organizacin (3.33)
Persona o grupo de personas que tiene sus
propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Actividad (3.1)
Proceso o conjunto de procesos acometidos por
una organizacin (o en su nombre) que producen o
dan apoyo a uno o ms productos y servicios.
Las actividades a las que deben darse prioridad
tras un incidente con el fin de mitigar los impactos.
Actividades Prioritarias (3.42)
Proceso

Conjunto de actividades mutuamente relacionadas o que interactan, que
transforman elementos de entrada en resultados.
Entrada Actividades Salida
Recurso
ISO 22301, CLUSULA 3.47
Recursos
Todos los archivos, personal,
habilidades, informacin,
tecnologa (incluyendo maqui-
naria y equipos), locales, y
suministros e informacin (ya
sea electrnica o no) que una
organizacin debe tener dispo-
nibles para uso, cuando sea
necesario, para operar y
cumplir sus objetivos.

Las Personas
Locales Tecnologas Suministros
Activos Informacin
Riesgo
ISO 22301
Riesgo (3.48)
Efecto de incertidumbre sobre los objetivos
Apetito por el riesgo (3,49)
Evaluacin de Riesgo (3.50)
Gestin del riesgo (3.51)
Cantidad de riesgo que una organizacin est
Dispuesta a conseguir o conservar
Proceso general de identificacin, anlisis y
Evaluacin de riesgos.
Actividades coordinadas para dirigir y controlar
Una organizacin con respecto al riesgo
K
S
I
R
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad (3.28)
Grado al que es probable que se produzca
un evento
Impacto (3.10)
Consecuencia (3.2)
Consecuencia evaluada de un resultado en
particular
Resultado de un evento
Parte interesada (interesados)
ISO 22301, CLUSULA 3.21:

Persona u organizacin que puede afectar, pueden verse afectados por,
o se consideran afectados por una decisin o actividad

Proveedores

Instituciones
financieras

Regulador

Pblico
Grupos
Interesados

Clientes

Medios

Accionistas
Consejo de
Administracin
Equipo de
Gestin
Empleados
Sindicatos
Organizacin
Resilencia
ISO 22300, clusula 2.1.17
Resilencia
Capacidad de adaptacin
de una organizacin en un
ambiente complejo y
cambiante
Capacitacin Implementador Lder Certificado en la norma ISO 22301
Seccin 5
Iniciando la implementacin del SGCN
a. Enfoque para la implementacin del SGCN

b. Metodologa de implementacin del SGCN

c. Alimentacin con las mejores prcticas
Requisitos

5.4 Funciones organizativas, responsabilidades y autoridades

La alta gerencia deber asigna la responsabilidad y autoridad para :

Garantizar que el sistema de gestin se establece y ejecuta en
conformidad con los requisitos de esta Norma Internacional

1.1. Iniciando la Implementacin del SGCN
Lista de actividades
Intencin de
Implementar
un SGCN
1.1.1 Definicin
del enfoque para
la implementacin
1.1.2. Seleccin de
un marco
metodolgico
1.1.3. Alineacin
Con las mejores
Prcticas
1.2. Comprensin
De la organizacin
1.1.1. Definicin del Enfoque de Aplicacin del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
1. Velocidad de
implementacin
3. Expectativas
y alcance
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a travs de la organizacin
2. Enfoque de sistemas
La aplicacin general del
proceso de SGCN, no
mediante al aislamiento de
los procesos
3. Enfoque Sistemtico
Aplicar las mejores
prcticas en gestin de
proyectos
4. Enfoque Integrado
Integracin del SGCN o armonizarlo
con los dems requisitos de la
organizacin
5. Mtodo iterativo
La rpida
Implementacin del
SGCN respetando lo
Requisitos mnimos y
Cambiar a mejora
Continua a partir de
entonces
Directrices
Las Directrices de Aplicacin
Recomendaciones

1. Evitar la integracin de nuevas tecnologas
2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organizacin
5. Obtener el apoyo de la Direccin
6. Identificar y formalmente nombrar a un Director del proyecto del
SGCN

1.1.2. Elegir un Marco Metodolgico para Gestionar el Proyecto de
Implementacin del SGCN
1. Planificar

2. Hacer

3. Verificar

4. Actuar

1.1. Inicio del
SGCN
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluacin
del negocio
2.1 Anlisis del
Impacto al Negocio
(AIN)
3.3 Revisin
por la Direccin
3.2 Auditora interna
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No conformidades
y accin correctiva
4.2 Mejora continua
1.8 Informacin
documentada
1.9 Competencia &
sensibilizacin
2.7 Ejercicio y
pruebas
2.6 Comunicacin
2.5 plan y
procedimientos de la
2.4 Medidas de
Presentacin &
Mitigacin
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
Metodologa de Implementacin Integrada para los Sistemas de
Gestin y las Normas (IMS)
Metodologa de PECB para la aplicacin del SGCN
Proyecto
Del
SGCN
Hacer
Planificar
Verificar
Actuar
4 FASES 21 Pasos 101 actividades Tareas sin definir
Enfoque y Metodologa
Basado en las mejores prcticas
ISO 10006
Directrices para la gestin de
calidad en proyectos
PMBOK
Conjunto de Conocimientos
de la gestin de Proyectos
(PMBOK en idioma ingls
22313
Orientacin para la
Implementacin del sistema
de gestin de
1.1.3. Alineacin con las Mejores Prcticas
Uso de las normas ISO
ISO 27031
ISO 22301
ISO 22313
ISO 24762
ISO 27001
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de
SGCN
Seccin 6
Comprensin de la organizacin

a. Comprensin de la organizacin
b. Identificacin y anlisis de las partes interesadas
c. Identificacin y anlisis de los requisitos y expectativas
d. Definicin preliminar del alcance
1.2. Comprensin de la organizacin
1. Planificar

1.1. Inicio del
SGCN
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluacin
del negocio
2.1 Anlisis del
Impacto al Negocio
(AIN)
3.3 Revisin
por la Direccin
3.2 Auditora
interna
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
1.8 Informacin
documentada
1.9 Competencia &
sensibilizacin
2.7 Ejercicio y
pruebas
2.6 Comunicacin
2.5 plan y
2.4 Medidas de
Presentacin &
Mitigacin
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
2. Hacer 3. Verificar 4. Actuar
Requisitos

Comprensin de la organizacin y su entorno
La organizacin deber determinar las cuestiones internas y externas que son pertinentes a su propsito y que
afectan su capacidad de alcanzar los resultados esperados de su SGCN.

Estos temas se tomarn en cuenta al establecer, implementar y mantener la organizacin del SGCN.

La organizacin deber identificar y documentar lo siguiente:

a) Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vnculos entre la poltica de continuidad del negocio y los objetivos de la organizacin y otras polticas
incluyendo su estrategia global de gestin de riesgos.
c) El apetito por el riesgo de la organizacin.

Para establecer el contexto, la organizacin deber:
1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.

1.2. Comprensin de la organizacin
1.1 Iniciar el
SGCN
1.2.1 Misin
objetivos, valores
estrategias
1.2.2 Entorno
externo
1.2.3 Entorno
interno
1.2.5 Infraestructura
1.2.6 Partes
interesadas
1.2.7 Requisitos
del negocio
1.2.9 Alcance
Preliminar
1.2.8 Apetito por
el riesgo y
criterios de riesgo
1.2.4 proceso y
actividades
1.4 Alcance
1.3 Anlisis
de brechas
1.2 Comprensin de la
organizacin
1.2.1. Comprensin de la Misin, Objetivos, Valores y Estrategias
Misin

Valores
Los
objetivos
De
Continuidad
del Negocio
Estratgico

Alineamiento
Estrategias
Objetivos
Polticas Corporativas
Polticas de Continuidad
del Negocio
1.2.2. Anlisis del Ambiente Externo

Consejos Prcticos
La ISO 22301 no ofrece
enfoques prcticos para
analizar el contexto de una
organizacin

Existen varias metodologas
para entender cmo
funciona una organizacin

Lo importante es identificar
las caractersticas de los
factores ambientales internos
y externos que influyen en la
gestin de la continuidad del
negocio: misin, actividades
principales, organizacin
interna, partes interesadas, ttc.

Fortalezas Debilidades
Oportunidades
Amenazas
1.2.3. Anlisis del Entorno Interno
Estructura organizativa y actores claves
Comprender la estructura y los
principales actores de la
organizacin relacionados con
el mbito de aplicacin en los
planos:

Estratgico (Quin
establece las orientaciones
estratgicas?)
Gobierno (Quin
coordina y gestiona las
operaciones?)

Operacional (Quin
participa en las actividades de
produccin y apoyo?)

1.2.4. identificacin de los Principales Procesos y Actividades
3. Activos de
Informacin Claves
Cules son los
Activos de informacin
Claves de la
Organizacin?
1. Oferta de Productos
y servicios

Cules son los bienes y
Servicios producidos por
la organizacin?
2. Procesos de
Negocios
Cules so los
Procesos claves que
Permiten a la
Organizacin cumplir
Con su misin?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos ni
un inventario detallado de activos, sino slo establecer una lista general
1.2.5. Identificacin de la Infraestructura
Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organizacin

Categora
(Ejemplo)

Ejemplos
Sitios
Oficinas, centro de datos, residenciad e los empleados, reas seguras,
Sitio de fabricacin, etc.
Utilidades
Electricidad, gas, aire acondicionado, control de humedad, etc.
Equipo industrial
Almacenamiento y manejo de equipos, cintas transportadoras, robots
industriales,
Servicio
Contabilidad, recursos humanos, compras, logstica, etc.
Transporte
Camiones, automviles, barcazas, ferrocarriles, transporte pblico, etc.
telecomunicaciones
Telfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnologa de la
informacin
Servidor, ordenador porttil, red, sistema operativo, software de
contabilidad, etc.
1.2.6. Identificacin y Anlisis de las Partes Interesadas
Anlisis de sus necesidades y expectativas
1. Identificar las
Necesidades y
expectativas
Identificar las necesidades
y expectativas de todas las
partes interesadas
Las necesidades y
expectativas puedes ser
implcitas o explcitas
Ejemplo: la tasa de
disponibilidad del servicio
del 99,5%

3. Identificar roles y
responsabilidades
2. Validar las
necesidades y
expectativa
Analizar las necesidades de
seguridad y confirmar si
responde a las
preocupaciones de la
organizacin en este momento

Se puede hacer mediante el
envo de un cuestionario,
realizando entrevistas o facilitar
grupos de enfoque

Definir lo que se espera de las
diferentes partes interesadas
en el proyecto: las f unciones,
las responsabilidades y los
niveles de participacin que se
necesita

Establecer un consenso con
ellos durante la etapa de
planificacin de su
participacin

Partes Interesadas
Influencia positiva y negativa
Partes interesadas negativas
Por estas, el SGCN podra tener un impacto
negativo

Ejemplo: un departamento de recursos humanos
involucrado en la implementacin del SGCN
sufrir una pesada carga con la documentacin
de los expedientes de los empleados
Partes interesadas negativas
Los que se beneficiaran del SGCN

Ejemplo: los clientes de una empresa de
servicios de TI

Nota importante: Las partes interesadas negativas a menudo ponen su inters en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicacin del SGCN
1.2.7. Identificacin y Anlisis de los Requisitos del Negocio
Legal y
Regulatorio

Todas las leyes y
reglamentos con los
debe cumplir la
organizacin

Estndares
Las normas internacionales
Y cdigos de prcticas
relacionados con el sector,
que son voluntariamente
Implementados por la
organizacin
Mercado

Todas las obligaciones
contractuales que la
organizacin ha firmado
con sus partes
interesadas
Polticas Internas

Todos los requisitos
dentro de la organizacin:
las polticas internas, el
cdigo de tica, normas de
trabajo, etc.
E
x
t
e
r
n
o
s

Obligatorios Voluntarios
I
n
t
e
r
n
o
s

Cumplimiento de los Requisitos Legales

La organizacin debe cumplir con
las leyes y reglamentos aplicables

En la mayora de los pases, la
aplicacin de una norma ISO es una
decisin voluntaria de la organizacin,
no una condicin jurdica

Las organizaciones que operan en
varios lugares a menudo tienen que
satisfacer las necesidades de las
diferentes jurisdicciones

En todos los casos, las leyes tienen
precedencia sobre las normas
Leyes y Reglamentos
Los cuatro sectores de la industria ms afectados
Requiere plan de copia de
seguridad de datos, plan de
recuperacin ante desastres y un
plan de operacin en el modo de
emergencia

Requisitos para los registros
electrnicos
A
s
i
s
t
e
n
c
i
a

s
a
n
i
t
a
r
i
a

Requiere plan de copia de
seguridad de datos, plan de
recuperacin ante desastres y un
plan de operacin en el modo de
emergencia

Requisitos para los registros
electrnicos
G
o
b
i
e
r
n
o

Requiere que los bancos tengan
planes de CN y RD para garantizar
el funcionamiento continuo y con el
fin de limitar las prdidas

Requiere que los planes de
Continuidad del Negocio (PCN) se
actualicen y prueben para
incorporar los riesgos detectados
Requiere un PCN para garantizar
que la contina misin de la
agencia durante una crisis

Se requieren planes de restauracin
de emergencia como condicin
para servicios continuados

F
i
n
a
n
z
a
s

U
t
i
l
i
d
a
d
e
s

1.2.8. Determinacin del Apetito por el Riesgo y los Criterios
de Riesgo
ISO 22301, clusula 3.49 y 4.1
Apetito por el Riesgo
Definicin: Cantidad y tipo de
de que una organizacin est
dispuesta a conseguir o conservar

Es el nivel de riesgo que una
organizacin est dispuesta a
aceptar, antes de que la accin es
considerada necesaria para
reducirlo

Representa un equilibrio entre los
beneficios potenciales de la
innovacin y las amenazas que el
cambio inevitablemente trae consigo
0
20
10
1. Aversin
2. Mnimo
3. Prudente
4. Abierto
5. Hambriento
30
40
50
60
70
80
Ejemplo de escala de apetito
por el riesgo
Criterios de Riesgo
ISO 22301, clusula 4.1 y la norma ISO 31000, clusula 5.3.5
1 Evaluacin de riesgo
2 Impactos
3 Aceptacin del riesgo
Nota: Este paso slo consiste en definir los criterios bsicos para la gestin del riesgo. Los criterios detallados
se definirn durante la evaluacin del riesgo.
1.2.9. Definicin Preliminar del Alcance

El alcance preliminar del SGCN debera incluir:

Las principales caractersticas dela organizacin

Procesos de negocio que podran estar dentro del mbito

Lista de los productos y servicios y todas las actividades relacionadas dentro del mbito
del aplicacin propuesto

Lista de ubicaciones geogrficas en las que se aplicara el SGCN

Una descripcin de cmo el/las rea(s) en el mbito de aplicacin interactan con otros
sistemas de gestin (e. g. ISO 9001, ISO 27001, ISO 28000)

Ejercicio 3
Comprensin de la organizacin
Seccin 7
Anlisis del sistema de gestin existente

a. Recopilacin de la Informacin
b. Realizacin de una Entrevista
c. Anlisis de Brechas
1.3. Anlisis del Sistema de Gestin Existente

Hacer

3. Verificar

4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
4. Actuar
3.1 Seguimiento,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
2.1 Anlisis del
Impacto al Negocio
(AIN)
2.2 Evaluacin
del negocio
2.3 Estrategia de
Continuidad del
Negocio
2.4 Medidas de
Presentacin &
Mitigacin
2.5 plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
1.1. Inicio del
SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.8 Informacin
documentada
1.7 Estructura
de la organizacin
1.9 Competencia &
sensibilizacin
1. Planificar

2. Hacer
Lista de las actividades
Anlisis del sistema de gestin existente
1.2 Comprensin
de la organizacin
1.4 Liderazgo y
planificacin
1.3.1 Recoleccin
de informacin
1.3.2 Anlisis
de brechas
1.3.3. Objetivos e
informe del anlisis
de brechas
1.3.1. Recopilacin de la Informacin
Tcnicas
Cuestionarios
Encuestas
El envo de cuestionarios a una muestra de personas que representan
a las partes interesadas
Entrevistas
Revisin de la
documentacin
Las entrevistas con personas la claves en diferentes niveles jerrquicos
dentro de la organizacin

Lectura y anlisis de la documentacin pertinente, las polticas internas,
procedimientos, informes de auditoras previas, dictmenes jurdicos,
contratos, etc.
Entrevista Individual y Grupal
Las entrevistas individuales sueles
Proporcionar informacin ms
precisa y detallada y permiten tener
una evaluacin del riesgo ms
correcta
Individual Grupal
Entrevista
Las entrevistas grupales son efectivas
para comprender rpidamente las
operaciones de un proceso desde
perspectiva global
Realizacin de una Entrevista
Utilice preguntas abiertas y evite las preguntas cerradas o guiadas
Asegrese de cubrir todos los temas, mientras controla el tiempo
Tome notas durante la entrevista
Realice preguntas para clarificar una respuesta o situacin
1.3.2. Anlisis de Brechas
Anlisis de Brechas
Tcnica para determinar los pasos para
pasar de la situacin actual a un estado
futuro deseado.

1. Comparacin del rendimiento actual
del sistema de continuidad del
negocio con los requisitos de la ISO
22301
2. Identificacin de las necesidades de
mejora
3. Bases para la elaboracin del plan
del proyecto del SGCN
Determinar el Estado Actual
El anlisis de brechas y el nivel de madurez

Las preguntas tpicas:

1. El proceso est presente en la organizacin? Est estandarizado?
2. Es el proceso seguido por los usuarios relevantes?
3. Est el proceso documentado? Cmo?
4. hay un responsable designado para la eficacia del proceso? Estn
determinadas las funciones y responsabilidades?
5. Se ha comunicado a todas las personas en cuestin? Por quin? Hay
capacitacin disponible?
6. El proceso est controlado Cmo lo est? Medido?
7. El proceso est automatizado? Se utilizan herramientas?
8. Existe un proceso para actualizar el proceso?
9. El rendimiento del proceso se compara con las prcticas de la industria?

1.3.3. Establecimiento de Objetivos y la Publicacin de un Informe de
Anlisis de Brechas
1
Inicial

4
Gestionado
cuantitativamente

0
No existe
2
Gestionado
3
Definido
Situacin actual
Objetivo
5
Optimizado
Establecimiento de Objetivos
El anlisis de brechas y el nivel de madurez

Usted puede fijar las metas para los procesos
segn el nivel de madurez
No hay procesos
estndar
vigentes
Los procesos estn
documentados
y comunicados
Procesos
monitoreados y
medidos
Procesos
optimizados
Hay implementacin
de proceso caso
por caso sin ningn
mtodo
0.
Inexistentes
1.
Inciales

2.
Gestionadas
3.
Definidos
4.
Cuantitativa
Mente
gestionados
5.
Optimizados

Ausencia total de
Procesos
identificables
Seccin 8
Alcance del SGCN

a. Lmites de la organizacin

b. Los lmites de las lneas de negocio

c. Lmites Fsicos

d. mbito de aplicacin

1.4. Alcance del SGCN
n
1. Planificar

1.1. Inicio del
SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.8 Informacin
documentada
1.9 Competencia &
sensibilizacin
1.7 Estructura
de la organizacin
2.7 Ejercicio y
pruebas
2.6 Comunicacin
2.5 plan y
2.4 Medidas de
Presentacin &
Mitigacin
2.3 Estrategia de
Continuidad del
Negocio
2.2 Evaluacin
del negocio
2.1 Anlisis del Impacto
en el Negocio (AIN) 3.1 Seguimiento,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
2. Hacer 3. Verificar 4. Actuar
Requisitos
Alcance del SGCN
La organizacin deber:

a) Establecer las partes de la organizacin que se incluirn en el SGCN
b) Establecer requisitos del SGCN, considerando la misin de la organizacin, los objetivos, las
obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las
responsabilidades legales y reglamentarias.
c) Identificar los productos y servicios y todas las actividades relacionadas en el mbito de
aplicacin del SGCN.
d) Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con
clientes, inversores, accionistas, la cadena de suministro, el pblico y/o comunidad y sus
necesidades, expectativas e intereses (segn corresponda), y
e) Definir el alcance del SGCN en trminos de y adecuado al tamao, la naturaleza y el grado
de complejidad de la organizacin.

En la definicin del alcance, la organizacin deber documentar y explicar las exclusiones: tales exclusiones
no afectarn a ala capacidad y la responsabilidad de la organizacin para ofrecer la continuidad de la
empresa y las operaciones que cumplen los requisitos del SGCN, segn determinado por el anlisis de
impacto en el negocio o la evaluacin del riesgo y los requisitos legales o los reglamentos
aplicables.
mbito de la aplicacin
Importancia

Una clara definicin del alcance, centrndose en actividades clave de la
organizacin, es un factor de xito importante para la implementacin del SGCN.

Esto har que sea ms fcil:

1. Conseguir el apoyo de la direccin
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas

Nota importante: la extensin del mbito de aplicacin
es el primer factor que determina la cantidad
de esfuerzo requerido por el proyecto.
1.4. mbito de Aplicacin del SGCN
1.2 Comprensin
de la organizacin
1.3 Analiza el
Sistema existente
1.5 Liderazgo &
planificacin
1.6 Poltica
de CN
1.4.1 Lmites
Organizacionales
1.4.2 Lmites de las
Lneas de negocio
1.4.3 Los lmites
fsicos
1.4.4 mbito
de aplicacin
Lmites del SGCN
Las 3 dimensiones a considerar
del negocio
1.4.1 Definiendo los Lmites Organizacionales del Alcance
Un proceso clave
Un departamento
La organizacin
como un todo
La organizacin y sus
partes interesadas
Nota: Donde una parte de una
organizacin, queda excluida del mbito
de aplicacin de su SGCN, la
organizacin debera documentar y
explicar la exclusin
1.4.2. Definir los Lmites de las Lneas de Negocio del mbito de
Aplicacin

La organizacin debe identificar los productos y servicios en el mbito

Ejemplo:
Un hospital podra incluir slo los servicios de emergencia en el
mbito de aplicacin
La oficina de correos podra incluir todos los servicios en el
mbito de aplicacin con la exclusin de la entrega de paquetes/
encomiendas
Una fbrica podra mantener slo la produccin de un producto.
Etc.

1.4.3. Definir las Fronteras Fsicas del mbito de Aplicacin
Deberan tomarse en cuenta todos lo lugares fsicos, tanto internos como
externos incluidos en el SGCN

Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios fsicos necesarios para que funcionen

En el caso de los sitios fsicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el mbito de Aplicacin del SGCN

El documento de definicin del mbito de aplicacin debera incluir:

1. Las principales caractersticas de la organizacin

2. Los procesos de negocios cubiertos por el SGCN

3. La lista de productos y servicios y todas las actividades relacionadas en el
mbito de aplicacin del SGCN

4. La lista de los principales recursos (sistemas de Informacin, instalaciones, etc.)

5. La lista de ubicaciones geogrficas

6. Los detalles y motivos para las exclusiones
Declaracin del mbito de Aplicacin
Ejemplo

La declaracin del alcance es pblica y, en general, est disponible en el
sitio web del organismo de certificacin que haya expedido el certificado

Esta declaracin resumida estar escrita en el certificado. Deber ser:
1. Tan simple como sea posible
2. Comprensible para alguien externo a la organizacin
3. Lo suficientemente precisa para expresar lo que est cubierto por
la certificacin
Ejemplo: Este sistema de gestin de la continuidad del negocio
Se aplica al centro de distribucin global proveyendo
Servicios de tercerizacin y contacto con el cliente
Y externalizacin de ABC S.A.
Cambios en el mbito de Aplicacin
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Extensin del mbito de Aplicacin

Varias empresas auditadas prefieren definir un alcance reducido para una
certificacin inicial y complementar una solicitud de extensin en los aos
siguientes

La auditora de extensin se puede realizar durante una auditora de control

Si no se concede la certificacin de extensin, la organizacin no pierde su
certificado actual
Ejercicio 4
Definicin del mbito de aplicacin
Da 2
Implementador Lder

Capacitacin Implementador Lder ISO 22301
Seccin 9
Liderazgo y planificacin

a. Caso de negocios del SGCN
b. Equipo del proyecto
c. Objetivos del SGCN
d. Plan del proyecto
e. Plan de comunicacin para el proyecto SGCN
f. Aprobacin de la Direccin
1.5. Liderazgo y Planificacin
1. Planificar

Negocio
1.1. Iniciar el SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
2. Hacer
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
2.3 Estrategia de la
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3. Verificar 4. Actuar
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
Requisitos
Norma ISO 22301, clusula 5.1. 7.1 y 8.3.2

5.1 Liderazgo y compromiso
Las personas en los niveles superiores de la administracin y otras en funciones de gestin en toda la
organizacin bebern demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la Direccin
La alta direccin deber demostrar su liderazgo y compromiso con respecto al SGCN a travs de :
- Asegurar que sean establecidos polticas y objetivos, para el sistema de gestin de la
- continuidad del negocio y que sean compatibles con la direccin estratgica de la organizacin.
- Asegurar que estn disponibles los recursos necesarios para la continuidad del negocio
- Comunicar la importancia de una buena gestin de la continuidad del negocio y de
conformidad con los requisitos del SGCN
- Asegurar que el SGCN logre el resultado (s) esperados(s)
- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN
- Promover la mejora continua: y
- Apoyar a otras funciones de gestin pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus reas de responsabilidad
7.1 Recursos
La organizacin deber determinar y proporcionar los recursos necesarios para el SGCN

1.5. Liderazgo y Planificacin

1.4 Alcance
(mbito de aplicacin)
del SGCN
1.6 Poltica de CN
1.5.1 Caso de
negocio
1.5.2 equipo de
proyecto del SGCN
1.5.3
Determinacin
de los objetivos
1.5.4 Requisitos
de los recursos
1.5.5 Plan del
proyecto del SGCN
1.5.6 Plan de
comunicacin
1.5.7 Aprobacin
Por la Direccin
1.5.1. Crear y Presentar un Caso de Negocio
Un caso de negocio es:
1. Una herramienta de apoyo de
apoyo de la Direccin para la
toma de decisiones
2. Un documento que se utiliza
para promover el proyecto
del SGCN
3. Una primera estructuracin
del proyecto

Contenido del Caso de Negocios
PMBOK
1.
Medioambiente
2. Finalidad y
objetivos
3. Resumen
Del proyecto
4. Beneficios
esperados
5. Alcance
preliminar
9. Funciones y
Responsabili-
dades
6. Factores
Crticos de xito
7. Anteproyecto
10. Recursos
necesarios
8. Plazos e
hitos
11. Presupuesto 12. Restricciones
Nota: El contenido sobre gestin de proyectos en esta seccin se basa en PMBOK
pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Equipo del Proyecto
Partes Interesadas
Gerente
del SGCN
Director
del proyecto
Equipo de Gestin del
Proyecto
Defensor
Del
Proyecto
Del SGCN
Director del Proyecto SGCN
Competencias requeridas

El director del proyecto SGCN debe tener los conocimientos y habilidades en las
siguientes reas:

1. Conocimiento y habilidades en Gestin de Proyectos
2. Conocimiento de la organizacin y su entorno
3. Conocimiento de gestin de la continuidad del negocio
4. Habilidades interpersonales (comunicacin efectiva,
negacin, resolucin de problemas,
habilidades de liderazgo, etc..)
Comit Directivo
Durante el proyecto SGCN
Objetivo Asegurar la planificacin y el seguimiento del SGCN
Misiones
Miembros
Frecuencia de las
reuniones
1. Planificar la implementacin del SGCN
2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Direccin
3. Definir las funciones y responsabilidades para el proyecto SGCN
4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (despus de la aplicacin)
5. Seleccionar el mtodo de anlisis de riesgo y el AIN
6. Gestionar los recursos
7. Realizar revisiones de los proyectos de la aplicacin del SGCN
Director del Proyecto SGCN, responsables de los servicios claves que
participan en los siguientes dominios de aplicacin (TI, auditora, legales,
finanzas, recursos humanos, seguridad fsica etc.)
Mensuales
1.5.3. Determinacin de los objetivos del SGCN
ISO 22301, clusula 3.32 y 6.2
Determinar los objetivos
2
3 1
Una mayor flexibilidad
(resilencia) de la
Empresa
Puede el SGCN mejorar
la resilencia de la
organizacin en caso de
un incidente perjudicial?
Gestin de continuidad
del negocio eficiente
Puede el SGCN
mejorar la eficacia de la
gestin de continuidad
del negocio?

Ventaja del negocio
L a implementacin de
un SGCN puede
proporcionar ventajas
competitivas
Determinar los Objetivos
Ejemplos

Los objetivos relacionados con la aplicacin del SGCN pueden ser:

Velar por el cumplimiento de las obligaciones legales, reglamentarias y
contractuales de la organizacin
Demostrar la debida diligencia y el cuidado debido de la gestin
Inspirar confianza de las partes interesadas de la organizacin
Proteger la disponibilidad de las actividades fundamentales de la organizacin
Asegurar la gestin eficaz de continuidad del negocio de acuerdo a las mejores
prcticas
Mejorar el tiempo de respuesta a incidentes y desastres
Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.

1.5.4. Determinacin de los Requisitos de Recursos para el
Proyecto SGCN

Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto
El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
informacin
Generalmente hay un desfase entre el tope de la inversin de un proyecto
y las demandas del proyecto

1.5.5. Elaboracin del Plan del Proyecto SGCN
PMBOK
Un mtodo iterativo
Contenido
Del
Proyecto
Recursos Costos
Retrasos Riesgos
Plan del
proyecto
Contenido del plan del proyecto SGCN
PMBOK

Un plan de proyecto incluye lo siguiente:
1. Carta del Proyecto
2. Descripcin del enfoque o estrategia de gestin de proyectos
3. Formulacin del contenido del proyecto, con resultados y objetivos del
proyecto
4. Estructura Detallada de Trabajo del proyecto (estructura WBS)
5. Costos estimados, fecha de inicio prevista, y la asignacin de
responsabilidad
6. Referencias; medicin de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
Revisin y Presentacin del Plan del Proyecto SGCN
PMBOK

Revisin de los objetivos del proyecto y los factores de xito
Revisin de las funciones
Definicin de la frecuencia y el contenido de las reuniones de progreso
Revisin de los documentos del proyecto
Estimacin de los recursos internos necesarios
Definicin de la planificacin y sucesivas fases de ejecucin
Revisin de las presentaciones que deben proveerse
Revisar el mtodo propuesto
Destacar los riesgos e incertidumbres inherentes en el proyecto
1.5.6. Plan de Comunicacin para el Proyecto SGCN
Norma ISO 22301, clusula 7.4

Cuando se establece el SGCN, la organizacin necesita tener comunicacin
efectiva y procedimientos de consulta para el intercambio de informacin con
las partes interesadas

La organizacin debera disponer de una comunicacin eficaz como parte de
su programa de sensibilizacin

El plan de comunicacin ser detallado en el Da 3

1.5.7. Aprobacin por la Direccin del Proyecto SGCN
Beneficios Claves del
Compromiso de la Direccin

Mayor conocimiento de las leyes
ptima asignacin de recursos
Identificacin de los activos crticos
Procesos y plan de la continuidad
del negocio controlados y medidos

Funciones de la Direccin
Durante el proyecto SGCN
Objetivo
Misiones
Miembros
Frecuencia de
las reuniones
Alinear el SGCN con los objetivos y estrategia de negocio
1. Asegurarse de que el SGCN es compatible con la direccin estratgica de la
organizacin
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales
3. Validar las funciones y responsabilidades de las principales partes interesadas en el
proyecto
4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluacin del
riesgo
5. Comunicar la importancia de una buena gestin de la continuidad del negocio y en
conformidad con los requisitos SGCN
6. Proveer de recursos suficientes para la implementacin del SGCN
7. Asegurar que se llevan a cabo auditorias internas
8. Hacer revisin del SGCN por la direccin
9. Prestar apoyo al mejoramiento del SGCN
Alta Direccin (CEO, CIO, CFO)
Algunas de las reuniones de los hitos de este proyecto: reunin de lanzamiento, anlisis
de riesgo e informe del AIN, revisin por la direccin, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas
Seccin 10
Poltica de la continuidad del negocio

a. Crear modelos de poltica

b. Proceso de redaccin de poltica

c. Aprobacin por la Direccin

d. Publicacin

e. Capacitacin, comunicacin y sensibilizacin

f. Control, evaluacin y revisin
1.6. Poltica de la Continuidad del Negocio

1. Planificar

3. Verificar

4. Actuar

2. Hacer
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
Requisitos


Poltica
La alta direccin deber establecer una poltica de continuidad del negocio que:
a) Sea apropiada para los fines de la organizacin
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:
- Estar disponible como informacin documentada
- Ser comunicada dentro de la organizacin
- Estar a disposicin de todas las partes interesadas, segn corresponda
- Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
produzcan cambios significativos

La organizacin deber retener informacin documentada sobre la poltica
De continuidad del negocio.
Definicin de Poltica de la Continuidad del Negocio

Las intenciones generales y la direccin de la organizacin, relacionadas con su
preparacin ante incidencias y continuidad operacional, tal y como ha sido
expresado por la alta direccin

1.6. Poltica de la Continuidad del Negocio
1.5 Liderazgo &
planificacin
1.6.4 Publicacin
1.6.3 Aprobacin
por la Direccin
1.6.2 Redaccin de
la Poltica
1.6.1 Proceso de
redaccin de la
Poltica
1.6.5 Capacitacin,
comunicacin y
sensibilizacin
1.6.6 Control,
evaluacin y
revisin
1.7 Estructura
organizativa
1.6 Poltica de C. N.
1.6.1. Definicin del Proceso de Redaccin de la Poltica
Proceso General
2.
Definir los
componentes
de la poltica

3.
Redactar
las
Secciones

4.
Validacin
de los
contenidos y
el formato

5.
Aprobacin
por las
Partes
Interesadas

1.
Designar una
Persona
Responsable

Es importante asegurar el apoyo a y la comprensin de una poltica antes de su publicacin
1.6.2. Redaccin de la Poltica de Continuidad del Negocio
Temas que suelen incluirse en la poltica

1. Un marco que permite definir objetivos y establecer una direccin y directrices
de poltica para la gestin de Continuidad del Negocio

2. Una consideracin de las obligaciones legales y reglamentarias impuestas a la
organizacin, as como otros compromisos

3. La alineacin de la gestin de continuidad del negocio con los objetivos
estratgicos de la organizacin

4. Atribucin de las funciones y responsabilidades

5. Aprobacin oficial de los anteriores por la Direccin
1.6.3. Aprobacin por la Direccin

La poltica del SGCN debe:

Demostrar el compromiso de la direccin

Ser aprobada por la Direccin

La poltica debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobacin puede pertenecer a un comit:

Junto de Directores
Consejo de Administracin

1.6.4. Publicacin de la Poltica de Continuidad del Negocio
Principales modos de comunicacin
Intranet
Distribucin de
Copias en papel
Reunin
Sesin de orientacin
de nuevos empleados
1.6.5. Capacitacin, Comunicacin y Sensibilizacin
Plan de comunicacin
Pblico de destino
Difusin (reuniones, intranet,
extranet, documentos)
Comunicacin
Sensibilizacin Capacitacin
Objetivo
alcanzado?
Control, evaluacin y revisin
Proceso
recurrente
No
Si Nota: Esta temtica se
discutir durante el
Da 3
1.6.6. Control, Evaluacin y Revisin
Control

Evaluacin

Revisin

Mantener
Asegurar
conformidad
Medir el grado de
conformidad
Capacitacin Implementador Lder en la ISO 22301
Seccin 11
Estructura Organizativa

a. Estructura de gestin

b. Estructura Orgnica para la gestin de la continuidad del
negocio

c. Designacin de un coordinacin de la continuidad del negocio

d. Roles y responsabilidades de las partes interesadas

e. Roles y responsabilidades de los comits clave

f. Equipos de la continuidad del negocio

g. Proceso de decisin y de control

1.7. Estructura Organizativa

1. Planificar

2. Hace

3. Verificar

4. Actuar

4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

Funciones, responsabilidades y autoridades organizativas

La alta direccin deber asegurarse de que las responsabilidades y autoridades
para funciones pertinentes sean asignadas y comunicadas dentro de la
organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para :

a) Garantizar que el sistema de gestin se establece y ejecuta en conformidad
con los requisitos de esta Norma Internacional; e

b) Informar sobre la eficacia de la gestin del SGCN a la alta direccin

Estructura organizativa
Principios

Para ser eficaz, un programa de continuidad empresarial debera ser un
proceso integrado de gestin impulsado desde las altas esferas de la
organizacin, apoyado y promovido por los principales directores y
ejecutivos

Debera ser administrado en los niveles operativos y de la organizacin

Puede requerirse una serie de profesionales y personal de otras disciplinas
relacionadas con la gestin y los servicios necesarios para apoyar y gestionar
el programa

La continuidad de recursos necesarios, depender del tamao y la diversidad
de la organizacin
1.7. Estructura Organizativa
1.6 Poltica de
continuidad
del negocio
1.7.1 Estructura
de gobierno y
organizacin
1.7.2 Coordinador
de la continuidad
del negocio
1.7.3 Roles y
Responsabilidades
de las partes
interesadas
1.7.6 Proceso de
decisin y control
1.7.5 Equipos de la
continuidad
del negocio
1.7.4 Roles y
Responsabilidades
de los comits
principales
1.8 Informacin
documentada
1.7 Estructura organizativa
1.7.1. Definicin de la Gestin de Gobierno y de la Estructura
Orgnica para la Gestin de Continuidad del Negocio
Estructura de gobierno
Junta de
Directores
CEO
Comit de Crisis
Comit de
Continuidad del
negocio
Operaciones
Recursos
humanos
Auditora
Interna
Servicios
Administrativos
Tecnologa de
la informacin
(TI)
Ventas &
Marketing
Continuidad
del Negocio
Partes Involucradas
Actores Principales
Unidad de negocio 1

Unidad de negocio 2

Gestin de TI

Gestin de
Instalaciones

Organismos Externos

Comit de Crisis Alta Direccin
Medios de comunicacin
Medios de

Director de la Continuidad del
Negocio
Comit de Continuidad del
Negocio
Plan de
Continuidad
del Negocio
Seguridad pblica
Autoridades del Gobierno
CERT
Director del Sitio
Coordinador de gestin
de CN del Sitio
Plan de
Continuidad del
Negocio adaptado
Para la unidad
Los
Procedimientos
locales
Director del Sitio
Coordinador de gestin
De CN del Sitio
Director del Sitio
Coordinador de
Recuperacin de TI
Gerente de las
Instalaciones
Coordinador de la
Respuesta de
Emergencia
Plan de
Continuidad del
Negocio adaptado
para la unidad
Planes de
Recuperacin y
Restauracin de TI

Planes de
Recuperacin y
Restauracin de
TI
Los
Procedimientos
de TI
Planes de
Respuesta de
Emergencia
Procedimientos
De emergencia
Procesos de Negocios Procesos de Soporte
1.7.2. Designacin de un Coordinador de la Continuidad del Negocio
Funciones y responsabilidades

El Coordinador de la continuidad del negocio tiene la responsabilidad general de
la concepcin, el desarrollo, la coordinacin, ejecucin, administracin,
capacitacin, programas de sensibilizacin, y el mantenimiento del Plan de
continuidad de Negocios y el SGCN

El CCN debera estar en una funcin de nivel de direccin

Es responsable de la cooperacin y colaboracin en la Continuidad del Negocio
de los gerentes, usuarios, administradores de sistemas, auditores, personal de
seguridad, y habilidades de especialistas en reas como los seguros, las
cuestiones jurdicas, de recursos humanos, TI o la gestin de riesgos

1.7.3. Definir las Funciones y Responsabilidades de las Partes
Interesadas
Consejo legal Identificar el cumplimiento y anlisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI
Encargado de
Seguridad de la
Informacin
Encargado de RRHH
Encargado de
Patrimonio
Oficial de RRPP
Encargado del centro
De servicios / Help
Desk
Responsable de la
Gestin de documentos
Auditor interno
Implementar y gestionar el plan de capacitacin y de sensibilizacin, responsable de contratacin
Implementar y administrar los controles de seguridad fsica (control de acceso a edificios, proteccin
contra incendios, mantenimiento elctrico, etc.)
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
gestin de incidencias, etc.)
Validacin del impacto sobre la reputacin de la organizacin, las comunicaciones con las partes
interesadas externas
Validacin del Cumplimiento del SGCN
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
necesarias para una buena gestin del patrimonio de conocimientos e informacin, para la preservacin
de las pruebas
Coordinar las actividades relativas a la gestin de seguridad de la informacin
Implementar y administrar soluciones y medidas tcnicas en el manejo de las operaciones
1.7.4. Definicin de la Funciones y Responsabilidades de los
Comits Claves
1. Comit Ejecutivo y Comit de Crisis
2. Comit de Continuidad del Negocio
3. Comits Operativos y
Comit Local de CN
1.7.5. Creacin de los Equipos Necesarios de Continuidad del
Negocio
Ejemplo
Lder del Equipo de
Gestin de Crisis
(Director Ejecutivo)
Gerente de
Evaluacin de
Riesgo
Coordinar de
la Continuidad
del Negocio
TI/RR.HH./
Legales/
Finanzas
Representantes de
La unidad de
Negocio
Equipo de
Respuesta de
Emergencia
Equipo de
Evaluacin de
Daos
Equipo de
Relaciones
Pblicas
Equipo de
Recuperacin
Equipo de
Restauracin
Equipo de
Telecomuni-
caciones
Equipo de
Obtencin de
Recursos y
Logstica
Nota importante: La creacin de equipos y comits no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisin y Control
Modelo de la estructura de comando y control
Nivel 2
Tctico
Nivel 3
Operativo
Nivel 1
Estratgico
Seccin 12
Informacin documentada

a. Requisitos de la informacin documentada
b. Valor de la documentacin
c. Creacin de plantillas
d. Gestin de la documentacin
e. Implementacin de un sistema de gestin de
documentos
f. Redaccin de la informacin documentada de
l SGCN
g. Control de los registros

1.8. Informacin documentada

1. Planificar

2. Hacer

3. Verificar

4. Actuar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.6 Poltica de CN
1.5 Liderazgo y
planificacin
1.8 Informacin
documentada
1.7 Estructura
organizativa
1.9 Competencia y
sensibilizacin
2.1 Anlisis del
Impacto
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
Requisitos

7.5 Informacin documentada
7.5.1 Generalidades

El SGCN de la organizacin incluir:
- La informacin documentada requerida por esta norma internacional
- Informacin documentada determinada por la organizacin como necesaria para la
eficacia del SGCN

7.5.2 Creacin y actualizacin

Al crear y actualizar la informacin documentada, la organizacin deber garantizar la
adecuada:
a) Identificacin y descripcin (por ejemplo, un ttulo, fecha, autor o nmero de referencia),
b) Formato (por ejemplo, el idioma, la versin del software, grficos) y los medios (por ejemplo,
papel, electrnico), y la revisin y aprobacin de idoneidad y suficiencia.

Requisitos
7.5.3 Control de la informacin documentada
La informacin documentada requerida por el SGCN y por esta Norma Internacional deber ser controlada para
asegurar que:
a) Est disponible y apta para su uso, cundo y dnde sea necesario,
b) Est protegida adecuadamente (por ejemplo, de prdida de la confidencialidad, uso indebido, o la prdida de
integridad).
Para el control de la informacin documentada, la organizacin deber abordar las siguientes
actividades, segn corresponda:
- Distribucin, acceso, recuperacin y uso,
- Almacenamiento y conservacin, incluida la conservacin de la legibilidad,
- Control de los cambios (p. ej., control de versiones).
- Retencin y disposicin
- Recuperacin y uso,
- Preservacin de la legibilidad (es decir lo suficientemente claro para leer), y
- Prevencin del uso no intencionado de informacin obsoleta.
La informacin documentada de origen externo determinada por la organizacin como necesaria
para la planificacin y el funcionamiento del SGCN deber ser identificada, segn corresponda, y
controlada.
Cuando se establece el control de la informacin documentada, la organizacin deber asegurarse de que exista
una proteccin adecuada d la informacin documentada (por ejemplo, la proteccin ante cualquier peligro, la
modificacin no autorizada o la eliminacin).
Requisitos de Informacin Documentada
Resumen
Contenido

Formato
Ciclo de Vida
del Documento
Documentacin del Sistema de Gestin
Tipos de informacin documentada
Descripciones
Del
Marco de Gestin
Describe los procesos,
Procedimientos y controles
(quin, qu, cundo, cmo,
Dnde y por qu)
Describe en detalle cmo se llevan a
Cabo las tareas y actividades
Proporciona la evidencia objetiva del
Cumplimiento de los requisitos de la norma
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Polticas, el alcance, revisin por la direccin,
y otros documentos estratgicos
Descripcin del proceso, actividades,
controles y procedimientos
Hojas de clculo, formularios
listas de control, etc.
Registros
Valor de la Documentacin
Notas importantes

En muchas organizaciones, la creacin de la
documentacin est desproporcionada

La preparacin de los documentos no debera
ser un objetivo en s mismo. Esta debe ser
actividad de valor aadido, soporte del SGCN

La documentacin que es demasiado es difcil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza

Cada organizacin determina la extensin de
la documentacin necesaria y los medios de
comunicacin a utilizar
1.7 Estructura
organizativa
1.9 Competencia y
sensibilizacin
1.8.1 Creacin de
plantillas
1.8.2 Control de
los documentos
1.8.3
Sistema de gestin
de documentos
1.8.4 Establecer la
Documentacin
del SGCN
1.8.5 Control de
los registros
1.8.1. Creacin de Plantillas
Tipo de documentos
Tipo Objetivos
Poltica Intenciones y directrices generales de una organizacin formalmente expresadas por la Direccin
Procedimiento
Directrices
Plan de
Carta
Esquema de proceso
Normativa de proceso
Formulario
Gua
Hoja de datos
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la poltica, las
directrices y las normas de apoyo se aplicarn realmente en un entorno operativo
Declaracin general para alcanzar los objetivos de la poltica al proporcionar orientacin sobre buenas
prcticas a seguir
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseadas para facilitar
la actividad de la continuidad del negocio o la ordenada y rpida recuperacin de los procesos crticos (de negocio) en
el caso de una crisis
Descripcin de los acuerdos en vigor entre la organizacin y un grupo de actores como usuarios
empleados, proveedores o prestadores de servicios
Esquema que ilustra el trabajo de un proceso
Explicacin detallada de funcionamiento de un proceso como una descripcin
Formulario de papel o en formato electrnico que est diseado para proporcionarlo o registrar la informacin sobre una
operacin (solicitud de cambio, solicitud de autorizacin, notificacin de incidentes, etc.)
Documento prctico con instrucciones detalladas sobre el uso y/o instalacin mantenimiento operacin
Documento que resume la informacin tcnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestin de la documentacin
El desarrollo de un proceso de gestin de la documentacin y
redaccin de un procedimiento
c) Clasificacin, indexado y
seguridad
b) Identificacin
a) Creacin
d) Modificacin
e) Aprobacin
f) Distribucin
g) Uso adecuado
h) Conservacin y
archivado
i) Eliminacin
1.8.3. Implementacin de un Sistema de Gestin de Documentos
Facilitar el almacenamiento, acceso, consulta, difusin de documentos y su
informacin
Custodiar el ciclo de visa complement0 de los documentos

Garantizar la trazabilidad

Garantizar el acceso a los documentos

Optimizar bsqueda
y actualizacin
1.8.4. Redaccin de la Informacin Documentada Requerida del
SGCN
Como mnimo, el SGCN debera contener la siguiente documentacin:

1. El contexto de la organizacin
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El mbito de aplicacin del SGCN y cualquier exclusin (4.3.2)
4. Poltica de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)
7. Anlisis del impacto en el negocio y proceso de evaluacin de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
9. Procedimientos de continuidad , gestin de incidentes y de recuperacin (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditoras Internas (9.2)
13. Revisin por la direccin (9.3)
14. No Conformidades y acciones correctivas (10.1)
Informacin Documentada que puede ser Requerida
Adems puede ser requerida la informacin documentada que abarca la siguiente
informacin necesaria para asegurar la eficacia del SGCN:

1. Los contratos con clientes y los niveles de servicio
2. Resultados de los anlisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinacin y seleccin de las estrategias de continuidad del negocio
5. Resumen de respuesta ante incidentes
6. Programa de sensibilizacin
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitacin para la organizacin y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores
11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspeccin, mantenimiento y calibracin
13. Despus de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunin de la revisin del SGCN

Crear una Lista Maestra de Documentos
Buenas prcticas

Es una buena prctica crear una lista nica de todos los documentos relacionados
con el SGCN con informacin bsica tal como:

El identificador nico
Ttulo
El tipo de documento
Los nombres, funciones y servicios de los autores (y / o los propietarios)
El nombre del responsable y la fecha de la aprobacin
Fecha de emisin
Fecha de la versin y de la revisin
Numeracin de pginas
Nivel de clasificacin

1.8.5. Control de los Registros
o Los controles para garantizar la identificacin, almacenamiento, proteccin,
disponibilidad, tiempo de conservacin y eliminacin de registros deben estar
documentados e implementados

o Los registros deben ser protegidos, permanecen legibles, fcilmente
identificables y accesibles
o Ejemplos de registros:

Las actas de reunin
Certificados de capacitacin
Enviar cartas a las partes interesadas
Los informes de auditora
Informe de resultados de pruebas

Lista Maestra de Documentos
Ejemplo
Identificacin Almacenamiento Responsabilidad
Duracin de la
conservacin
Clasificacin
Registro de
capacitacin
Departamento de
Recursos Humanos
Director de
Recursos Humanos
3 aos Uso interno
Hoja de informe
De incidentes
Centro de Servicios
Director
Centro de Servicios 2 aos Confidencial
Ejercicios y
Registros de las
Pruebas del
SGCN
Departamento de
Gestin de Riesgos
Director de CN

5 aos Muy confidencial
7 aos
Secretario del
Comit Ejecutivo
Comit Ejecutivo
Revisin por la
Direccin
Muy confidencial
Gestin de la documentacin
Problemas ms comunes
Problema Causa potencial
Dificultad para encontrar o gestionar un
documento
Cantidad demasiado grande de documentos mal
clasificados y no catalogados
Incapacidad para extraer rpidamente
informacin til de un documento
Documento voluminoso, demasiado literario, a
menudo con varios anexos
Actualizaciones de carcter tedioso
Los procesos de gestin de documentos no estn
establecidos o poco explotados
Los empleados relacionados con las operaciones
no han participado en la redaccin de
documentos
Diferencia entre los registros y procesos de
negocio reales
Textos o grficos ambiguos / incomprensibles
No hay validacin con los usuarios, la falta de
formacin y sensibilizacin, editor incompetente
Proliferacin de versiones de los documentos Ningn sistema de gestin de documentos en uso
Ejercicio 6
Lista maestra de documentos
Capacitacin Implementador Lder en la ISO 22301
Seccin 13
Competencia y sensibilizacin

a. Diferencia entre capacitacin, sensibilizacin y comunicacin
b. Definicin de un programa de desarrollo de competencias
c. Evaluacin de las competencias requeridas
d. Definicin de un programa de capacitacin
e. Definicin de un programa de sensibilizacin
f. Evaluacin y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilizacin

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin
por la Direccin
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.7 Estructura
organizativa
1.6 Poltica de CN
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos
ISO 22301, clusula 7.2 y 7.3

7.2 Competencia
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitacin y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada informacin documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formacin para la tutora de , o la re-
asignacin de los empleados; o la contratacin o subcontratacin de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organizacin debern tener en cuenta:
a) La poltica de continuidad del negocio,
b) Su contribucin a la eficacia del SGCN, incluyendo los beneficios de una mejor gestin de la continuidad del
negocio,
c) Las consecuencias de no conformidad con los requisitos del SGCN
d) Su papel durante los incidentes disruptivos.

Competencia y Capacitacin
Norma ISO 9000, clusula 3.1.6 e ISO 10015, clusula 3.2

Capacidad demostrada
para aplicar
conocimientos y
habilidades

Competencia
Capacitacin
Proceso para
proporcionar y desarrollar los
conocimientos, las habilidades
y las conducta para cumplir
con los requisitos

Competente
Habilidades
Habilidades
de
conducta
Conocimiento
C
o
n
o
c
i
m
i
e
n
t
o
s

d
e

Contexto

Capacitacin, Sensibilizacin y Comunicacin

Diferencias
Sensibilizacin Comunicacin Capacitacin
Adquisicin de
habilidades
Cambio de hbitos Estar informado
Dirigida al intelecto
Dirigida principalmente a
las emociones y el
comportamiento
Dirigida al intelecto
Qu habilidades
Tienen que adquirir?
Qu comportamiento
queremos reforzar o
cambiar?
Qu mensajes
enviamos?
1.9. Competencia y Sensibilizacin
1.7 Estructura
organizativa
1.8.2 Evaluacin
de las
competencias
necesarias
1.9.1 Definir un
programa de
desarrollo de
competencias
1.9.3 Definir un
programa de
capacitacin
1.9.4 Definir un
programa de
sensibilizacin
1.9.5 Evaluacin
y mejora continua
1.8 Informacin
documentada
2.1 AIN
1.9.1. Definicin de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 clusula 7.2

La organizacin debera desarrollar un programa de desarrollo de competencias
que incluya:
La evaluacin de competencias para las funcin (es) que se llevarn a
cabo
Creacin de un programa de desarrollo personal que identifica
capacitacin, supervisin, etc.
Servicios de capacitacin y tutora incluyendo la seleccin de mtodos
y materiales adecuados
Intercambio de Conocimientos
Trabajo compartido
Contratacin de una persona o personas competentes
Evaluacin y mejora continua del programa
1.9.2. Evaluacin de las Competencias Requeridas
Ejemplo
Funciones
Funcin A
Funcin B
Funcin C
Funcin D
Funcin E
Polticas Crisis AIN Legales Auditorias
A
B B R
C
B C
B
C
B A C
A A
A
A
Experiencia Conocimiento Nivel de Sensibilizacin
1.9.3. Definicin de un Programa de Capacitacin
Tipos de programa y sus objetivos
Sesin de Iniciacin
Educacin continua
Educacin Bsica (Universidad)
Obtener informacin sobre temas
especficos
Mantenimiento de las habilidades y
adquisicin de habilidades especificas
Adquisicin de habilidades generales
Principales Mtodos de Capacitacin
Taller
Cuando se selecciona una
solucin de capacitacin para
cerrar las brechas de
competencia, deberan ser
especificadas y documentadas
las necesidades de
capacitacin

Deberan enumerarse los
posibles mtodos de
capacitacin a fin de satisfacer
las necesidades de formacin.
La forma adecuada de
capacitacin depender de los
recursos enumerados, las
limitaciones y objetivos

Aprendizaje
a distancia
Auto
capacitacin
Aprendizaje
Mtodos de
capacitacin
Curso
en el sitio o
fuera del
sitio
Instruccin
en el puesto
de trabajo
1.9.4. Definicin de un Programa de Sensibilizacin
Temas principales
Las personas que realizan trabajos en el control de la organizacin debern tener
en cuenta:

La poltica de continuidad del negocio,
Su contribucin al SGCN prevista
Los beneficios de la continuidad del negocio
Su papel durante los incidentes
Nota: Un plan de sensibilizacin sobre la Gestin de la Continuidad del Negocio
de la organizacin es un Proceso en curso
1.9.5. Evaluacin y Mejora Continua del Programa de Desarrollo de
Competencias
El objetivo de la evaluacin es confirmar que se han cumplido
los objetivos de ambas competencias de la organizacin y las
individuales, es decir, el programa de desarrollo ha sido
efectivo
Capacitacin Implementador Lder Certificado en la ISO 22301
Seccin 14
Anlisis de Impacto en el Negocio (AIN)

a. Propsito de un AIN

b. Planificacin de un AIN

c. La recopilacin de datos

d. Anlisis de los datos

e. Validacin de los datos

f. Presentacin del informe del AIN
2.1. Anlisis del Impacto en el Negocio (AIN)

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades
y accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos
Anlisis del impacto en el negocio

La organizacin deber establecer, implementar y mantener un proceso de evaluacin formal y
documentado para determinar las prioridades, objetivos y metas de continuidad y recuperacin.
Este proceso deber incluir la evaluacin del impacto de interrumpir las actividades que
apoyan las actividades de productos y servicios de la organizacin.

El anlisis del impacto en el negocio deber incluir lo siguiente:
a) Identificacin de las actividades que favorezcan la presentacin de los productos y
servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mnimo
aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas
seran inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios
Propsito de un AIN
Obtener una comprensin de los productos y servicios clave de la
organizacin y la actividades que los ofrecen

Determinar las prioridades y los plazos para reanudar actividades

Identificar los principales recursos que puedan ser necesarios para la
continuidad y recuperacin

Identificar las dependencias (tanto internas como externas)
2.1. Anlisis del Impacto en el Negocio (AIN)
1.9 Competencia y
capacitacin
2.2 Evaluacin del
Riesgo
2.1.1 Planificacin
del AIN
2.1.2 Recoleccin
de los datos
2.1.3 Anlisis de
los datos
2.1.4 Validacin
de los datos
2.1.5 Presentacin
del Informe del AIN
2.1.1. Planificacin de un AIN
Actividades
1
Determinacin del enfoque y el mtodo de recoleccin de datos
2
3
4
Identificacin de las actividades que soportan los productos y servicios
clave
Seleccin de los impactos que se van a analizar
Preparacin de las herramientas del AIN
1. Determinacin del Enfoque y el Mtodo de Recoleccin de
Datos

Determinacin del enfoque
El enfoque puede ser cuantitativo (con clculo de consecuencias financieras) y/o
cualitativo (evaluacin de impactos no financieros como la reputacin, el servicio
de atencin al cliente, etc.)
Determinacin del mtodo
La recopilacin de datos del AIN puede hacerse con una combinacin de mtodos
como taller, entrevistas y cuestionario
Crear un equipo de AIN e identificar a quienes van a responder las entrevistas (de
las funciones de negocio y las funciones de apoyo)
Identificacin de los participantes
II. Identificar la Actividades que dan Apoyo a sus Productos y
Servicios Principales
NADA
Las actividades a considerar
Las que apoyan la misin de la
organizacin y que son vitales para
sus logros

Relacionadas con obligaciones
legales y/o contractuales
Principales Actividades de Negocio
Ejemplo basado en la cadena de valor de Porter
Gestin de Infraestructuras
Gestin de Recursos Humanos
Finanzas y contabilidad
I+D Marketing Diseo Produccin Distribucin Atencin al
cliente
Investigacin
Y Desarrollo
Ventas
Marketing Diseo
Suministros
Transformacin
Control de
calidad
Fabricacin
Exportacin
Embalaje
Servicios
Pos venta
III. Seleccin de los Impactos a Analizar
L
a
s

i
n
t
e
r
r
u
p
c
i
o
n
e
s

IMPACTOS
SANCIONES
Contractuales
Regulatorias
Legales

PRDIDA DE INGRESOS
Prdida Directa
Pagos Compensatorios
Ingresos Futuros Perdidos
Prdida de Inversin
DAOS A LA
REPUTACIN
Clientes, Proveedores,
Socios, Bancos
Mercados Financieros
Calificaciones de
Crdito

GASTOS ADICIONALES
Costo de la Recuperacin
Gastos Extras
Mayor Riesgo de Fraude
Una Mayor Tasa de Error
Los Gastos de Viaje
Los Empleados Temporales
RECAUDACIONES
RETRASADAS
Las Prdidas de
Facturacin
Descuentos Perdidos

PRDIDA DE PRODUCTIVEDAD
Nmero de Empleados afectados
Nmero de horas perdidas
% de Capacidad perdida
IMPACTOS EN
SEGURIDAD
La prdida de vida o
lesiones
Irritacin de las vas
respiratorias
Enfermedad

IMPACTO AMBIENTALES
Contaminacin del suelo
Contaminacin del aire
Contaminacin del agua
Devastacin de la flora y la
fauna
IV. Preparacin de las Herramientas del AIN
Principales herramientas

o Peor de los casos

o Cuestionario

o Gua para al responder a los cuestionarios

o Gua para facilitadores y entrevistadores de talleres

o El Programa y la presentacin de un taller

o Presentacin de lanzamiento

o El software del AIN
2.1.2. La Recopilacin de Datos
Durante el anlisis del impacto en el negocio, es recomendable recoger datos
a travs de cuestionarios, entrevistas, o talleres

o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero
estos datos se deberan recopilar slo para respaldar o complementar los datos a
travs del contacto directo con expertos en la materia

o Durante la fase de recoleccin de datos, la siguiente informacin debera ser
recopilada:

Evaluacin de los impactos
Identificacin de los objetivos de continuidad del negocio, como RTO, RTP y
MBCO
Documentacin de actividades prioritarias
I. Evaluacin de los Impactos
Ejemplo
Umbrales de Impacto
4
Critico
1
Limitado
3
Grave
2
Importante
Riesgo
Financiero
Impacto a la
Funcionalidad

Impacto en la
Imagen Pblica

Compromiso de
Responsabilidad

Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Sin ms retraso
despus de 3
meses
Sin ms retraso
despus de 1
mes
Sin ms retraso
despus de 2
semanas
Sin ms retraso
despus de 1
semana
Limitada
Divulgacin de
Incidentes
Significativo
Cambio de
Imagen Pblica
Importante
Cambio de
Imagen Pblica
Cambio
Permanente de la
Imagen Pblica
Quejas de los
Clientes

Cuestionamiento
de los Contratos
Actuales
Cancelacin de
los Contratos
Actuales
Destitucin del
Director General
/o miembros de la
Direccin
Impacto
Econmico,
Humano y Social
Riesgo Financiero
Quiebra

Prdida
Financiera
Limitada
Prdidas
Financieras
Importantes
Deudas
Financieras

II. Identificacin de los Principales Recursos y Dependencias
Vinculados a los Procesos Crticos
Ejemplo con un proceso de produccin
III. Identificacin de los Objetivos de Continuidad del Negocio
RPO y RTO
Objetivo de punto de recuperacin
(RPO, por sus siglas en ingls)
Objetivo de tiempo de
Recuperacin (RTO)
Punto en que la informacin
utilizada por una de las actividades
debe ser restaurada para que la
actividad pueda funcionar tras la
reanudacin.
Periodo de tiempo despus de un
incidente en el que: el producto o
servicio deben reanudarse; o la
actividad debe reanudarse; o los
recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de punto de
Recuperacin (RPO)
(Mxima prdida de datos aceptable
Objetivo de Tiempo de
Recuperacin (TTO)
El tiempo mximo aceptable

Desastre
Desastre
Tiempo
0:00
Copia de
seguridad
en cintas
(7 Das)

Copia de
seguridad
de la red
(24 H)
Sistema
de espejos
(1 Minuto)
Crtico
(1 H)
Muy
Importante
(12 h)
Importante
(72 H)
Identificacin de los Objetivos de Continuidad del Negocio
OMCN (MBCO)
Objetivo Mnimo de Continuidad
del Negocio OMCN (MBCO)
Nivel mnimo de los servicios y/o
productos que es aceptable para
la organizacin para alcanzar sus
objetivos de negocio durante una
interrupcin
100 % Nivel de servicio normal
40 %
Objetivo Mnimo de Continuidad del Negocio (MBCO)
0 %
IV. Documentacin de las Actividades Prioritarias
Resumen basado en las mejores prcticas
1
2
3
4
5
Descripcin de la Funcin Empresarial
Impacto del Flujo de Trabajo
Consecuencias de No Procesar
Las Dependencias
Las Actividades crticas
2.1.3. Anlisis de los Datos
Transcribir en minutas de entrevistas o sntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado
Comprobar que los objetivos de continuidad de la empresa se justifican
por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar
Identificar incoherencias
?
?
?
? ?
?
?
?
2.1.4. Validacin de Datos
Validar con:
o Gerente de la funcin de negocio
o Director del Departamento

Cualquier cambio en los datos recopilados
debe estar documentado y aprobado

En la parte final de esta fase, asegrese
de que toda la informacin recopilada
est completada, es precisa y est
acordada por las personas implicadas

Validacin de datos

2.1.5. Presentacin del Informe del AIN
El informe del AIN
No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estndar de la
organizacin

Como mnimo, el informe del
AIN debe incluir:
La lista de actividades que
Apoyan a los principales
productos y servicios.
Las evaluaciones de impacto
El RTO y las prioridades de la
empresa para la recuperacin
Importantes dependencias y
recursos de soporte
Resumen de Objetivos de Recuperacin

Objetivo de Punto de
Recuperacin (RPO, por
sus siglas en ingls
Objetivo de
Tiempo de
Recuperacin
(RTO)
Corte mximo aceptable
(MAO)
Plan de proteccin y de
Medidas de mitigacin
Plan de capacitacin y
sensibilizacin
Desastre
Nivel de
servicio
normal
100%
40%
0%
ltima copia de seguridad
Objetivo Mnimo de Continuidad
del Negocio (MBCO)
Horas Da
Llegar al punto de los
Servicios mnimos a
recuperar
Volver a
Normal
Semana Mes Tiempo
Anlisis de Impacto en el Negocio (AIN)
Resumen con un ejemplo
APORTACIONES
DE LAS PARTES
INTERESADAS
Procesar
Factura
Elaborar
factura
Procesar
Factura
Procesar
Factura
Operaciones ms de 1.000
Empleados afectados
Reputacin medios de
Comunicacin anuncian
preocupaciones
Reputacin visin del
congreso
Servicio de atencin al Cliente
-ms de 500 quejas de los
clientes
72
Horas
30
Horas
36
Horas
36
Horas
Servidor de
Aplicaciones
Servidor Web
Servidor de Base de
datos
Los ordenadores de
escritorio
36
Horas
24
Horas
12
Horas
30
Horas
Proceso de
Negocio
Impactos
Potenciales
Mximo de
Inactividad Tolerable
Componentes del
Sistema
Objetivo de
Tiempo
de Recuperacin

Interdependencias
Ejercicio 7
Anlisis del Impacto en el Negocio (AIN)
Seccin 15
Evaluacin de riesgos

a. Identificacin de riesgos

b. Anlisis de riesgos

c. Estimacin de riesgos
2.2. Evaluacin de Riesgos

1. Planificar

1. Planificar

1. Planificar

1. Planificar

4.2 Mejora
continua
4.1 No
conformidades y
accin correctiva
3.3 Revisin por
la Direccin
3.2 Auditora
interna
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.6 Comunicacin
2.5 Plan y
2.4 Medidas de
Proteccin &
Mitigacin
Continuidad del
Negocio
2.2 Evaluacin del
Riesgo
en el Negocio (AIN)
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Proceso de Gestin de Riesgo (ISO 31000)
a. Crear valor
b. Parte integral de los
procesos de la
organizacin
c. Parte de la toma de
decisiones
d. Aborda explcitamente
la incertidumbre
e. Sistemtica,
estructurada y
oportuna
f. Sobre la base de la
mejor informacin
disponible
g. Adaptada
h. Toma en cuenta los
factores humanos y
culturales
i. Transparente e
inclusiva
j. Dinmica, interactiva y
sensible a los cambios
k. Facilita la mejora
continua y la
optimizacin de la
organizacin de la
organizacin
Principios (clusula 3)
Mandato y compromiso (4.2)
Diseo del marco
de trabajo de la
Gestin de riesgos (4.3)
Mejora continua
Del marco
De trabajo (4.6)
Implementacin
De la gestin
De riesgos (4.4)
Seguimiento y
Revisin del marco
De trabajo (4.5)
Marco (clusula 4)
Establecer el
contexto (5.3)
Evaluacin de
riesgos
Identificacin de
Riesgos (5.4.2)
Anlisis de
Riesgos (5.4.3)
Evaluacin
de Riesgos (5.4..4)
Tratamiento del
Riesgo (clusula 5.5):
C
o
m
u
n
i
c
a
c
i
n

y

c
o
n
s
u
l
t
a

(
5
.
2
)

S
e
g
u
i
m
i
e
n
t
o

y

r
e
v
i
s
i
n

(
5
.
6
)

Proceso (clusula 5)
Herramientas y Mtodos para la Evaluacin de Riesgos Presentados
en la Norma ISO 31010
Tormenta de ideas
Lista de verificacin
Anlisis de rbol de fallos
Entrevistas estructuradas o
semi-estructuradas
Anlisis de riesgo primario
Estudios de peligros y
Operabilidad (HAZOP)
Anlisis de Peligros y Puntos
de Control Crticos ((APPCC)
Evaluacin de riesgos
medioambientales
Estructura Y si? >
(SWIFT)
Anlisis de escenarios
Anlisis del impacto en el
negocio
Anlisis de la causa raz
Anlisis de proteccin de
la capa (LOPA)
Anlisis de causa y efecto
Anlisis de causas y
consecuencia
Anlisis de rboles de
sucesos
Delphi
Modo de Falla
Anlisis de los efectos
Mantenimiento centrado en
la fiabilidad
Anlisis de lazo
Anlisis de fiabilidad
humana
rbol de decisin
Curvas FN
Estadsticas Bayesianas y
Bayes
Simulacin de Monte Carlo
Anlisis Markov
Anlisis furtivo de circuitos
Anlisis de la relacin
coste/beneficio
Matrices de probabilidad /
consecuencia
ndices de Riesgo
Anlisis de decisin por
multi-criterios (MCDA)
2.2. Evaluacin de Riesgos
2.1 AIN
2.3 Poltica de CN
2.2.1 Identificacin
del riesgo
2.2.2 Anlisis del
riesgo
2.2.3 Evaluacin
del riesgo
2.2 Evaluacin de Riesgos
2.2.1. Identificacin de Riesgos

Las organizaciones deberan:

Identificar las fuentes de riesgo, las reas de los efectos, los acontecimientos y sus
causas
Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
La organizacin debera aplicar herramientas y tcnicas de identificacin del riesgo
que se adapten a sus objetivos y aptitudes, as como a los que est expuesta

Enfoque y Mtodos de Identificacin de Riesgos

o Los mtodos de identificacin de riesgo pueden incluir:
Mtodos basados en la evidencia, ejemplos de los cuales son las listas de verificacin
y los comentarios de datos

Enfoques sistemticos de equipo donde un equipo de expertos sigue un proceso
sistemtico para identificar los riesgos por medio de un conjunto estructurado de
mensajes o preguntas

Tcnicas de razonamiento inductivo como HAZOP

o Se pueden utilizar diversas tcnicas de apoyo para mejorar la exactitud y la exhaustividad
en la identificacin de riesgos, incluyendo tormenta de ideas y metodologa Delphi

1 HAZOP = estudios de Peligros y Operabilidad
Identificacin de Riesgos

Principales elementos incluidos en los Mtodos de Evaluacin de Riesgos

1. Determinacin de los criterios de aceptacin de riesgos y la determinacin de los
niveles de riesgo aceptables
2. Identificacin de los activos
3. Identificacin de las amenazas a las que se enfrentan los activos
4. Identificar las vulnerabilidades que podran ser explotadas por las amenazas
5. Identificacin de los impactos
6. Anlisis y evaluacin del impacto
7. Anlisis y evaluacin de la probabilidad
8. Evaluacin de los niveles de riesgo
9. Determinacin de umbrales aceptables sobre la base de riesgos establecidos
10. Identificacin y evaluacin de opciones de tratamiento del riesgo
11. Seleccin de las medidas y controles para tratar los riesgos

2.2.2. Anlisis de Riesgos
El Anlisis de riesgos se define como el anlisis de un entorno de riesgos

Cada riesgo se evala de acuerdo con:

Las prdidas que pueden ocasionar
La probabilidad de ocurrencia
El costo de las contra medidas para mitigar el riesgo y
La prdida probable si esas contra medidas fueron aplicadas

Enfoque y Mtodos de Anlisis del Riesgo
Anlisis Cualitativo:
Define la consecuencia, la probabilidad y el niel de riesgo por niveles de
significacin, como alta, medio y bajo, puede combinar la
consecuencia y la probabilidad, y evala el nivel de riesgo resultante de
los criterios cualitativos
Anlisis Cuantitativo:
Estima los valores estimados para las consecuencias prcticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo anlisis
cuantitativo puede no ser siempre posible o deseable debido a
informacin insuficiente
Anlisis de Escenarios de Riesgo
Las categoras habituales
1
2
3
5
4
7
6
Escenarios con edificios
Escenarios de utilidades
Escenarios en los sistemas de comunicacin
Escenarios de sistemas informticos
Escenarios de consumibles
Escenarios que involucran personas
Escenarios de informacin o datos
Ejemplo
Escenario 1
No disponibilidad del edificio

Posibles Causas
/Amenazas
Consecuencias Impacto
Fuego

Inundacin

Amenaza de bomba

Huelga

Manifestacin

Fuga de gas

Huracn

Terremoto
Se ha detenido la
produccin

Incapacidad para
garantizar la logstica de
entrega

Incapacidad de facturar
bienes entregados

3
Probabilidad
2
Nivel de
Riesgo
6
Comentarios: En los ltimos 10 aos, la organizacin ha perdido 9 das debido a la no disponibilidad del edificio
(una huelga de 7 das, 1 da por una alerta, 1 por un fuga de gas)
Clculo de la Determinacin de Riesgo
Ejemplo de un clculo del riesgo
Valor de
los
activos
Posibilidad de ocurrencia - Amenaza
Baja
Nivel de Vulnerabilidad
Alta Mediana
B
0
3
2
1
M B A M A B M A
0
4
3
4
1
2
1
2
4
3
5
2
6
3
4
5
1
2
4
3
5
2
3
4
5
6
3
4
6
5
7
2
3
5
4
6
3
4
5
6
7 8
7
6
5
4
2.2.3. Evaluacin de Riesgos

o La evaluacin de los riesgos es la comparacin de los niveles de riesgo
estimados con los criterios de evaluacin y los criterios de aceptacin de riesgos
y priorizarlos

o La estimacin de riesgos es necesaria antes de tomar una decisin sobre las
posibles opciones para el tratamiento de riesgos incluyendo:

Si se tomarn medidas correctivas para reducir el nivel de riesgos calculado

A cules riesgos se les dar prioridad

Decisin como resultado de la evaluacin de Riesgos

Las decisiones pueden incluir:

Si un riesgo necesita tratamiento

Prioridades de tratamiento

Si una actividad debe llevarse a cabo

Cul, de una cantidad de caminos debera seguirse
Nota: La decisin sobre las medidas a tomar despus
de la evaluacin del riesgo se ver influida por el nivel
de apetito por el riesgo de la organizacin
Ejemplo de una Matriz de Evaluacin de Riesgos
Amenaza
Valor de
consecuencia
(activo)
Probabilidad
de ocurrencia
de la amenaza
Nivel de
riesgo
Orden de
prioridad de
la amenaza
Escenario A
Escenario B
Escenario D
Escenario C
Escenario E
Escenario F
5 2 10 2
2
3
4 3 8
15 5 1
4
1 3
2
1
4
3
4
8
5
4
3 3
Evaluacin de Riesgos
Seleccin de medidas de proteccin y mitigacin

o Los resultados de la evaluacin de riesgos ayudarn a guiar y determinar las
medidas de gestin apropiadas y las prioridades de gestin de los riesgos y
para aplicar las medidas de proteccin y mitigacin para proteger contra estos
riesgos

o Las medidas pueden ser seleccionadas a partir de varias normas o pueden
disearse nuevos controles para satisfacer las necesidades especificas de la
organizacin

o La seleccin de medidas de proteccin y mitigacin se detallan en el Da 3

Da 3

Implementador Lder
Seccin 16
Estrategia de continuidad del negocio

a. Anlisis de las opciones de la estrategia de CN

a. Seleccin de la estrategia de proteccin de actividades
prioritarias

c. Seleccin dela estrategia para estabilizar, continuar
reanudar y recuperar actividades prioritarias

d. Seleccin de la estrategia para la mitigacin,
respuesta y manejo de los impactos

e. Evaluacin de las capacidades de continuidad del
negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

8.3 Estrategia de continuidad del negocio
8.3.1 Determinacin y seleccin
La determinacin y seleccin de la estrategia deber basarse en los resultados de los anlisis de
impacto en el negocio y la evaluacin de los riesgos.

La organizacin deber determinar una adecuada estrategia de continuidad del negocio para:

a) Proteger las actividades prioritarias,
b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus
dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.

La determinacin de la estrategia deber incluir la aprobacin de plazos priorizados para la
Reanudacin de las actividades.

La organizacin deber llevar a cabo evaluaciones de las capacidades de continuidad del
Negocio de los proveedores
Estrategia de Continuidad del Negocio

o El objeto de la Seleccin de la Estrategia es colaborar en la definicin de las
necesarias para proteger a la organizacin y para seleccionar las soluciones
para la recuperacin ms adecuada para las funciones crticas de la empresa
y los recursos de soporte

o La estrategia debe encarar los resultados del AIN y la evaluacin del riesgo

o La estrategia de continuidad del negocio es la base
para los Planes de Continuidad del Negocio
2.3. Estrategia de Continuidad del Negocio
Lista de las actividades
2.1 AIN
2.2 Anlisis
de riesgos
2.4 Medidas de
Proteccin &
mitigacin
2.3.1 Anlisis &
Seleccin de
Una estrategia
2.3.2 Estrategia
para proteger
las actividades
prioritaria
2.3.4 Estrategia
para mitigar,
responder a y
gestionar impactos
2.3.3 Estrategia para
Estabilizar, continuar,
Reanudar y recuperar
2.3.5 Evaluacin de
las capacidades de
los proveedores
2.3 Estrategia de C.N.
2.3.1 Anlisis de las Opciones de la Estrategia de CN

La organizacin debera determinar las opciones de estrategia para:

Proteger actividades prioritarias
Estabilizar, continuar, reanudar y recuperar actividades prioritarias
Mitigar, responder al impacto y gestionarlo
2.3.2 Seleccin de la Estrategia para la Proteccin de Actividades
Prioritarias
La proteccin de actividades
Prioritarias puede ser dirigida a:
2
3 1
Reducir el riesgo de la
actividad

transferir la actividad a un
tercero (aunque la
responsabilidad sigue
siendo de la organizacin

Cesar o modifica la
actividad si existen
alternativas viables
2.3.3 Seleccin de la Estrategia para estabilizar, continuar, reanudar
y recuperar actividades prioritarias

La organizacin debera determinar las opciones apropiadas de
terminar las opciones apropiadas de estrategia para:

1
2
3
5
4
Traslado de la actividad
Re- ubicacin o re- asignacin de recursos
Procesos alternativos y capacidad de reserva
Sustitucin de habilidades y recursos
Solucin temporal
2.3.4 Seleccin de la Estrategia para la Mitigacin, Respuesta y
Manejo de los Impactos
La organizacin debera determinar las opciones apropiadas de
estrategia para:
C) Gestin de la reputacin
La compra de seguros puede
Ofrecer cierta compensacin
Financiera en caso de prdidas,
Pero no cubrir todos los costes
La contratacin de los
servicios de las compaas
que se especializan en la
limpieza o reparacin de
bienes despus de los daos
Desarrollo de una efectiva capacidad de comunicacin y de
Alerta y establecer procedimientos de comunicacin eficaces
Ejemplo de Opciones de la Estrategia de CN
Las estrategias de CN disponibles y el RTO que cumplen
IX Sitio
cliente
VII,
Trabajo a
distancia
VI, Sitio
tibio
V, Acuerdo
reciproco
IV, Sitio
mvil
III, Sitio
frio
Ninguna
Estrategia

VIII,
Traslado a
otros centros
del grupo
II,
Reconstruccin
y restauracin
C
O
S
T
O

D
E

L
A

E
S
T
R
A
T
E
G
I
A

TIEMPO DE RECUPERACIN
I. Ninguna Estrategia

Ninguna estrategia definida
No hay documentacin de recuperacin y continuidad del negocio
No se envan datos fuera del sitio, y no hay ningn otro sitio identificado
Estrategia utilizada por las organizaciones con un evaluado apetito por el
riesgo o de un sitio con baja criticidad; tambin puede ser cuando un
producto tiene una vida til limitada

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Desventajas Ventajas
La estrategia menos costosa para
aplicar

La estrategia ms cara despus de
un desastre

II. Reconstruccin y Restauracin

La estrategia se enfoca principalmente en los seguros
Documentacin de los bienes materiales e instalaciones
No se envan datos fuera del sitio, y no hay ningn otro sitio identificado
Estrategia de las organizaciones con apetito por el riesgo moderado o de
un sitio con poca criticidad

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Estrategia de bajo costo y fcil de
implementar
Proteccin contra las prdidas
financieras de los activos fsicos

Estrategia que generalmente no
toma en cuenta los procesos de
negocio y los activos inmateriales
Estrategia que no incluye un plan
para asegurar la continuidad de las
operaciones en caso de desastres
III. Sitio fro

Instalacin con energa elctrica. Calefaccin, Ventilacin y Aire Acondicionado (HVAC
en ingls)
Listo para recibir el equipo pero no hay hardware de computacin en el sitio
Los enlaces de comunicacin pueden o no estar preparados
Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca
criticidad

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Bajo coste
Rpido de implementar
Fcil de mantener

Falsa sensacin de seguridad
El tiempo de recuperacin puede ser
largo dependiendo de la complejidad de
la tecnologa y el equipo utilizado por la
organizacin
El proveedor d e servicios puede sobre
valorar las capacidades de procesamiento

IV. Sitio mvil

Triler que puede transportarse rpidamente a un sitio alternativo

Puede ser pre configurado con servidores, equipos de escritorio, equipos de
comunicaciones, microondas y enlaces para la transmisin de datos por satlite

Alternativa til cuando no hay instalaciones de recuperacin en el rea geogrfica

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Bajo coste
Rpido de implementar
Fcil de mantener
Flexibilidad

La capacidad de los equipos puede ser
insuficiente para la necesidad

V. Acuerdo Recproco

Acuerdo con otra empresa con hardware o configuraciones de software similares

Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad
(Gran Suposicin)

Slo se debera tener en cuenta si no hay otras opciones, o es un compaero perfecto
con un entorno de tecnologa compatible

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Bajo o ningn costo

Si los requisitos de procesamiento son
similares puede ser variable

Muy poco probable la existencia de la
capacidad

Limita severamente la capacidad de
respuesta y apoyo

VI. Sitio Tibio

Instalacin de energa elctrica, calefaccin, ventilacin y aire acondicionado (HVAC) y
enlace de comunicacin
Las estaciones de trabajo y las impresoras estn disponibles pero el software puede no
estar instalado
Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un
sitio con baja o media criticidad

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Costo mucho menos que el del sitio
Caliente

Ubicacin: Ya que se requiere menos
control, los sitios pueden ser ms
flexibles

El proveedor de servicios puede sobre
valorar capacidades de procesamiento

VII. Trabajo a Distancia

Incluye el concepto de trabajar desde casa y a partir de otros lugares fuera de la
empresa, por ejemplo hoteles

Estrategia utilizada por pequeas organizaciones o para algunas unidades de negocio

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Bajo costo y fcil de implementar para
una organizacin pequea

Solucin Flexible
flexibles

Debido a cuestiones de seguridad y
confidencialidad esta opcin no siempre
es adecuada
Difcil de coordinar para grandes
organizaciones

VIII. Traslado a Otros Centros del Grupo

En el caso de un incidente perjudicial de una divisin de la organizacin, el traslado se
har a otro centro de la misma organizacin

Estrategia utilizada por grandes organizaciones con varias instalaciones

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Costo puede ser bajo a medio
Fcil de implementar
En la mayora de los casos,
compatibilidad de tecnologa
Respuesta rpida de activar

No tiene una garanta de la existencia de
la capacidad cuando sea necesario

Contencin de recursos durante los
desastres

IX. Sitio Caliente

Las aplicaciones se instalan en los servidores y las estaciones de trabajo

Las estaciones de trabajo y servidores estn actualizados

Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o
para un sitio con alta criticidad

C
a
r
a
c
t
e
r
s
t
i
c
a
s

Disponibilidad 24/7, exclusividad de uso

Disponible de inmediato

Admite interrupciones de corto y largo
plazo

Costoso
Requiere de un constante mantenimiento
de hardware, software, datos y
aplicaciones
Seguridad del sitio caliente, la seguridad
del sitio primario se debe duplicar

2.3.5 Evaluacin de las Capacidades de Continuidad del Negocio
de los Proveedores

o La organizacin debera evaluar los riesgos relevantes y, a continuacin,
adoptar las medidas adecuadas para garantizar que equipos crticos y los
servicios de los proveedores pueden ser garantizados en caso de un incidente
de interrupcin que los afecta
o Debera hacerse una evaluacin peridica de la capacidad del CN para las
actividades crticas tercerizadas o que dependen de un proveedor, Que puede
ser por:
Pedir que los proveedores estn certificados en la ISO 22301

Auditora de los proveedores

La comprobacin auditada de la viabilidad de los planes de continuidad
de los proveedores clave
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo

1. Durante del acuerdo o contrato
2. Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas
3. Prioridad de acceso al lugar/instalacin y/o uso, garanta y disponibilidad de sitios
4. Cambio, modificacin o proceso de terminacin y condiciones en el acuerdo o contrato
5. Necesidades en materia de sistemas de informacin (incluidos los datos y requisitos de
telecomunicaciones ) para el hardware, el software y las necesidades especiales del
sistema (hardware y software)
6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad
7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto
8. Las pruebas, incluida la programacin, disponibilidad, duracin del tiempo de prueba
9. Gestin de los registros (in situ o de forma remota), inclusive los medios de comunicacin
electrnicos e impresos
10. Gestin del nivel de servicios (medidas de ejecucin y la gestin de la calidad de los
servicios del sistema de informacin prestados), el proceso de negociar la ampliacin del
servicio
11. Espacio de trabajo (por ejemplo, sillas, escritorios, telfonos, computadoras personales)
12. Otras cuestiones contractuales, segn corresponda

Ejercicio 8
Seleccin de una estrategia de continuidad del negocio
Seccin 17
Las medidas de mitigacin y proteccin

a. Medida de mitigacin y proteccin

a. Medida preventiva

c. Medida de deteccin

d. Medida correctiva
2.4. Las Medidas de Mitigacin y Proteccin

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

Proteccin y mitigacin

Para identificar los riesgos que requieren tratamiento, la organizacin deber
estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupcin;
b) Acorde el periodo de interrupcin; y
c) Limiten el impacto de una interrupcin en la provisin de los productos y la
presentacin de los servicios principales de la organizacin.

La organizacin deber elegir e implementar un tratamiento de riesgo apropiado
segn su nivel de aceptacin del riesgo
2.4. Las Medidas de Mitigacin y Proteccin
2.1 AIN
2.5 Plan de la
Continuidad
del Negocio
2.4.1 Medidas
preventivas
2.4.2 Medidas de
deteccin
2.4.3 Medidas
correctivas
2.2 Evaluacin del
riesgo
Continuidad
del Negocio
2.6 Comunicacin
Aplicacin de las Medidas de Mitigacin y Proteccin
Desastre
Medidas
Preventivas
Medidas de
Deteccin
Medidas
Correctivas
Escenarios de Riesgo y la Seleccin de las Medidas de Mitigacin y
Proteccin
Ejemplo
Escenario Probabilidad Impacto Evaluacin Medidas de Proteccin y Mitigacin
Fracaso de
los
servicios
pblicos
Alto Grave (3) Posible (3)
Redundancia en la proteccin de equipos de aire
acondicionado
de salas tcnicas
Contrato de Intervencin Rpida
Redundancia de las tareas de mantenimiento
Documento de las tareas de mantenimiento
Acceso al
sitio no
autorizado
Regular (4)
Importante
(2)
Alto
Hacer valer el respeto de la poltica de seguridad fsica
Hacer valer el respeto de la poltica de acceso fsico para
las dependencias y los recursos
Vandalismo
internacion
al externo
Posible(3) Grave (3) Alto
Redundancia del sistema
Las pruebas peridicas de los equipos de emergencia
Fallo
elctrico
Raro (2)
Importante
(2)
Significativo
Pruebas peridicas de generadores de electricidad
Estar conectados a dos estaciones de
transformadores elctricos
UPS y parada segura de la maquinaria
Utilizacin de equipos con doble fuente de
alimentacin
Contratos de Intervencin Rpida
2.4.1. Aplicacin de Medidas Preventivas
Gestin de
riesgos
Mantenimiento
del
equipamiento
Gestin del
Cambio y de la
configuracin
Proteccin
fsica
y lgica
Reducir la probabilidad y el posible impacto
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparacin es adecuada
- Desalentar o prevenir la aparicin de problemas
- Debe estar basada sobre la mejora continua
2.4.2. Aplicacin de Medidas de Deteccin
Seguimiento
Gestin de
incidentes
Alertas
Reducir el impacto
Medidas de deteccin:
- Detectar e identificar anomalas
- Dar indicaciones rpida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
2.4.3. Aplicacin de Medidas Correctivas
Planes de CN y
RD (Recuperacin
ante Desastres)
Seguimiento
de No-
conformidades
Copia de
seguridad
Comunicacin
Mitigacin de las consecuencias
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestin del cambio
- Muy probablemente necesitan la participacin humana
- Debe incorporarse en la mejora continua
Ejercicio 9
Medidas de mitigacin
Seccin 18
Planes y procedimientos de continuidad del negocio

a. Desarrollo del plan de continuidad del negocio

a. Estructura y formato del plan

c. Contenido del plan de continuidad del negocio

d. Tipos de planes de continuidad del negocio

e. Activacin de los diferentes planes
2.5. Planes y Procedimientos de la Continuidad del Negocio

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

Establecer y aplicar procedimientos de continuidad del negocio
La organizacin deber establecer, implementar y mantener procedimientos de
continuidad del negocio para gestionar un evento perturbador y continuar sus
actividades sobre la base de objetivos de recuperacin identificados en el anlisis
del impacto en el negocio .

La organizacin deber documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestin de un
incidente perjudicial.

Requisitos

Planes de continuidad del negocio
La organizacin deber establecer procedimientos documentados para responder a
un incidente disruptivo y cmo continuar o recuperar sus actividades dentro de un
tiempo predeterminado. Dichos procedimientos debern atender a las necesidades
de las personas que van a utilizarlos.

Cada plan deber definir:
- Finalidad y alcance;
- objetivos;
- criterios y procedimientos de activacin
- procedimientos de aplicacin;
- funciones, responsabilidades y autoridades;
- requisitos y procedimientos de comunicacin;
- Las interdependencias y las interacciones internas y externas.
- necesidades de recursos; y
- flujo de informacin y procesos de documentacin
Plan de Continuidad del Negocio (PCN)
Objetivos

o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO

o Abordar la disrupcin del negocio, interrupcin o prdida desde la respuesta
inicial al punto en el que se reanudan las operaciones comerciales normales

o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos
para la continuidad del negocio y los equipos de recuperacin de recursos

En particular, el plan asigna roles y su rendicin de cuentas, responsabilidad
y autoridad

El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios
2.2 Anlisis
de Riesgos
2.7 Ejercicio y
pruebas
2.5.1 Proceso del
desarrollo del
plan
2.5.2 Formato
Y estructura
Del Plan
2.5.3 Redactar
el/los plan (es)
de CN
Continuidad
del Negocio
2.4 Medidas de
Proteccin
y mitigacin
2.6 Comunicacin
2.5.4 Redactar
los procedimientos
de CN
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar
informacin
1. Nombrar
un
responsable
2. Enfoque y
estrategia
3. Estructura,
Formato,
componentes
6-9 Revisin
8. Uso
5.
Redaccin
7. Publicar
2.5.2. Definir un Formato y Estructura del Plan
Recomendaciones

o La estructura del PCN debe ser personalizada para satisfacer las necesidades
especficas de la organizacin

o Aunque el seguimiento de una estructura de PCN no es obligatorio, se
recomienda un formato estndar de PCN que permita la aplicacin coherente en
toda la organizacin

o La buena prcticas identifican que un PCN debera ser de diseo modular con
diferentes secciones numeradas / nombradas consecutivamente

Las distintas secciones del PCN proporcionan la oportunidad de formar
documentos separados (denominados: mdulos, secciones o sub planes) que
pueden ser suministrados a las personas y/o equipos sobre la base de saber lo
necesario
Contenido mnimo requerido por la ISO 22301
1 Finalidad y alcance
2
3
5
4
7
6
8
9
Requisitos y procedimientos de comunicacin
Las interdependencias y las interacciones internas y externas
Recursos necesarios
Flujo de informacin y procesos de documentacin
Las funciones, responsabilidades y autoridades
Procedimientos de aplicacin
Criterios y procedimientos de activacin
Objetivos
Contenido a excluir del Plan de CN

Los siguientes datos no son esenciales para la invocacin y el funcionamiento del
plan de continuidad del negocio y deberan ser excluidos y mantenidos en
documentos separados:

X Evaluacin de Riesgos

X Anlisis del Impacto en el Negocio (AIN)

X Informes de Ejercicios, Ensayos o Pruebas

X Proceso de Mantenimiento

X Informe de Auditora

X Otra informacin y registros no esenciales

Contenido del Plan de Continuidad del Negocio (parte 1)
Ejemplo
Descripcin de la Seccin
1. Descripcin
general del Plan
Introduccin, propsito (objetivo) del plan, su alcance, objetivos, hiptesis, propiedad del plan,
registro de evento o decisin
2. La rendicin de
cuentas,
Responsabilidades y
autoridades
3. Notificacin,
invocacin y
escalada
4. Equipo de GCN
5. contactos
6. Lista de tareas y
ayuda memorias
7. Informacin de
soporte
Coordinador de la Gestin de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Equipo de GCN de la Unidad de Negocio
Procesos de notificacin y/o diagramas de flujo, procesos de invocacin y/o diagrama de flujo, procesos
de escalada y/o diagrama de flujo, procesos de listas de llamadas (rboles de llamadas) (incluyendo una
cascada inversa) y/o diagrama de flujo
Composicin del equipo de GCN, detalles de ubicacin y contacto de centro de comando(s) de GCN,
Mapa de ubicacin del centro(s) de comando de GCN, ubicaciones del centro de comando
Personal interno, contactos externos incluyendo expertos en la materia
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalizacin de tareas
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
pblicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurdico,
proveedores (dentro de la organizacin y los proveedores externos), seguros, la invocacin de servicios
especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)
8. Las Actividades Criticas de la
Empresa
Calendario de las Actividades Criticas de la Empresa o de actividades de apoyo,
recuperacin de las Actividades Criticas de la Empresa o de actividades Criticas
de la Empresa o de actividades de apoyo (objetivos del RTO y RPO)
Plan de accin, perfil de recuperacin de recursos de la GCN, perfil de
recuperacin de la GCN
9. Ubicacin del sitio de recuperacin
(dentro de la organizacin o proveedor
externo)
Proceso de invocacin y/o diagrama de flujo, diseado del plan del piso
del sitio de recuperacin (rea de trabajo), mapa de ubicacin del sitio
de recuperacin, re ubicacin de personal (incluido el transporte y
alojamiento), seguridad, correo.
10. Perfil de los recursos de
recuperacin
Estaciones de trabajo estndares decir escritorio, silla, telfono y
ordenador, el equipo de computacin, las aplicaciones de software,
conectividad de las tecnologas, las telecomunicaciones, los datos copia
de seguridad, documentos/registros de vital importancia/nicos , equipos
de oficina, equipo de especialistas, suministros de oficina, por ejemplo
requisitos de acceso para personas discapacitadas al sitio de
recuperacin
11. Las plantillas de formulario
Orden del Da de las reuniones, informacin interna, registro de
decisiones y acciones, informe de estado de la lista de tareas, mensajes
telefnicos, hoja de clculo de acciones o tereas.
Apndices Contratos y Acuerdos de Nivel de Servicio, volver a casa
Tipos de Planes
Plan de continuidad del negocio
Procedimientos documentados que orientan a las organizaciones a responder,
recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras
interrupciones
Plan de respuesta a incidentes
Plan de respuesta de emergencia
Plan de gestin de crisis
Plan de Recuperacin
Plan de restauracin
Plan de comunicacin
Procedimientos documentados que orientan a las organizaciones para responder a un
incidente que pueden ser utilizados para apoyar y mejorar la mitigacin la respuesta y
recuperacin de los trastornos, los efectos de los desastres, o situaciones de emergencia
Coordinacin de los procedimientos para minimizar la prdida de vidas o lesiones y proteger a
la propiedad contra daos en respuesta a una amenaza fsica
Coordinacin de los procedimientos para manejar situaciones complejas que representan una
amenaza a los objetivos estratgicos, la reputacin o la existencia de una organizacin
Coordinacin de los procedimientos para recuperar y mantener las operaciones criticas de la
empresa, posiblemente en una ubicacin alternativa, en caso de emergencia, fallos del
sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Coordinacin de los procedimientos para recuperar y restaurar las operaciones de la empresa
despus de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o
reconstruccin de las instalaciones, redes o capacidad operativa
Proporciona procedimientos par a difundir informes de situacin al personal y al pblico
sensibilizacin
Para garantizar procedimientos para difundir informes de situacin al personal y al
pblico
Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activacin de los Diferentes Planes
Cronologa de la respuesta de incidentes
Desastre Tiempo
Proteccin y plan
de mitigacin
Plan de respuesta
de emergencia
Plan de recuperacin
Plan de restauracin
Plan de comunicacin
sensibilizacin
Plan de ejercicio y
pruebas
2.5.4. Redaccin de los procedimientos Relacionados con la CN
Procedimiento

Definicin: Forma especificada para llevar a
cabo una actividad o un proceso

La estructura y el formato de los procedimientos
documentados (copia impresa o por medios
elctricos) deberan ser definidos por la
organizacin en las siguientes formas: texto,
grficos, tablas, una combinacin de los
anteriores, o cualquier otro mtodo apropiado de
la organizacin

Descripcin de las Actividades en el Marco de un Procedimiento
Las 6 palabras (W: W/H en ingls)

1. Quin
2. Qu
3. Cmo
4. Cundo
5. Dnde
6. Por qu

Ejemplo:
El administrador de la red (quin) se asegura de que las copias de seguridad
(qu)se completan mediante la revisin de lo registros de copia de seguridad
(cmo) todas las maanas (cundo). Tras la revisin, llena y firma una lista de
Verificaciones (dnde) que se mantiene para futuras consultas (por qu)
Seccin 19

a. Supervisin de eventos

a. Deteccin de incidentes

c. Valoracin y evaluacin de los incidentes

d. Activacin de la respuesta a incidentes

e. Comunicacin de respuesta a incidentes

estructurada

a. Escalada de los incidentes

b. Documentacin acerca de un incidente
Requisitos

Estructura de respuesta a Incidentes
La organizacin deber establecer, documentar procedimientos y una estructura de gestin para responder a un
incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para
administrar un incidente.

La estructura de respuesta deber:
a) Identificar los umbrales de impacto que justifiquen la iniciacin de una respuesta formal,
b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c) poner en marcha una respuesta de continuidad del negocio apropiada;
d) disponer de procesos y procedimientos para la activacin, operacin, coordinacin y comunicacin
de la respuesta;
e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar un
incidente perjudicial para minimizar el impacto, y

La organizacin deber decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente informacin acerca de sus riesgos e impactos significativos y
deber documentar su decisin. Si la decisin es comunicarlo, a continuacin, la organizacin deber establecer
y aplicar procedimientos para establecer esta comunicacin externa, las alertas y las advertencias, incluyendo los
medios de comunicacin.

Requisitos

Alerta y comunicacin

La organizacin deber establecer, implementar y mantener procedimientos para:

a) la deteccin de un incidente,
b) el seguimiento regular de un incidente,
c) la comunicacin interna en el seno de la organizacin y recibir, documentar y responder a la
comunicacin de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
e) velar por la disponibilidad de los medios de comunicacin durante un incidente disruptivo,
f) Facilitar la comunicacin estructurada con los equipos de emergencia,
g) Registrar la informacin de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente tambin deber ser considerado y aplicando en su caso:

- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de mltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicacin y los procedimientos de alerta debern ser ejercidos regularmente.

Plan de Respuesta a Incidentes
Objetivos y contenido comn

El plan de respuesta a incidentes debera integrar procesos y
procedimientos para:

I. El seguimiento de los eventos que pueden provocar incidentes
II. Detectar un incidente
III. Analizar y evaluar un incidente
IV. Declarar una respuesta a incidentes
V . Facilitar la comunicacin estructurada
VI. Escalar un incidente
VII. Documentar y registrar informacin vital acerca de la
incidencia
VIII. Revisin de un incidente

Qu es un Incidente?

o Definicin: Situacin que pudiera constituir o pudiera redundar en una
interrupcin, una prdida, emergencia o crisis

o Importante no confundir con el uso del trmino incidente en el campo
de la seguridad de la informacin y tecnologas de la informacin:

Una interrupcin no planificada de un servicio (ITIL en ingls)

Un nico o serie de eventos de seguridad de la informacin no deseados o
inesperados que tiene una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la informacin
(ISO 27000)

I. Supervisin de eventos

o La organizacin debe hacer un seguimiento de los eventos que podran dar
lugar a un incidente

o El seguimiento debera estar en consonancia con los escenario
documentados en la evaluacin del riesgo y el AIN
El uso de herramientas de deteccin y el anlisis de tendencias
Compartir e intercambiar con expertos
Advertencias tempranas y los avisos recibidos de
las autoridades, los servicios de emergencia, los
clientes, los medios de comunicacin, etc.

Informe de eventos

o Un corte o interrupcin puede ocurrir con o sin previo aviso

o Los eventos pronosticados debera ser comunicados a las partes
interesadas pertinentes
o Ejemplos:

Un aviso de antemano del Servicio Nacional de Meteorologa de que est
previsto un huracn que afectar una determinada zona

Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organizacin Mundial de la salud

Una alerta del CERT (Computer Emergency Response Team) de que un
virus informtico se espera en una fecha determinada
II. Deteccin de incidentes

o La organizacin necesita implementar las medidas para detectar
incidentes y recoger la informacin asociada a ellos

o Las medidas de deteccin deben estar en lnea con hiptesis
documentadas en la evaluacin del riesgo y el AIN
Alertas en el sistema de TI Sistema de Alarma Detector de
Bombas y metal
III. Evaluacin y Valoracin de la Incidencia
Ejemplo de un proceso
Notificacin de
Deteccin
Notificacin de
Recopilacin de
Primera Evaluacin
Falso Positivo
Relevante
Segunda evaluacin Relevante?
No Si
Usuario/Fuente
Grupo de Apoyo a
las Operaciones
Equipo de Respuesta
a incidentes
Equipo de
Gestin de Crisis
Respuest
a
inmediata
Revisin de la
Mejora continua
Respuesta
No
Evaluacin de
Decisin
Incidente
bajo control?
Crisis?
A
n
l
i
s
i
s

f
o
r
e
n
s
e

Si
No
Actividades de
crisis
Respuesta
positiva
C
o
m
u
n
i
c
a
c
i
o
n
e
s

de un Evento
T
i
e
m
p
o

Si
No
Si
IV. Invocacin de una Respuesta a incidentes
Criterios y procedimientos

o El plan de CN debera se activado si se cumplen uno o ms de los criterios de
activacin

o Si se cumple un criterio de activacin, la autoridad designada debera activar
el plan

o Los criterios para la activacin de interrupciones o las disrupciones en el
sistema son nico para cada o organizacin u deberan definirse

o Los criterios pueden basarse en:

Magnitud de los daos al sistema (por ejemplo, fsicos, operativos o
costos)
Criticidad del sistema ala misin de la organizacin (p. ej. Activo de
proteccin de infraestructuras crticas)
Duracin prevista de la interrupcin ms larga que el RTO
V. Comunicacin de respuesta a Incidentes
Comunicacin de respuesta a
incidentes
Para ponerse en contacto con el
personal de emergencia

Para alertar a todas las partes
interesadas potencialmente afectadas
por un real o inminente perjudicial

Asegurar la inter operabilidad de
mltiples organizaciones y personal
de respuesta:
Mtodos de notificacin

o Las notificaciones se pueden realizar a travs de una variedad de
mtodos, ya sean automtico o manual, entre los que se incluyen:
Telfono
Correo electrnico:
Telfono mvil
Visitar en persona el hogar, etc.

o Los sistemas de notificacin automtica siguen protocolos y criterios
establecidos y pueden incluir una rpida aceptacin y autenticacin
y mensajera segura

o Los sistemas de notificacin automtica requieren una inversin inicial y una
curva de aprendizaje, pero pueden ser una manera eficaz para algunas
organizaciones para garantizar la rapidez y precisin en la entrega

VI. Escalada de un Incidente
Ejemplo de una escalada de incidentes

Modo
Incidente
Modo
Crisis
Modo
Estndar
Modo de
desastres
VII. Documentacin de un Incidente

Toda la informacin pertinente relacionada con el incidente debera ser registrada,
Incluyendo:

1. Descripcin del evento
2. Categora y prioridad
3. Fecha/hora del registro, escalada, decisin
4. Los activos y procesos afectados
5. Grupos o personas afectados por el incidente
6. Actividades realizadas para resolver el incidente y sus resultados
7. Las Decisiones tomadas

VIII. Revisin Pos-incidente

En el caso de un incidente que perturba las actividades prioritarias de la
organizacin o que requiere una respuesta a incidentes, debera llevarse a cabo
una revisin pos-incidente. Esto puede incluir:

1. Identificar la naturaleza y la causa del incidente
2. Evaluar la suficiencia de la respuesta de direccin
3. Evaluar la eficacia de la organizacin en el cumplimiento de su objetivo de
tiempo de recuperacin
4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la
hora de preparar a los empleados en la previsin del incidente
5. Identificar las mejoras que se pueden introducir
6. Compara los impactos reales con los que se consideran en el anlisis del
impacto en el negocio
7. Obtener retro alimentacin de las partes interesadas y de los que han
participado en la respuesta

Seccin 20
Plan de respuesta de emergencia

a. Qu es una emergencia?

b. Objetivos de un plan de respuesta de emergencia

c. Funciones y responsabilidades

d. Procedimiento de evacuacin

e. Procedimiento de presentacin de informes de
emergencia

f. Controles para limitar los impactos durante una emergencia

g. Controles de deteccin y prevencin

h. Sensibilizacin, simulacro y capacitacin
Requisitos


Los procedimientos de respuesta debern contener colectivamente:

c) Detalles para gestionar las consecuencias inmediatas de una interrupcin
De una interrupcin del negocio, teniendo en especial consideracin:

1) el bienestar de las personas
2) las opciones estratgicas y operativas para responder a la interrupcin; y
3) la prevencin de prdidas adicionales o indisponibilidad de las actividades
priorizadas

Qu es una Emergencia?

o Definicin: repentino, urgente, generalmente inesperado suceso o evento que requiere
accin inmediata

o Evidentemente, numerosos eventos pueden ser emergencias, entre los que incluyen:

Fuego
Incidente de materiales peligrosos
Inundaciones o riadas
Huracn
Tornado
Tormenta de invierno
Terremoto
Fallo de las comunicaciones
Accidente radiolgico
Disturbios Civiles
Prdida de proveedores o clientes principales
Explosin, etc.
Objetivos de un Plan de Respuesta de Emergencia
1 PRIORIDAD: PROTEGER LA VIDA
o La proteccin de la salud y la seguridad de todos en las instalaciones es la
primera prioridad durante una emergencia

o Las otras prioridades pueden ser:

Proteger el medio ambiente

Limitar la prdida financiera

Proteger la salud y la seguridad de los animales

Proteger registros,

Restaurar las operaciones, etc.
Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse

I. Funciones y responsabilidades

II. Procedimiento de evacuacin

III. Procedimiento de presentacin de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situacin de
emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de deteccin y prevencin

VII. Sensibilizacin, simulacro y capacitacin

Coordinador de la Respuesta de Emergencia

o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones

o l est al mando y en control de todos los aspectos de la situacin de
emergencia

Redaccin de los procedimientos de respuesta de emergencia

Aplicar controles preventivos fsicos

Ordenar la evacuacin o el cierre de las instalaciones

Organizar simulacros y ejercicios de evacuacin
II. Procedimiento de Evacuacin
Mejores prcticas

1. Determinar las condiciones bajo las cuales sera necesaria una evacuacin
2. Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
3. Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuacin
6. Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestin de emergencias
Las Vas y Salidas de Evacuacin
Elementos esenciales con procedimiento de evacuacin

1. Designar las vas y salidas de evacuacin primarias y secundarias. Tenerlas marcadas
claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin

3. Asegurarse de que las rutas de evacuacin y salidas de emergencia son:

Lo suficientemente amplias como para que pueda evacuar el personal
Libres y sin obstculos en todo memento
Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentacin de Informes de Emergencia
Listas de Llamadas de Emergencia

o Las listas (del tamao de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendran para responder a una emergencia, sus
responsabilidades y sus nmeros de telfono disponibles las 24 horas

o Determinar requisitos locales y estatales para la presentacin de informes
sobre las emergencias y a incorporarlos en sus procedimientos

Polica

Cuartel de Bomberos

Compaa de Gas

Los proveedores de telecomunicaciones, etc.

IV. Medidas Inmediatas para Limitar los Impactos
Elementos a tener en cuenta durante una emergencia

o En la medida de lo posible, quien la descubra deber tratar de asegurar el lugar y el
control del acceso, pero nadie debera colocarse en peligro fsico para realizar estas
funciones

o Las medidas de seguridad bsicas incluyen:
Cierre las puertas o las ventanas
Establecer barreras provisorias con muebles despus de que las personas han
evacuado de forma segura
Colocar materiales de contencin (almohadillas absorbentes, etc.) en la ruta de
materiales con fugas
Cerrar los armarios de archivo o los cajones de escritorios

o Slo personal capacitado debera poder realizar medidas de seguridad avanzada

o El acceso a la planta debera estar limitado a las personas directamente implicadas en la
respuesta

V. Cierre de Instalaciones y Sistemas
Establecer los procedimientos de apagado/cierre

o El cierre de las instalaciones es generalmente un ltimo recurso, pero siempre es una
posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusin, lesiones
y daos a la propiedad

o Algunas instalaciones requieren slo acciones simples, como apagar el equipo, bloqueo de
puertas y activacin de las alarmas. Otros requieren complejos procedimientos de cierre

o Trabajar con los jefes de departamento para establecer los procedimientos
apagado/cierre. Incluir informacin sobre cundo y cmo apagar las utilidades. Identificar:

Las condiciones que podran exigir el cierre/apagado?

Quin puede ordenar un cierre/apagado

Quin va a llevar a cabo los procedimientos de cierre/apagado

Cmo afectara un cierre parcial a otras operaciones de las instalaciones

El tiempo necesario para apagar y reiniciar

VI. Controles de Prevencin y Deteccin
Algunos ejemplos de las medidas que se pueden aplicar ante una
emergencia

o Sistema de proteccin contra incendios

o Sistemas de proteccin contra rayos

o Sistemas de vigilancia del nivel de agua

o Dispositivos de deteccin de desbordamiento

o Desconexin Automtica

o Sistemas de generacin de energa
elctrica de emergencia

VII. Sensibilizacin, Simulacro y Capacitacin

1. Orientacin y sesiones de formacin: Estas son sesiones de discusin programadas regularmente para
proporcionar informacin, responder a sus preguntas y determinar las necesidades y las preocupaciones

2. Ejercicio de Mesa: Los miembros del grupo de gestin de situaciones de emergencia se renen en una
sala de conferencias para hablar de sus y ala manera en que reaccionaran ante situaciones de
emergencia. Esta es una forma eficiente y costo-efectiva para identificar las reas de superposicin y
confusin antes de llevar a cabo las actividades de capacitacin ms exigentes

3. Paseo por el simulacro: El grupo de gestin de situaciones de emergencia y los equipos de respuesta
realmente ponen en prctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo
general ms gente y es ms profunda que la de un ejercicio de mesa

4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta mdica,
las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no
necesariamente al mismo tiempo. Al personal se les pide que evalen los sistemas e identifiquen las reas
problemticas

5. Simulacro de Evacuacin: El personal camina la ruta de evacuacin a un rea designada donde se
realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo
largo de lo que podra convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas
de escombros, humo en los pasillos. Los planes se modifican en consecuencia

6. Ejercicio a escala completa: Se simula una situacin de emergencia de la vida real lo ms
estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la
direccin de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Preparacin de las pruebas de auditora para el plan de respuesta
ante emergencias
Seccin 21

a. Qu es una crisis?

b. Desarrollo del Plan Gestin de Crisis

c. Contenidos del Plan Gestin de Crisis
Requisitos

o Ningn requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)

o El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de
respuesta ante emergencias y el plan de comunicacin en un nico plan

Importante: El plan y los procedimientos desarrollados
deberan permitir responder al mismo tiempo de una
forma coherente, integrada y complementaria
Qu es una crisis?

Situacin con un alto nivel de incertidumbre que afecta las actividades bsicas y/o la
credibilidad de la organizacin y requiere medidas urgentes
Caractersticas de una Crisis

o La crisis no siempre implican interrupciones de la actividad empresarial o
amenazas a la vida, a la propiedad, los activos

o Sin embargo, casi siempre son reto a la reputacin de una organizacin y su
marca, incluso si es slo a travs de la necesidad de demostrar fortaleza y
liderazgo efectivo

o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del pblico y de los medios

Plan de Gestin de Crisis
Objetivos y elementos comunes incluidos

El plan de gestin de crisis debera integrar procesos y procedimientos para:

I. Las funciones, la rendicin de cuentas, la responsabilidad y la autoridad

II. Procedimiento de Emergencia

III. Notificacin, invocacin y escalada

IV. Comit de Crisis y equipos de gestin de crisis

V . Plan de comunicacin de crisis

Gestin de Crisis
Una responsabilidad de la alta direccin

o Las funciones de la gestin estratgica se amplifican durante una crisis

o Es posible que incluyan intervencin directa y liderazgo estratgico decisivo a lo
largo de lneas que no se pueden prever

o Incluso pueden incluir reposicionamiento estratgico de la organizacin en su
conjunto, y por ese motivo la gestin de crisis es el dominio de la alta direccin

o Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a
aplicar, conducir y dirigir la gestin de crisis

La Gestin de Crisis lidia con la Complejidad
o Una gran cantidad de incidentes que pudieran causar trastornos (tornado,
terremoto, etc.) son predecibles y se pueden desarrollar respuestas pre-
preparadas

o Las crisis, por otra parte, se producen a menudo por riesgos que no
haban sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado

o Una crisis tambin puede ser producto de una combinacin imprevista de
riesgos nter dependientes. Se desarrollan de maneras impredecibles, y la
respuesta por lo general requiere soluciones realmente creativas, en
contraposicin a las pre-preparadas,

o La gestin de crisis debe ser capaz de hacer frente a problemas que no se
pueden administrar por los procedimientos de GCN, sin importar qu tan bien
desarrollados pueden estar
La Gestin de Crisis lidia con Dilemas

o Las crisis estn asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solucin posible
puede tener graves consecuencias de una forma u otra

o Los administradores pueden tener para elegir la solucin menos mala y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratgicos
fundamentales. Estos pueden significar que cada eleccin viene con una pena
de algn tipo y que no existe una solucin ideal

Comunicacin
Un factor clave de xito

o Aun cuando la organizacin se considera que est mal, o censurable, la
manifestacin dela virtud, la integridad y la compasin pueden compensar, en
cierta medida, el dao a su reputacin y prestigio

o La buena gestin de crisis puede demostrar las cualidades positivas de la
organizacin y mejorar su reputacin general

Ejercicio 11
Plan de pandemia
Seccin 22
Plan de recuperacin de TI
a. Objetivos del plan de recuperacin de TI

b. Activacin del sitio de recuperacin

c. Traslado al centro de recuperacin y logstica

d. Suministro de equipos

e. Procedimiento financieros y administrativos

f. Recuperacin de telecomunicaciones

g. Recuperacin de datos y procedimientos de backup

h. Recuperacin de los servicios y sistemas por prioridad

i. Procedimiento de recuperacin para cada sistema

Requisitos


La organizacin deber establecer procedimientos documentados para
responder a un incidente disruptivo y cmo continuar o reparar sus
actividades dentro de un tiempo predeterminado. Dichos
procedimientos debern entender a las necesidades de las personas que
van a utilizarlos
El Plan de Respuesta de TI

El plan de recuperacin de TI debera integrar los procesos y
procedimientos para:

I. La activacin del sitio de recuperacin
II. El traslado al centro de recuperacin y logstica
III. El suministro de equipos
IV. Los procedimientos financieros y administrativos
V . Recuperacin de telecomunicaciones
VI. Recuperacin de datos y procedimientos de backup.
VII. Recuperacin de los servicios y sistemas por prioridad
VIII. Procedimiento de recuperacin para cada sistema

Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse


II. Procedimiento de evacuacin

III. Procedimiento de presentacin de informes de emergencia

IV. Medidas inmediatas para limitar los impactos durante una situacin de
emergencia

V . Procedimiento de apagado de instalaciones y sistemas

VI. Medidas de deteccin y prevencin

VII. Sensibilizacin, simulacro y capacitacin

Coordinador de la Respuesta de Emergencia

o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones

o l est al mando y en control de todos los aspectos de la situacin de
emergencia

Redaccin de los procedimientos de respuesta de emergencia

Aplicar controles preventivos fsicos

Ordenar la evacuacin o el cierre de las instalaciones

Organizar simulacros y ejercicios de evacuacin
II. Procedimiento de Evacuacin
Mejores prcticas

1. Determinar las condiciones bajo las cuales sera necesaria una evacuacin
2. Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
3. Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuacin
6. Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestin de emergencias
Las Vas y Salidas de Evacuacin
Elementos esenciales con procedimiento de evacuacin

1. Designar las vas y salidas de evacuacin primarias y secundarias. Tenerlas marcadas
claramente y bien iluminadas. Carteles

2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin

3. Asegurarse de que las rutas de evacuacin y salidas de emergencia son:

Lo suficientemente amplias como para que pueda evacuar el personal
Libres y sin obstculos en todo memento
Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activacin del Sitio de Recuperacin

o El equipo de recuperacin debera llegar en primer lugar al sitio alternativo para
hacer una evaluacin rpida con el fin de preparar el traslado de los empleados

o Con el uso de una lista de comprobacin, se debera verificar y confirmar el
estado de los recursos en uso:

HVAC

Equipo y redes de TI

Telecomunicaciones

Copia de seguridad

Espacio de oficina
II. Traslado al Centro de Recuperacin y Logstica
Logstica

o Transporte de personal y materiales

o Apoyo y bienestar del personal

o Lista de los proveedores y contratos

o Entorno de los trabajadores remotos

III. Suministro de Equipos
Existen tres estrategias bsicas para garantizar una rpida
situacin de los equipos
Suministro de
Equipos
Acuerdos
con los
proveedores
Inventario
de Equipos
Equipos
Compatibles
Existentes
IV. Compatibilidad y Administracin
o La organizacin debera desarrollar los procedimientos financieros y
administrativos para apoyar las necesidades de la empresa antes,
durante y despus de un incidente

o Deberan establecerse procedimientos para garantizar que las decisiones
financieras se puedan acelerar y deberan estar en conformidad con os niveles
de autoridad y los principios de contabilidad

o Los procedimientos deberan incluir, pero no limitarse a, lo siguiente:

Autoridad de finanzas, incluyendo sus relaciones de subordinacin al
coordinador del programa(s)
Acceso a fondos de emergencia
Procedimientos de contratacin de programas
Nminas
Sistemas de contabilidad para llevar un seguimiento y documentar los
costos
V. Recuperacin de Telecomunicaciones

Mtodos Descripcin
Redundancia
Consiste en proporcionar capacidad adicional con un plan para utilizar el
exceso de capacidad si no se encuentra disponible la capacidad de
transmisin principal normal
Ruta alternativa
Enrutamiento
diverso
Diversidad de
Red larga
distancia
Sistemas de
Comunicaciones
de Emergencia
Informacin de enrutamiento a travs de un medio alternativo como cables
de cobre o fibra ptica
Enrutamiento del trfico mediante instalaciones de cable partido o de cable
duplicado
Muchos proveedores de instalaciones de recuperacin han proporcionado
diversas redes de larga distancia disponibles
Con el fin de comunicarse entre los miembros del equipo, debera elegirse un
sistema de comunicaciones de emergencia y otras alternativas
VI. Recuperacin de Datos y Procedimientos de Backup
Los componentes clave para restaurar la disponibilidad de la
informacin

o Los procedimientos de copia de seguridad es el componente clave para restaurar la
disponibilidad de la informacin
o Una organizacin debera asegurarse de que la integridad y la confidencialidad de los
datos de la empresa se mantienen mientras se transfieren (ya se electrnica o fsicamente)
a y desde los centros de recuperacin, sujeto a las obligaciones contractuales con
organizaciones
o Para garantizar la recuperacin de datos, una poltica, una estrategia y procedimientos de
copias de seguridad, necesitan abordar las propiedades sealadas en el AIN. Entre los
temas que una poltica y procedimientos de copias de seguridad deberan resolver estn:
A qu datos hay que hacerles copia de seguridad
Cmo se caratula
durante cunto tiempo se mantiene
Cmo se prueban las copias
Con qu frecuencia se realizan backups
Dnde se almacenan los medios
Que tan rpidamente pueden ser recuperados los medios
Quin est autorizado a recuperar los medios
Cmo se restablecen

Copia de seguridad
Principales soluciones
1. Red de rea de Almacenamiento

Gracias a la virtualizacin del almacenamiento,
se combinan varios dispositivos de
almacenamiento en un solo, lgico, sistema de
almacenamiento virtual

2. Duplicacin

Con la duplicacin de los discos o las imgenes
de recuperacin, se ha optimizado la
recuperacin. Los datos se escriben en dos
discos y proporciona una alta disponibilidad

3. Procesamiento distribuido

Los servicios, que se encuentra en la misma o
en mltiples ubicaciones, se configuran con
equilibrio de carga y agrupamiento para procesar
las solicitudes y los datos de intercambio

Las publicaciones remotas, las transacciones o
archivos de diarios son transmitidos
peridicamente a las unidades remotas que se
encuentran fuera del sitio

Con el almacenamiento electrnico, se realiza
una copia de seguridad de los datos a las
unidades remotas que se encuentran fuera de las
instalaciones mediante enlaces de comunicacin
de alta calidad

Otro es grabar archivos a medios de copia de
seguridad y transportarlos, a una ubicacin fuera
del sitio

4. Almacenamiento electrnico
5. Diario Remoto 6. Archivos de medios
Alineacin de la Estrategia de Copia de Seguridad
Con RPO y RTO
Propiedad Descripcin
Propiedad baja algn tipo de interrupcin
con poco impacto, dao o perturbacin de
la organizacin
Copia de seguridad: Copia de seguridad en
cinta
Estrategia: Reubicar o sitio fro
Propiedad importante o moderada
cualquier sistema que, si perturbado, podra
causar un problema moderado a la
organizacin y posiblemente a otras redes
o sistemas
Copia de seguridad: Duplicidad de
seguridad ptica de WAN/VLAN

Estrategia. Sitio Fro o Tibio
De importancia fundamental o prioridad
alta- el dao o perturbacin a estos
sistemas puede provocar el mayor impacto
sobre la organizacin, misin y otras redes
y sistemas
Copia de seguridad: Sistemas reflejados y
duplicacin de discos
Estrategia: Sitio Caliente
Copia de seguridad
Ubicacin y almacenamiento
Copia de seguridad
Puede ser almacenada en
varios lugares, cada uno
cumpliendo un propsito
diferente

Cuando son transportados,
los medios deberan ser
garantizados

VII. Recuperacin de los Servicios y Sistemas por Prioridad

Sobre la base de las prioridades de las operaciones predeterminadas en el anlisis
de impacto, una organizacin debera priorizar los servicios y los sistemas a
restaurar por prioridad, ampliamente teniendo en cuenta la extensin de los daos
en el equipo, la disponibilidad real de personal y los posibles avances de la
recuperacin
VIII. Procedimiento de recuperacin para cada Sistema

o En el plan de recuperacin, debera estar disponible un procedimiento de
recuperacin para restaurar cada sistema en el mbito del SGCN con:

Una lista de la secuencia de operaciones a restaurar

Requisitos del sistema para restaurar

Tiempo estimado para cada operacin

o Se describen los procedimientos de recuperacin por equipo se deberan
realizar en la secuencia que se presenta para mantener un eficiente esfuerzo
de recuperacin
Seccin 23
Plan de restauracin
a. Los objetivos del plan de restauracin

b. Asegurar los sitios

c. Evaluacin de daos y seguros

d. Plan de restauracin y asignacin de recursos

e. Limpiar el sitio y restaurar la infraestructura

f. Sistemas y recuperacin de datos TI

g. Pruebas y validacin

h. Traslado al sitio principal

i. Recompensa y reconocimiento del personal

Requisitos

No hay ningn requisito formal de la norma ISO 22301
Para establecer un plan de restauracin
Plan de Respuesta ante
El Plan de restauracin debera integrar los procesos y procedimientos para:

I. Asegurar los sitios

II. Evaluacin de daos y de seguros

III. Plan de restauracin y asignacin de recursos

IV. Limpiar el sitio y restaurar la infraestructura

V . Sistema y recuperacin de datos de TI

VI. Pruebas de validacin

VII. Traslado al sitio principal

VIII. Recompensa y reconocimiento del personal

I. Asegurar los Sitios
Primer paso

o En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes,
saqueos, vandalismo, etc.

o Las obras de restauracin deben ser protegidas para evitar acceso fsico no
autorizado

o La planificacin debera considerar cmo asignar o contratar guardias de
seguridad

II. Evaluacin de Daos y de Seguros
Evaluacin de daos Contacto con el seguro
III. Plan de Restauracin y la Asignacin de Recursos

Despus de revisar la informacin sobre la magnitud de los daos y sus
repercusiones en el funcionamiento, recolectados por los equipos de respuesta de
emergencia y de continuidad, la alta direccin debera seleccionar las medidas que
han de adoptarse y especificar los hitos de restauracin, y el nivel de asignacin de
recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura

Limpiar el sitio
Reconstruir la instalacin y
Restaurar la infraestructura
V. Recuperacin de los Sistemas de TI y de Datos

Restauracin de la
Infraestructura de TI
Restauracin de datos
VI. Pruebas y Validacin

Prueba y validacin de datos
Las pruebas y la validacin de datos es el proceso de prueba y validacin de
datos para asegurarse de que los archivos de datos o bases de datos se han
recuperado completamente en la ubicacin permanente
Pruebas y validacin de la funcionalidad
Pruebas de validacin de la funcionalidad es el proceso de verificar que la
funcionalidad ha sido probada, y el sistema est listo para volver a la normalidad
de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los
procedimientos de validacin para asegurar que el sistema est en
funcionamiento
VII. Traslado al Sitio Principal
Restaurar el funcionamiento normal
Declaracin de fin del incidente o crisis
Cierre del sitio de recuperacin
Informes de comentarios y de pos-recuperacin
VIII. Recompensa y Reconocimiento del Personal

o Cuando termina un incidente, es importante que el personal que particip en la
respuesta a incidentes reciba cierto grado de recompensa o reconocimiento

o Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje para
asegurarse de que no se repita

o Las personas que han trabajado ms all de sus horas de trabajo y que han
tomado tareas adicionales deberan ver sus esfuerzos reconocidos de alguna
manera

o Esto puede hacerse de manera informal o formal. Por lo general es muy
positiva la participacin de los gerentes y directores en un proceso formal de
reconocimiento
Seccin 24
Plan de comunicacin
a. Principios de una eficaz estrategia de comunicacin

b. Proceso de Comunicacin de CN

c. Establecer objetivos de comunicacin

d. Identificar las partes interesadas

e. Planificar las actividades de comunicacin

f. Planificar de la comunicacin de una crisis

g. Realizar una actividad de comunicacin

h. Evaluar la comunicacin

2.6. Plan de Comunicacin

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos
ISO 22301, clusula 7.4 y 8.4.3

7.4 Comunicacin

La organizacin deber determinar la necesidad de comunicacin interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicacin.
b) Cuando comunicar, y
c) A quin se va a comunicar.

La organizacin deber establecer, implementar y mantener procedimiento(s) para :
- Comunicacin interna entre las partes, interesadas y empleados dentro del a organizacin,
- Comunicacin externa con los clientes, las entidades asociadas, la comunidad local, y otras partes
interesadas, incluidos los medios de comunicacin,
- Recibir, documentar y responder a la comunicacin de las partes interesadas.
- Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificacin y el uso operacional, cuando corresponda.
- Garantizar la disponibilidad de los medios de comunicacin durante un incidente disruptivo.
- Facilitar una comunicacin estructurada con las autoridades competentes y asegurar la inter
operabilidad de mltiples organizaciones y personal, cuando corresponda, y
- Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones de las
comunicaciones normales.

5. Plan y procedimiento
de la Continuidad
del Negocio
2.6.1 Establecer
objetivos de
Comunicacin
2.6.3 Planificar
las actividades de
comunicacin
2.6.4 Realizar una
actividad de
comunicacin
2.7 Capacitacin y
sensibilizacin
2.6.5 Evaluar
la comunicacin
2.6.2 Identifica
las Partes
Interesadas
Principios de una Eficaz Estrategia de Comunicacin
1
Hacer que todos los procesos, procedimientos, mtodos, fuentes de datos y supuestos utilizados en
la comunicacin estn disponibles para todas las partes interesadas, teniendo en cuenta la
confidencialidad de la informacin segn se requiera
2
3
5
4
Transparencia
Idoneidad
Hacer que la informacin proporcionada en las partes interesadas sea pertinente, utilizando
formatos, el idioma y los medios que cumplan con sus intereses y necesidades, para que puedan
participar plenamente
Credibilidad
Respuesta
Claridad
Comunicar con una conducta honesta y justa, y proporcionar informacin que sea veraz, exacta y
sustantiva. Desarrollar la informacin y datos con mtodos e indicadores reconocidos y
reproducibles
Responder a las preguntas y preocupaciones de las partes interesadas de forma plena y oportuna.
Hacer conscientes a las partes interesadas de cmo se han abordado sus preguntas e inquietudes
Asegurar que los mtodos de comunicacin y el lenguaje son comprensibles para las partes
interesadas para minimizar la ambigedad
Proceso de Comunicacin de la CN
ORGANIZACIN
Partes
Interesadas
Grupos
objetivo
P
r
i
n
c
i
p
i
o
s

d
e

l
a

c
o
m
u
n
i
c
a
c
i
n

Establecer
objetivos
Identificar
las partes
interesadas
Estrategia de comunicacin de la Continuidad del Negocio
Tener en cuenta las
Cuestiones relativas
a los recursos
Poltica de comunicacin de la continuidad del negocio
Otros principios
Corporativos,
Polticas y estrategias
Poltica de continuidad
del negocio
Planificar

Realizar
Evaluar
Las actividades de comunicacin de la continuidad del negocio
2.6.1. Establecer Objetivos de Comunicacin

Ejemplos
o Mejorar la credibilidad y la reputacin de la organizacin

o Establecer dilogo constante sobre cuestiones de la continuidad del negocio
con las partes interesadas

o Cumplir con los requisitos legales aplicables y otros requisitos que la
organizacin suscriba

o Influir en la poltica pblica sobre problemas de continuidad del negocio

o Proporcionar informacin y fomentar la comprensin de las partes interesadas
acerca de las actividades de la continuidad del negocio

o Cumplir con las expectativas de las partes interesadas sobre informacin de la
2.6.2. Identificar las Partes Interesadas
Para adaptar el plan de comunicacin
Clientes
Inversores
Proveedores
Medios de
comunicacin
Empleados
Comunidades
2.6.3. Planificar las Actividades de Comunicacin

Claves para el xito

o Una organizacin debera decidir qu es lo que pretende conseguir
con una actividad de comunicacin de la continuidad del negocio

o Se deberan establecer objetivos compatibles con los objetivos de
comunicacin de la continuidad del negocio y que sean
especficos, mensurables, alcanzables, realistas y con plazos

o Esto permitir que la organizacin evale la actividad de
comunicacin de la continuidad del negocio y determine si el
objetivo se ha cumplido, o no

o La organizacin debera prever problemas de continuidad de negocio
de inters para las partes interesadas

Planificar la Comunicacin de una Crisis

o Aunque la comunicacin de la continuidad del negocio es importante en todo
momento, es particularmente importante durante las crisis y las emergencias
de continuidad del negocio

o La organizacin debera identificar las posibles crisis y emergencias, y
planificar la adecuada comunicacin de la continuidad del negocio

o La planificacin debera abordar informacin

pertinentemente para dar respuesta a las situaciones
potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicacin
Sitio Web
Informes
Folletos &
Boletines
Carteles
Mtodos y herramientas de comunicacin
Correos electrnicos
Artculos de prensa
Comunicados de
prensa
Anuncios
Reuniones Pblicas
Grupos de enfoque
y encuestas
Visitas guiadas a la
organizacin
Talleres
Y Conferencias
Entrevistas con los
Medios
Presentacin a los
grupos
Medios sociales
Ejemplo de Actividades de Comunicacin

Invitacin a visitas y medios de comunicacin durante un ejercicio

o Los visitantes pueden tomar una funcin ms o menos formal de observador

o Se invita ocasionalmente a los medios de comunicacin a informar sobre
ejercicios (pero su presencia tambin puede ser peligrosa)

2.6.5. Evaluar la comunicacin

o Una organizacin debera permitir tiempo suficiente para que la comunicacin de
la continuidad del negocio sea eficaz

o El tiempo necesario depende de la naturaleza de la comunicacin, el nmero de
partes interesadas y sus preocupaciones, y el tipo de soporte utilizando

o La organizacin debera revisar y evaluar la eficacia de su comunicacin de la

Comunicacin y Reportes
Ejemplo de un formulario

Nombre del
proyecto
Nmero de
proyecto
Responsable Nombre Fecha 01.02.2015
Comunicacin Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3
Enfoque de la
comunicacin
Inters y temas principales
Estado Actual (Partidario/
Natural/Oponente
Apoyo deseado
(Alto/Medio/Bajo)
Funciones prevista en el
Proyecto
(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales de
comunicacin
Ejercicio 12
Comunicacin de una crisis
Da 4
Implementador Lder

Curso de Capacitacin para Implementador Lder Certificado en la
ISO 22301
Seccin 25
Pruebas y ejercicios

a. Definicin

a. Definicin de la estrategia de ejercicios y pruebas

c. Creacin de un plan de ejercicios y pruebas

d. Creacin de escenarios de ejercicios y pruebas

e. Programa de ejercicios y pruebas

f. Determinar los objetivos de los ejercicios/pruebas

g. Realizar una actividad de ejercicios y pruebas

h. Evaluacin de una actividad de ejercicios y de pruebas

i. Informe de Ejercicios/Pruebas

2.7. Pruebas y ejercicios

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos


La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organizacin deber llevar a cabo ejercicios y pruebas que:
a) Estn en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de
su negocio, que involucren a las partes interesadas,
d) Reducen al mnimo el riesgo de interrupcin de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promocin de la mejora continua y
g) Se llevan a cabo a intervalos planificados y adems cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente en el que
opera.


Ejercicio
Proceso para capacitar, evaluar,
practicar, y mejorar el
rendimiento de una organizacin

Prueba
nico y particular tipo de ejercicio,
que incorpora un elemento de
expectativa de aprobar dentro del
objetivo o los objetivos del
ejercicio que est previsto

Nota: Los ejercicios pueden ser utilizados para: validar las polticas, planes,
procedimientos, capacitacin, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinacin inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeo individual; e identificar las oportunidades
de mejora
Por qu Evaluar Planes de Continuidad del Negocio?
Capacitacin del personal en la utilizacin de planes de CN
Ganar adeptos en todas las reas de negocio
Probar la adecuacin, exactitud y veracidad de los actuales planes de
recuperacin
Probar los componentes de elementos tcnicos
Objetivos de los ejercicios y pruebas
Mejorar procedimientos de recuperacin del negocio
Asegurar que todos los aspectos del negocio estn cubiertod
Capacitacin del personal en la utilizacin de planes de CN
2.6 Comunicacin
3.1 Supervisin,
Medicin, anlisis y
evaluacin
2.7.3. Creacin de
escenarios
2.7.4 Programa de
ejercicios y
pruebas
2.7.5 Seleccin
De objetivos
De ejercicio/prueba
3.2 Auditoria
interna
3.3 Revisin
por la Direccin
27.6 Realizar una
actividad de
ejercicio/prueba
2.7.1 Definicin
de la estrategia
2.7.2 Plan de
ejercicios &
pruebas
2.7.7 Evaluacin
de una actividad de
ejercicio/prueba
2.7.8 Informe de
Ejercicio/Prueba
2.7.1. Definicin de la Estrategia de Ejercicios y Pruebas

Proceso de
revisin
Familiarizacin
Comprobacin y tutorial
del proceso
de invocacin y
recuperacin
Operacional
Servicio
En operaciones
Servicios integrales de
conmutacin entre el
Sitio principal y el
secundario
Aumentar la confianza y la capacidad de
recuperacin
Simulacin de recuperacin
Integrado
Componente
Pruebas / ejercicios
de cada proceso
O competen de la
infraestructura
Pruebas / ejercicios
de recuperacin del
Servicio integral
2.7.2. Creacin de un Plan de Ejercicios y Pruebas

El plan de ejercicios y pruebas debera estar documentado a fin de proporcionar la
base para una auditora, incluyendo:

1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. mbito de aplicacin del plan, incluyendo localidades, reas de negocio,
etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta direccin
2.7.3. Creacin de Escenarios de ejercicios y Pruebas
Tipo de ejercicio Qu es? Beneficio Desventajas
Lista de control
Tutorial
estructurado
Paralelo
Simulacin
Interrupcin
total
Distribuye planes para su
revisin
Examina detenidamente
Cada paso del PCN
Prueba completa, pero las
Operaciones no se
detienen
Escenario para representar
Procedimientos de
recuperacin
El desastre se replica al punto
de que cesen las
Operaciones normales
Asegura que el plan aborda
todas las actividades
Asegurar que las actividades
Previstas se describen con
exactitud en el PCN
Sesin de prctica
Garantizar un alto nivel de
Fiabilidad sin interrumpir las
Operaciones normales
Prueba ms fiable del PCN
No aborda la
eficacia
Bajo valor para
demostrar capacidad
de respuesta
Cuando los
subconjuntos son
muy diferentes
Caro, ya que todo el
personal est
involucrado
Arriesgada
Tipo de Escenarios de Prueba para el Sistema de TI
Prueba
Prueba
Esttica
Prueba
Dinmica
Prueba
Funcional
Objetivo
Valida que los equipos y
sistemas se ajustan a las
especificaciones y que
operan en los entornos
requeridos, y que los
procedimientos y los
procesos son viables.
2.7.4. Programa de Ejercicios y Exmenes

Departamento/Proceso/Sistema

Prueba
Lista de
control

Tutorial

Recursos humanos

Esttica

Finanzas

Adquisiciones

Ventas

CRM

Dinmica
Sistema de correo
electrnico
Funcional
Ejercicio
Paralelo Simulacin
Interrupcin
total
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas

Recomendaciones

o Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de
prestacin de servicios, el ejercicio debera ser cuidadosamente planeado para
reducir al mnimo el riesgo de que ocurra un incidente como consecuencia
directo del ejercicio

o Los ejercicios deberan ser realistas y cuidadosamente planificados y
acordados con las partes interesadas, de modo de que exista un mnimo
riesgo de interrupcin de los procesos empresariales

o La escala y la complejidad de los ejercicios deberan ser adecuadas a los
objetivos de recuperacin de la organizacin
2.7.6. Realizar una Actividad de Ejercicio/Prueba

El ejercicio debera realizarse en el momento oportuno que mejor responde a los
objetivos del evento, y:

Causa el nivel mnimo de perturbacin a la organizacin y a las partes
interesadas

Cuando el nmero apropiado de participantes requeridos para apoyar el
ejercicio est disponible

Cuando los lugares fsicos, activos, equipos o instalaciones estn
disponibles para su uso en el ejercicio

Detener o Suspender el Ejercicio
Detener o Suspender

Hay ejercicios que se pueden detener o
suspender, antes de la hora programada por
una serie de razones, incluso cuando se
plantea un incidente real

Esta decisin de detener o suspender el
ejercicio debera ser adoptada por el
coordinador del ejercicio, que debera estar
en posesin del estado de las actividades
desarrolladas en el ejercicio y poder decidir
el momento ms seguro para detener las
actividades

Algunas organizaciones utilizan
palabras clave para lograr esto

Documentacin de Ejercicios/Pruebas

Lista estndar

1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duracin de la prueba
7. Pasos especficos de la prueba
8. Quines sern los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medicin del xito o el fracaso de las pruebas
2.7.7. Evaluacin de una Actividad de Ejercicio/ Prueba

Los informes pos ejercicios deberan cubrir:
Tiempo
Tiempo real de ejecucin de las tareas previamente determinadas vs. El
tiempo planificado
Suma Suma del trabajo realizado vs. El trabajo planificado
Nmero
Precisin
Lecciones
aprendidas
Recomendaciones
Cantidad de transacciones y registros realizados con xito vs. La cantidad
planificada
Precisin de la entrada de datos en la instalacin de reserva comparada
con la precisin normal vs. La planificad
Identificacin de errores y comisiones
Lo que hay que aplicar para mejorar el PCN
2.7.8. Informe de Ejercicios/ Pruebas
Ejemplo
Dificultades / Problemas
Durante el ejercicio/prueba
Razones/Causas Cogniciones (Lecciones
Aprendidas)
<Texto>
<Texto>
<Texto>
<Texto>

Qu ha funcionado
Durante la prueba?

Qu no funcion
Durante la prueba?
Curso de Capacitacin para Implementador Lder Certificado en la
ISO 22301
Seccin 26
Supervisin, medicin, anlisis y evaluacin

a. Proceso de supervisin, medicin, anlisis y evaluacin

a. Determinar los objetivos de la medicin

c. Objetivo de la supervisin y de la medicin

d. Determinacin de la frecuencia y del mtodo

e. Presentacin de los resultados

f. Tablero del SGCN

3.1. Supervisin, Medicin, Anlisis y Evaluacin del SGCN

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

9.1 Supervisin, medicin, anlisis y evaluacin
9.1.1 Generalidades

La organizacin deber determinar:
a) Lo que debe ser medio controlado
b) Los mtodos de vigilancia, medicin, anlisis y evaluacin, en su caso, para asegurar
resultados vlidos;
c) Cundo el seguimiento y la medicin debern ser llevados a cabo;
d) Cundo debern llevarse a cabo el anlisis y la evaluacin del monitoreo y los
resultados de las mediciones.
La organizacin deber conservar la informacin apropiada documentada como evidencia de los
resultados.
La organizacin deber evaluar el rendimiento del SGCN y la eficacia del SGCN.
Adems la organizacin deber:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los resultados
antes de que se produzcan una no conformidad
- Conservar la informacin apropiada documentada como evidencia de los resultados
-
Definiciones
segn la ISO 22301

Supervisin (3.29)
Determinar el estado de un sistema,
un proceso o actividad
Medida (3.27)
Evaluacin del Rendimiento (3.36)
Proceso para determinar un valor
Proceso de determinar resultados
mensurables
Proceso de Supervisin, Medicin, Anlisis y Evaluacin

El objetivo principal es la mejora del SGCN

Objetivo A
Objetivo B
Objetivo C
Atributo A
Atributo B
Atributo C
Indicador de rendimiento A
Indicador de rendimiento B
Indicador de rendimiento C
TABLERO OBJETIVO DE MEDICIN
REVISIN Y
MEJORA
3.1. Supervisin, Medicin, Anlisis y Evaluacin del SGCN
Lista de Actividades
2. Implementacin
del SGCN
(Hacer)
3.3 Revisin
por la Direccin
3.1.1 Objetivos
de medicin
3.1.2 Objetivos de
Supervisin y
Medicin
3.1.3 Creacin
de indicadores
3.1.4 Creacin de
paneles
3.2 Auditoria
Interna
3.1.1. Determinacin de los Objetivos de medicin
Objetivos de la Medicin

La norma no indica lo que debe ser objetivo de
supervisin o medicin

Corresponde a la empresa determinar qu es lo
que necesita ser controlado y medido

Es una mejor prctica centrarse en la vigilancia
y medicin de las actividades que estn
vinculadas a los procesos crticos que permiten
a la organizacin alcanzar sus metas y objetivos
de continuidad

Demasiadas medidas pueden distorsionar el
enfoque de una organizacin y desenfocar lo
que es verdaderamente importante

2. Funcin de Asesoramiento dentro de la
organizacin para la mejora continua
3.1.2. Objetivo de la Supervisin y Medicin
Qu mnimamente necesita ser supervisado y medido?
1. La medida en que
se cumplen la continuidad
del negocio, poltica, objetivos
y metas de la organizacin

5. Los datos y los
resultados de la
supervisin y medicin
suficientes para facilitar
el posterior anlisis de
las acciones correctivas
y preventivas
2. Los procesos,
procedimientos y funciones
que protegen sus
actividades prioritarias
3. Evidencia histrica
de los resultados
deficientes del SGCN,
por ejemplo, no
conformidad, conatos,
falsas alarmas
4. El cumplimiento de las exigencias legales y
nominativas, las mejores prcticas del sector y de la
conformidad con su propia gestin de la poltica y
objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
% de falsas alarmas
con deteccin de
eventos
Costo promedio de
un incidente
% del personal que
ha recibido
capacitacin y
calificaciones de CN
Nmero de horas de
capacitacin de los
empleados

% de planes
probados
Nmero de ejercicios
realizados en el
ltimo ao

% de no conformidades
no cerradas en la
demora fijada
Nmero de das en
promedio para cerrar
una no conformidad
Incidentes Capacitacin Ejercicios No conformidades
3.1.3. Determinacin de la Frecuencia y el Mtodo de Supervisin y
Medicin
Objetivos de la Medicin

La norma no indica, ni cmo ni la frecuencia con
que debe realizarse o evaluarse la supervisin
o la medicin

Es ala organizacin quien determina cmo
controlar, medir y con qu frecuencia

Es la mejor prctica utilizar tableros para
registrar y notificar las actividades de medicin y
supervisin con indicadores de rendimiento

Los tableros deberan indicar los resultados
obtenidos frente a los objetivos de rendimiento

Cmo y cundo se debe controlar y medir?
COM
O
3.1.4. Presentacin de los resultados
Ejemplo de Tablero
Ejecucin Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestin Tctico
Mide el progreso hacia el logro delos objetivos tcticos
Alta Direccin Estratgico
Hace posible el progreso de la estrategia de
continuidad
I. Tablero Operativo
Ejemplo
II. Tablero Tctico
Ejemplo
Evaluacin de los procedimientos
Procedimiento evaluado
Notas a la debilidad
Y la fuerza
Nivel de cumplimiento
1 2 3 6 5 4 7 8
1
2
5
4
3
6
8
7
9
10
Evaluacin global
Procedimiento de control de documentos
Procedimiento de control de registros
Procedimiento de competencia,
sensibilizacin y capacitacin
Procedimiento de auditorias interna
Procedimiento de acciones correctivas
Procedimiento de acciones correctivas
Procedimiento de revisin por la
direccin
Procedimiento de supervisin y medicin
Procedimiento de gestin de recursos
Procedimiento de compra
Nro.
III. Tablero Estratgico
Ejemplo
Indicador 1 Indicador 2 Indicador 3 Indicador 4
18
19
27
29
36
41
50
28
39
49
48
65
61
71
0
10
20
30
40
50
60
70
80
2004 2005 2006 2007 2008 2009 2010
Serie 1 Serie 2
25
20
27
60
20
Descripcin A Descripcin B
Descripcin C Descripcin D
Descripcin E
Ejercicio 13
Supervisin, medicin, anlisis y evaluacin
Capacitacin para Implementador Lder Certificado en la ISO 22301
Seccin 27
Auditoria Interna

a. Las diferencias entre las Auditoras Internas y Externas

a. Rol de la Funcin de la Auditoria Interna

c. Independencia, objetividad e imparcialidad

d. Planificacin de las actividades de auditoria

e. La gestin y la asignacin de recursos

f. Crear un procedimiento de auditora

g. Actividades de seguimiento de no conformidades

3.2. Auditora Interna

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

9.2 Auditora interna
9.1.1 Generalidades

La organizacin deber llevar a cabo auditoras internas a intervalos planificados para
proporcionar informacin a fin de prestar asistencia en la determinacin de si el SGCN:
a) cumple:
1) Las necesidades propias de la organizacin para su SGCN,
2) Los requisitos de esta norma Internacional.
b) se aplica y es manteniendo de forma afectiva.

-Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
mtodos,
- responsabilidades, requisitos de la planificacin y presentacin de informes. El programa de auditoras
(s) deber tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el mbito de aplicacin de cada auditoria,
- La seleccin de los auditores y la realizacin de las auditorias para asegurar la objetividad e
imparcialidad del proceso de auditora.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestin, y los resultados de la
auditora.

Qu es una Auditora?
Proceso sistemtico, independiente y
documentado para obtener evidencia de auditora
y evaluarla para determinar en qu medida cumple
los criterios de auditora
En resumen:
Auditora significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditoras
Interna
Auditora de primera
Parte
Nuestra organizacin audita sus
propios sistemas
Organizacin
Auditora de Segunda
Parte
Nuestro cliente audita
nuestra organizacin
Auditoria de Segunda
Parte
Nuestra organizacin
audita a nuestro
proveedor
Auditora de
Tercera parte
La organizacin es
auditada por una
organizacin
independiente
Cliente Proveedor
Externa
Las Diferencias entre las Auditoras Internas y Externas
Principales caractersticas
Auditora Interna

1. Es independiente de las actividades auditadas
(no de la organizacin)

2. Considera la eficacia y la eficiencia del
sistema de gestin

3. Funcin de Asesoramiento dentro de la
organizacin para la mejora continua

4. Puede llevarse a cabo en el curso de las
operaciones

Auditora Externa

1. Totalmente independiente de la organizacin
auditada y sus actividades

2. Slo considera la eficacia del sistema de
gestin

3. No tiene funcin de asesoramiento a la
organizacin (slo recomendaciones
generales)

4. La actividad de la auditora siempre e
planifica de manera oportuna

Principales Servicios y Actividades de la Auditora Interna
Objetivos
principal
es
1. Evaluacin de los objetivos
del sistema de gestin
2. Evaluacin general del
Funcionamiento del sistema
de gestin
3. Evaluacin de la gestin
de riesgos en curso
4. Evaluacin de la eficacia y
la eficiencia de los procesos y
medidas
8. Coordinacin entre las
auditorias internas y
externas
7. Evaluacin de la mejora
continua
6. Evaluacin de la medicin
y la revisin del sistema de
gestin
5. 4 Evaluacin de la eficacia y la
eficiencia de la gestin del ciclo de
vida del mismo sistema de gestin
ISO 19011

INTERNATIONAL
ISO
STANDARD
19011

______________________________________
Societal security- Business continuity

Management Systems Requirements

______________________________________

Gua de auditora para los sistemas de gestin
o Las definiciones de los conceptos de
auditora de sistemas de gestin

o Descripcin de las caractersticas y
principios bsicos de la auditora y la
profesin de auditor

o Descripcin de todos los elementos
clave del proceso de auditora

o Descripcin de los aspectos
fundamentales de un programa de
auditora

o Directrices sobre las calificaciones de
los auditores

3.1 Supervisin,
medicin,
anlisis y evaluacin
3.3 Revisin por la
Direccin
3.2.3 Establecer
Independencia,
objetividad e
Imparcialidad
3.2.4 Planificar
actividades de
auditoria
3.2.5 Asignar y
administrar los
recursos
3.2.6 Crear
procedimiento de
auditora
3.2.1 Crear el
programa de
auditora interna
3.2.2 Designar
una Persona
Responsable
3.2.7 Realizar
actividades de
auditora
3.2.8 Seguimiento
de No
conformidades
3.2.1. Crear el Programa de Auditoria Interna
Establecer el programa de auditora (5.2)

-Objetivos y alcance Roles y responsabilidades
-Competencia - riesgo del programad e auditora
- Procedimientos - Recursos
Aplicacin del programa de auditora (5.3)

-Definir cada objetivo, alcance y criterios de la
auditora
-Determinar el mtodo (s) de auditora
-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa
de auditoria

Supervisin del programa de auditoria (5.4)

-Revisar y aprobar los informes de auditora
-Determinar la necesidad de una auditoria de
seguimiento
-Evaluar el desempeo delos miembros del
equipo de auditoria y retro alimentacin por
parte de todos los interesados
Actividades de
Auditoria
(clusula 6)
Competencia y
evaluaciones
de los
auditores
(clusula 7)
P
l
a
n
i
f
i
c
a
r

H
a
c
e
r

V
e
r
i
f
i
c
a
r

A
c
t
u
a
r

Revisar y mejorar
programa de
auditora (5.5)
3.2.2. Designar una Persona Responsable

1. Desarrollar un programa de auditora interna (funciones y
responsabilidades, procedimientos, documentos de trabajo, formacin de
auditores, etc.)
2. Planificar las actividades de auditora
3. Administrar los recursos
4. Desarrollar criterios de rendimiento y asegurar que la auditora cumple con
estos criterios
5. Escribir informes de auditora
6. Asegurar que se siguen las mejores prcticas y que se aplican los
procedimientos de auditora durante la realizacin de la auditora.
7. Implementar un programa de evaluacin continua de los auditores
8. Realizar el seguimiento de las no conformidades y las recomendaciones
de auditoras anteriores
Funciones y responsabilidades
Principales Servicios y Actividades de la Auditora Interna
Preparar, conducir y cerrar una
auditoria, comunicacin oral y
escrita de las conclusiones
Operacin de un sistema de
gestin e interaccin
entre sistemas
Principales leyes y
reglamentos, clusulas
de contrato
Evaluacin y gestin de los
riesgos de auditora y aquellos
relacionados a la operacin de
un sistema de gestin
Principales procesos presentes en
todas las organizaciones (RRHH,
Finanzas, Produccin, etc.)
Principios
de auditora
Sistema
de gestin
Aspectos
legales
Proceso
organizacional
Riesgos
de auditora
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditora
Definicin normal del propsito y actividades de la auditora interna
Definicin formal de la autorizacin de acceso de Auditores internos
El establecimiento de la independencia de la auditora interna
Definicin de las responsabilidades y los servicios que sern
proporcionados por la auditora interna
Definicin formal del alcance y la extensin de la auditora interna
Estructura del estatuto
(carta) de auditora
El Acceso y la Independencia

El acceso a los recursos y la colaboracin
Los auditores deberan tener acceso sin restricciones a los ejecutivos, empleados,
oficinas, informacin, explicaciones y la documentacin necesaria para el buen
desarrollo de la auditora para el buen desarrollo de la auditora
Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditora
Independiente
Los auditores internos deben ser independientes de los procesos auditados, y esto
generalmente se garantiza si el auditor informa a la Comisin de cuentas de la
organizacin en lugar de directamente a la alta direccin

Esta necesidad de independencia debera reflejarse en el organigrama
1
2
3.2.4. Planificacin de las Actividades
Planificacin a corto y largo plazo
Una planificacin de auditora d
alto nivel para tres aos
Esta planificacin debe tener en
cuenta que el sistema general de
gestin debera ser auditado cada
tres aos
Una planificacin anual ms
detallada

Esta planificacin debe tener en
cuenta que no hay ningn requisito
para que el auditor audite todos los
procesos y controles del sistema de
gestin durante ese ao
3.2.5. Asignar y Administrar los Recursos del Programa de Auditora

Recursos financieros
Recursos humanos
Herramientas
Polticas y procedimientos de auditora Logstica
3.2.6. Crear Procedimientos de Auditora
1. Planificar y programar las
auditorias teniendo en
cuenta los riesgos de
auditora
2. Administrar la seguridad de
la informacin y la
confidencialidad y gestionar
los riesgos de auditora
3. Garantizar la competencia
de los auditores y los lideres
de los equipos
Los procedimientos de auditora deberan incluir informacin sobre cmo:
4. Seleccionar equipos de
auditoria apropiados y
asignar sus roles y
responsabilidades
5. Realizar auditorias incluyendo
el uso de mtodos de
muestreo apropiados
6. Realizar el seguimiento de la
auditora, si procede
7. Informar de los resultados
del programa de auditora
al cliente de auditora
8. Mantener registros del
programa de auditora
9. Monitorear la operacin, los
riesgos y eficacia del
programa de auditora
Para las organizaciones pequeas, las actividades mencionadas arriba
pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditora
Fuente de informacin
Uso de
Procedimientos de auditora
Incluyendo el muestreo
Evidencia de la auditora
Evaluacin frente a los
Criterios de auditoria
Hallazgo de la auditora
Revisin
Conclusiones de la
auditora
No conformidad
Definicin

o De acuerdo con la definicin de la norma ISO 9000: 2005, una no conformidad
es el no cumplimiento de un requisito

o Hay dos tipos de no conformidades

No conformidad menor

No conformidad mayor

3.2.8. Seguimiento de no conformidades

Directrices
o El auditor interno debera seguir los planes de accin presentados en
respuesta a las no conformidades (como resultado de las autoridades internas
y externas)

o La persona a cargo del SGCN debe informar al auditor interno de la marcha de
las acciones correctivas

o El papel del auditor interno se limita a validar los planes de accin y las
acciones correctivas

o No todas las medidas correctivas tiene que ponerse en prctica
inmediatamente
Basado en su experiencia y conocimiento, el auditor interno debera
ejercer buen criterio y evaluar si los planes de accin
apropiados y pueden abordar las causas intrnsecas de las conformidades
Seccin 29
Tratamiento de problemas y no conformidades

a. Proceso de anlisis de la causa raz

a. Herramienta de anlisis de la causa raz

c. Procedimiento de acciones correctivas

d. Procedimiento de acciones preventivas

3.3. Revisin por la Direccin

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

Revisin por la Direccin

La alta direccin debe revisar el SGCN de la organizacin, a intervalos planificados, para
asegurarse de su conveniencia, adecuacin y eficacia

La revisin por la direccin deber incluir la consideracin de :
a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la direccin;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema
de gestin de la continuidad del negocio;
c) Informacin sobre el desempeo de la continuidad del negocio, incluyendo las
tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluacin del seguimiento y la medicin;
3) Resultados de la auditora; y
d) Oportunidades para la mejora continua.
Revisin por la Direccin
Definicin

Una revisin peridica de la eficacia del Sistema de Gestin realizada por
la alta direccin para analizar su conveniencia, adecuacin y eficacia
continuas
Trmino Concepto
Idoneidad
Adecuacin
Eficacia
Los resultados se logran de la mejor manera posible
Las salidas cumplen con los criterios establecidos
El sistema cumple con las necesidades de la organizacin
3.3. Revisin por la Direccin
1.2 Implementacin
del SGCN
4. Mejora
Continua
3.3.1 Preparar
la Revisin
por la Direccin
3.3.2 Realizar
la Revisin
por la Direccin
3.3.3 Cierre de
la Revisin
por la Direccin
3.3.4 Seguimiento
de la Revisin
por la Direccin
3.1 Supervisin
Medicin, anlisis y
evaluacin
3.2 Auditora
Interna
3.3.1. Preparacin de la Revisin por la Direccin

o La s revisiones por la Direccin deben llevarse a cabo a intervalos planificados
(por lo menos una vez al ao)

o La revisin por la Direccin se puede incluir en una reunin de Direccin y ser
uno de los temas del orden del da

o Es una buena prctica enviar al comit de gestin toda la documentacin
relacionada (informe de auditora, resultados de las revisiones, planes de
accin) antes de la revisin
Requisitos


La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.

La organizacin deber llevar a cabo ejercicios y pruebas que:
a) Estn en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de continuidad de
su negocio, que involucren a las partes interesadas,
d) Reducen al mnimo el riesgo de interrupcin de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promocin de la mejora continua y.
opera.

3.3.2. Realizar una Revisin por la Direccin

La entrada de una revisin por la Direccin debera incluir informacin sobre:

1. Los resultados de auditoras del SGCN y sus revisiones
2. Las tcnicas, productos o procedimientos, que podran utilizarse en la organizacin
para mejorar el rendimiento y la eficacia del SGCN
3. Estado de las acciones preventivas y correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas adecuadamente en la evaluacin de riesgo anterior
6. Los resultados de las mediciones de la eficiencia
7. Las acciones de seguimiento de revisiones por la Direccin anteriores
8. Los cambios que podran efectuar al SGCN, ya sean internos o externos
9. Adecuacin de la poltica
10. Recomendaciones para la mejora
11. Las enseanzas derivadas de incidentes
12. Buenas prcticas y guas emergentes
Temas que figuraran en el programa
3.3.3. Resultados de la Revisin

El resultado de la revisin de la Direccin deber incluir todas las decisiones y acciones
relacionadas con lo siguiente:
1. Variaciones al alcance del SGCN;
2. Mejora de la efectividad del SGCN;
3. Actualizaciones de la evaluacin de riesgos, anlisis de impacto y preparacin ante
incidentes y procedimientos de respuesta;
4. Modificacin de los procedimientos y controles que afectan los riesgos, incluidos los
cambios en:
Requisitos empresariales y de funcionamiento
Reduccin de riesgos y requisitos de seguridad
Procesos de las conducciones de funcionamiento del negocio que inciden en
los requisitos operativos existentes;
Los requisitos reglamentarios o legales
Las obligaciones contractuales
Los niveles de riesgo y/o criterios para la aceptacin de riesgos;
Necesidades de recursos
Los requisitos econmicos y presupuestarios
Mejoramiento a la forma de cmo se est midiendo la eficacia de los controles

Decisiones y resoluciones
3.3.4. Seguimiento de la revisin por la Direccin

o Las revisiones por la Direccin deben ser documentadas

o La organizacin debera presentar informes sobre la revisin por la Direccin a
todos los que forman parte de ella

o El coordinador del SGCN y el quipo de auditora interna tiene la
responsabilidad de garantizar que los planes de accin de seguimiento sean
aprobados
Direccin
4.1. Tratamiento de Problemas y No Conformidades

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

10 Mejora
10.1 No conformidad y accin correctiva

a) Identificar no conformidad(es);
b) Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d) Implementar las medidas necesarias
e) Examen de la eficacia de las medidas correctivas adoptadas,
f) Realizar cambios en el sistema de la gestin de la continuidad del negocio, si es
necesario. Las acciones correctivas que se tomen debern ser apropiadas a los
efectos de las no conformidades encontradas
opera.

Definiciones

ISO 9000
Mejora continua
Actividad recurrente para aumentar la capacidad de cumplir con los
requisitos (ISO 9000, 3.2.13)
Correccin Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Accin
Correctiva
Accin
Preventiva
Accin para eliminar la causa de una no conformidad detectada u otra
situacin indeseada (ISO 9000,3.6.5)
Medidas para eliminar la causa de una no conformidad potencial u otra
situacin potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades
2 Implementacin
del SGCN
4.2. Mejora
Continua
4.1.1 Proceso
de resolver
problemas y no
conformidades
4.1.2.
Procedimiento d
acciones
correctivas
4.1.3.
Procedimiento de
acciones
correctivas
4.1.4. Planes
de accin
3.1 Medicin del SGCN
3.2 Auditora
Interna
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades

Ejemplo de Mtodo de las Ocho Disciplinas para Solucionar Problemas
Inicio
3
Desarrollar
Plan Provisional de
Contencin
Elegir/ Comprobar las
Acciones Correctivas
Permanentes (ACP)
5
Definir y Verificar
Causa(s)
4
Seleccionar las causas
Probables
Es la
Causa
Una
Causa
Raz?
Desarrollar
Soluciones posibles(s)
Validar y Aplicar las ACP
Prevenir la recurrencia
Facilitar a su Equipo
6
7
8
Describir el Problema
Establecer el Equipo/
Utilizar un enfoque de
Equipo
Identificar el Problema
2
1
0
Finalizar
Si
No
Face de Planificacin
Herramienta de Anlisis de la Causa Raz
Diagramas de causa y efecto
Gestin de
Procedimientos
El Sitio de
la Red no
funciona
con
frecuencia
No hay un procedimiento
Para gestionarlo

No hay formacin en la sensibilizacin

Ningn proceso establecido
para tratar con sitio de la red
Cuando se descompone

El personal de TI no mide
el rendimiento del
prestador del servicio del
sitio de la red.
Proveedor externo inadecuado

Equipos Obsoleto
No se siguen adecuadamente los
procedimientos de actualizacin de la
pgina web

El personal de TI no est
apropiadamente capacitado
para gestionar el sitio de la red.
No hay capacitacin de gestin
del sitio de red para sus
empleados

Insuficiencia de recursos
para gestionar el sitio de
la Red
Causas Prioritarias
Evaluaciones Recursos Recursos
Haciendo las preguntas correctas
Situacin actual Interrogatorio Seguimiento de la solucin Opcin (es)
Qu se ha hecho?
Cmo se hace?
Dnde se hace?
Quin lo hizo?
Cundo se hace?
Por qu es necesario?
Por qu se hace de esta
manera?
Por qu se hace en este
lugar?
Por qu esta persona?
Por qu se hace en este
momento?
Qu otra cosa podramos
hacer?
Cmo hacerlo de manera
diferente?
Quin ms podra hacerlo?
Dnde ms podramos
hacerlo?
Podramos hacerlo en otro
momento?
Qu se har?
Cmo se har
esto?
Quin lo har?
Cmo se har
esto?
Cundo se va a
hacer?
Necesarias para el anlisis de cualquier problema
4.1.2. Procedimiento de Acciones Correctivas
Accin correctiva
Mejora Continua
Anlisis situacional
Identificacin de la no
conformidad
Revisin y seguimiento de acciones
tomadas
Implementacin de soluciones y registros
de las medidas tomadas
Anlisis de las
causas raz
Evaluacin de las
opciones
Seleccin de
soluciones
Identificacin y documentacin de la no conformidad
4.1.3. Procedimiento de Acciones Preventivas

La organizacin deber determinar las acciones para eliminar las
causas potenciales de no conformidad, de conformidad con los
requisito del SGCN
Eficacia
Acciones preventivas
Acciones
correctiva
Costos
4.1.1. Elaboracin de Planes de Accin
Se puede escribir en forma resumida
Deben permitir que sea corregida la no conformidad
Deberan basarse en un enfoque preventivo y correctivo
Deben incluir un plazo de ejecucin
Deben permitir la obtencin de resultados verificados
Presentacin de los Planes de Accin tras una Auditora

o Se deber presentar un plan de accin global por cada no conformidad, no un
plan de accin para todas las no conformidades

o Los planes de accin deben ser aprobados por la direccin

o El auditor analizar las causas y evaluar si la correccin especifica y las
medidas correctivas adoptadas o previstas, permitirn eliminar no
conformidades detectadas, dentro de un tiempo definido
Planes de Accin

Ejemplo
1
Almacenar datos archivados y correos electrnicos en un servidor de
archivos ms fiable (2 trimestre 2008)
2
Una nueva versin de la poltica de CN debe ser publicada para incluir un
marco para establecer objetivos (en el plazo de 2 meses)
3
Los nombres de las personas de contacto en caso de desastre deben ser
explcitamente mencionados en el plan de continuidad del negocio
(inmediatamente) y los procedimientos para contactar a estas personas
deben ser documentados y comunicados (Tema incluido en el plan de
concientizacin del 2009)
Ejercicio 14
Planes de acciones correctivas
Seccin 30
Mejora continua

a. Proceso de seguimiento continuo de factores de cambio

b. Mantenimiento y mejora del SGCN

c. Actualizacin continua de la documentacin y registros

d. Documentar las mejoras

4.2. Mejora Continua

1. Planificar

2. Hacer

3. Verificar

4. Actuar

4.1 No
conformidades y
accin correctiva
4.2 Mejora
continua
3.1 Supervisin,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
3.3 Revisin por
la Direccin
en el Negocio (AIN)
2.2 Evaluacin del
Riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
1.1. Planificar el
SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.5 Liderazgo y
planificacin
1.4 Alcance
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Requisitos

10 Mejora
10.2 Mejora Continua

La organizacin deber mejorar continuamente la conveniencia, adecuacin y eficacia del SGCN

NOTA La organizacin puede utilizar los procesos del SGCN tales como liderazgo, planificacin
y evaluacin del desempeo, para lograr mejoras.

Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la
eficiencia de la organizacin para cumplir con sus polticas y objetivos.
En pequeos pero certeros
pasos
4.2. Mejora Continua
2. Implementacin
del SGCN (Hacer)
Auditora de
Certificacin
4.2.1. Supervisin
de factores de
cambio
4.2.2.
Mantenimiento y
mejoras
4.2.3. Actualizacin
de la
documentacin
4.2.4. Documentar
las mejoras
3. Verificar
4.1. Tratamiento
De problemas y
no conformidades
4.2.1. Proceso de Seguimiento continuo de los Factores de
Cambio
Los cambios en la organizacin

Misin
Objetivos de la empresa
Presupuesto y recursos
Cambios en el personal

Cambios en
las tecnologas

Hardware
Software
Los procedimientos de TI
Los procesos de TI
Cambios por el SGNC

Poltica de continuidad del
negocio
Nuevos escenarios de
riesgo
Los cambios de los
procedimientos
Resultado de las pruebas
y ejercicios
Resultado de la auditora
Los Cambios externos

Leyes y reglamentos:
Necesidades y preocupaciones
de los clientes y proveedores
Proveedores de SLA
Los cambios en el entorno por
ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
El SGNC debe ser mantenido
y actualizado peridicamente.
Las mejoras acordadas en el
proceso y las acciones
necesarias para mejorar el
proceso deberan ser
notificadas a los directores
ms apropiados para
asegurar que ningn riesgo es
pasado por alto ni
subestimado antes de la
aplicacin de los cambios.
Mejora
Implementacin
Mantenimiento
4.2.3. Actualizacin Continua de la Documentacin y Registros

Cambio continuo
Documentacin del SGCN

Poltica del SGCN
Anlisis de riesgos
Estrategia
Continuidad del Negocio y planes de
reanudacin
Programa de sensibilizacin
Programas de Educacin
Planificacin de las actividades y los
resultados.
Los niveles de servicio acordados

Ejercicio

Evolucin organizacional
Nuevas reglas
Cambios en el alcance del negocio
Incidentes
Funcionamiento defectuoso
Fallos
Informes de la Gestin de Riesgos
Resultados de las pruebas
Auditoras Internas
Auditoras Externas

Revisar y adaptar
4.2.4. Documentar las Mejoras
Por lo general, mediante el procedimiento de gestin del cambio

Record of Changes
Page # Change Comment Date of
Change
Signature
Capacitacin para Implementador Lder
Seccin 31
Preparacin para la auditora de certificacin

a. Seleccin de la entidad de certificacin

b. Preparacin para la auditora de certificacin

c. Etapa 1 de la auditora

d. Etapa 2 de la auditora

e. Auditora de seguimiento

f. Decisin sobre la certificacin

g. Auditora de vigilancia

Requisitos

Sistema de gestin de continuidad del negocio

La organizacin deber establecer, implementar, mantener y mejorar continuamente un
SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con
los requisitos de esta Norma Internacional.

Organismo de Certificacin
ISO 17021

Organismo de Certificacin: Terceros que realizan la evaluacin de la
conformidad de los sistemas de gestin.

Certificacin: Procedimiento en el cual un tercero garantiza por escrito
que un producto, proceso o servicio es conforme a las condiciones
indicadas.

Proceso de Certificacin
1. Seleccionar un
Organismo de
Certificacin:
2. Preparacin de
la auditora
Mejora Continua y
Auditora de Vigilancia
3. Etapa 1 de la
auditora
4. Etapa 2 de la
auditora (auditora
in situ)
Implementacin del
SGCN
A
n
t
e
s

d
e

l
a

A
u
d
i
t
o
r
a

Informe de auditora
interna Revisin por la
Direccin
A
u
d
i
t
o
r
a

I
n
i
c
i
a
l

S
e
g
u
i
m
i
e
n
t
o

d
e

l
a

A
u
d
i
t
o
r
a

5. Auditora de
seguimiento (si es
necesario)
6. Decisin de
Certificacin
Antes de la Auditora

o Antes de ser auditado, un SGNC debe estar en funcionamiento durante un
tiempo determinado

o Por lo general, se requiere un plazo mnimo de tres meses.

o Como mnimo, se debe haber realizado por lo menos una auditora interna, as
como una revisin por la direccin.

1. Seleccin de un Organismo de Certificacin

Principales criterios

1 Notoriedad y credibilidad
2 Presencia geogrfica
3 Las referencias en su sector
4 Posibilidad de una auditora combinada
5 Habilidades y experiencia del equipo auditor
6 Precio
El Rechazo de un Auditor

o Es posible solicitar la
sustitucin de los miembros
del equipo de auditora por
razones vlidas.

o El equipo de auditora podra
retirarse si considera que las
razones mencionadas no son
vlidas.

2. Preparndonos para la Auditora de Certificacin
2.Preparar
al personal
3. Auditora de
prctica.
1. La Auto
evaluacin
Recomendaciones

Preparacin para la
auditora
3. Etapa de la auditora

1. Visita al sitio
Evaluacin de la ubicacin del cliente y las condiciones
especficas del lugar.
Reunin/contacto con el personal auditado.
Observacin general de las operaciones del SGCN
2.2. Entrevistas con
actores claves
Validacin del alcance, as de cmo las limitaciones legales,
reglamentarias y contractuales aplicables
Validacin de que se han realizado las auditoras internas y las
revisiones por la Direccin.
Preparacin de la etapa 2 de la auditora.
3. Revisin de documentos
Comprensin general del funcionamiento del sistema de
gestin.
Evaluacin del diseo del sistema de gestin, as como de los
procesos y controles relacionados.
Nota: La revisin de documentos es la actividad principal de la etapa 1 de la auditora.
4. Etapa 2 de la auditora

Auditora in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORA

Asegurar que el SGCN:

- Cumple con todos los requisitos de la norma ISO 22301
- Est eficazmente aplicado
- Permite que la organizacin logre sus objetivos de continuidad del
negocio
Recomendacin de Certificacin

Al concluir la auditora, el auditor debe emitir una de las cuatro recomendaciones
siguientes relativas a la certificacin:

1. Recomendacin para la certificacin.

2. Recomendacin para la certificacin con la condicin de la presentacin de
planes de acciones correctivas sin visita previa.

3. Recomendacin para la certificacin con la condicin de la presentacin de
planes de acciones correctivas con visita previa.

4. Recomendacin desfavorable.
5. Realizacin de una Auditora de Seguimiento

Basado en las conclusiones de la auditora, el auditor puede tener que llevar
a cabo una auditora de seguimiento antes de que la organizacin sea
recomendada para la certificacin.

La verificacin de los planes de accin y las medidas correctivas relacionadas
con las no conformidades identificadas en el informe de auditora.
ISO 17021, clusula 9.1.12-13
Una no conformidad mayor debera generalmente implicar
una auditora de seguimiento.
6. Decisin sobre la Certificacin

El organismo de certificacin debe tomar la decisin de certificacin basado
en:

Una evaluacin de los resultados y conclusiones de la auditora.

Cualquier otra informacin pertinente (por ejemplo, la informacin
pblica, los comentarios del cliente en el informe de auditora)
ISO 17021, clusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditora nunca
toman parte en la decisin de certificacin.
6. Decisin sobre la Certificacin

El organismo de certificacin debe tomar la decisin de certificacin basado
en:

Una evaluacin de los resultados y conclusiones de la auditora.

Cualquier otra informacin pertinente (por ejemplo, la informacin
pblica, los comentarios del cliente en el informe de auditora)
ISO 17021, clusula 7.5.2 y 9.2.5.1
Los auditores que hayan tomado parte en la auditora nunca
toman parte en la decisin de certificacin.
Elementos a Auditar durante una Auditora de Vigilancia
Gestin del
Cambio
Auditora
Interna
La auditora de vigilancia tiene por
objeto garantizar que el SGCN sigue
siendo implementado y est
mejorando.
Planes de
Accin
Revisin
por la
Direccin
Mejora
Continua
Reclamos
Y
Sugerencias
Utilizacin
de marcas
registradas
La auditora se centra principalmente
en la mejora continua, y en el
seguimiento de los planes de accin.
Control de las
Operaciones
Efectividad y
mtricas
Auditora de Re Certificacin

Una auditora de re certificacin deber ser planificada y realizada
para evaluar el cumplimiento continuo de todos los requisitos cada tres
aos.

La auditora de re certificacin tendr en cuenta el rendimiento del
sistema de gestin durante el periodo de certificacin, y deber incluir
la revisin de los anteriores informes de auditora de vigilancia.

La duracin de una auditora de re certificacin debera ser de 2/3 del
tiempo dedicado a la auditora inicial

Uso de los rganos de Certificacin y las Marcas Registradas ISO

Una organizacin certificada est autorizada para exhibir pblicamente
su certificacin y para su uso con fines de comercializacin

La certificacin no se puede mostrar directamente en un producto o de
una manera que conduzca a creer que el producto est certificado.

El organismo de control proporcionar a la entidad auditada un logotipo
que se puede utilizar para la comercializacin.

ISO 17021, clusula 8.4.1.
Capacitacin para Implementador Lder

Seccin 32
Competencia y evaluacin de un Implementador Lder

a. Las competencias de un implantador

b. Esquema de certificacin de PECB

c. Solicitud de auditora

d. Mejora continua de las competencias

Definiciones de Competencia

Capacidad demostrada
para aplicar
conocimientos y
habilidades

Competencia
Competente
Habilidades
Habilidades
de
conducta
Conocimiento
C
o
n
o
c
i
m
i
e
n
t
o
s

d
e

Contexto
Habilidades de Conducta
Describe en detalle cmo se llevan a
Cabo las tarea y actividades
Proporciona la evidencia objetiva del
Cumplimiento de los requisitos de la norma
1. Integridad 5. Perceptivo 10. Responsable
2. Mente abierta 6. Verstil 11. Abierto a la mejora
3. Diplomtico 7. Tenaz 12. Culturalmente sensible
4. Observador 8. Decisivo 13. Colaborador
9. Auto suficiente
Esquema de Certificacin de PECB para la ISO 22301

Resumen de requisitos
Examen Credencial Profesional
Experiencia
Profesional
Experiencia
auditora de
SGCN
Experiencia
Proyecto de
SGCN
ISO 22301
Fundamentos
ISO 22301
Fundamentos
--------------- ------------- -------------
ISO 22301
Auditor Lder
ISO 22301
Auditor Provisional
-------------- ------------ -------------
ISO 22301
Auditor

2 Aos (1 en
continuidad del negocio)
200 horas
------------

ISO 22301
Auditor Lder
5 Aos (2 en
300 horas ------------
ISO 22301
Implementador
Lder
Implementador
Provisional ISO 22301
------------ ------------ ------------
ISO 22301
Implementador
2 Aos (1 en
------------ 200 horas
ISO 22301
Implementador Lder
5 Aos (2 en
------------
300 horas

AL ISO 22301 +
IL ISO 22301
ISO 22301 Master
10 aos (6 en
500 horas 500 horas
Proceso de la Certificacin de PCEB
4. Solicitud de
certificacin
5. Evaluacin de
su solicitud
6. Certificacin
7. Mantenimiento
de la certificacin
1. Examen PECB 2. Certificado CPD
3. Resultados del
examen
1. Presentarse al Examen de PECB
Preparacin para el examen
El Objetivo de este examen es garantizar que los candidatos conocen y
dominan:
1. Los principios fundamentales y los conceptos de continuidad del negocio.
2. Las Mejores prcticas de Control de la continuidad del negocio.
3. La planificacin de un SGCN basado en la norma ISO 22301
4. La aplicacin de un SGCN basado en la norma ISO 22301
5. La evaluacin del desempeo, seguimiento y medicin de un SGCN basado
en la norma ISO 22301
6. La mejora continua de un SGCN basada en la norma
ISO 22301
7. Prepararse para una auditora de certificacin del SGCN

Los participantes tienen derecho a utilizar toda su
documentacin
El examen dura tres horas

2. Certificado de Terminacin de Curso
Certificado de DPC (Desarrollo Profesional continuo)

3. Anuncio de los Resultados del Examen

Los posibles resultados son:
A
P
R
O
B
A
D
O

Usted recibe un nmero de examen por correo
electrnico
Este nmero de examen es importante cuando
solicite la certificacin de PECB
D
E
S
A
P
R
O
B
A
D
O

Puede intentar una re-examinacin dentro de los
12 meses del examen inicial
Contctese, por favor, con el proveedor del
examen para determinar una fecha para la re-
examinacin
Nota Importante: Al candidato no se le enviar una puntuacin numrica
4. Solicitud de Certificacin

Proceso general

Una vez que ha aprobado el examen, usted puede solicitar en lnea su
certificacin de PECB en www.pecb.org

Al hacer la solicitud, debe proporcionar la siguiente informacin:

1 Sus detalles de contacto
2 Su experiencia profesional y su experiencia de auditora
3 Por lo menos tres referencias.
4. Solicitud de Certificacin

Expediente de experiencia profesional

Experiencia vlida de proyectos Las actividades de implementacin
Pre-evaluacin
Anlisis de brechas
Implementacin interna
Implementacin externa / consultora
Implementacin parcial
Elaboracin de la implementacin de
un caso de negocio del SGCN
Gestin de un proyecto de
implementacin del SGCN
Realizar una evaluacin de riesgos y
un AIN
Aplicar medidas de mitigacin
Elaborar un plan de continuidad del
negocio
Participar en las pruebas y ejercicios
de los planes de CN
Aplicar las mtricas y tableros
Aplicar medidas correctivas o
preventivas
Realizar una revisin por la direccin
Gestionar un equipo de continuidad
del negocio.
5. Evaluacin de su Solicitud

Una vez que est completada su solicitud, PECB har la evaluacin:

Se contactar a sus referencias para validar:

Su experiencia de trabajo y su experiencia de auditora.
Su actitud personal.

Su solicitud no ser evaluada hasta que por lo menos dos de sus
referencias hayan contestado.

Usted podr verificar si sus referencias han contestado en su cuenta de
membresa de PECB

6. Certificacin

Si su solicitud es aprobada, PECB enviar el certificado por correo
electrnico en formato PDF.

Este certificado contiene el nmero de certificacin que puede validar en la
pgina web PECB www.pecb.org siguiendo la pestaa Entregar un
certificado

Slo las personas que estn debidamente certificadas pueden usar el ttulo
de Implementador Lder Certificado en la ISO 22301 (PECB)

Tambin es posible utilizar los siguientes ttulos:

IL Certificado ISO 22301 (PECB)
Implementador Lder ISO 22301 (PECB)
IL ISO 22301 (PECB)

6. Mantenimiento de la Certificacin
Mantenimiento y mejora continua de las competencias

Desarrollo profesional
continuo (mnimo de 45 horas de
capacitacin continua para un periodo
de 3 aos)
Mantenimiento de capacidades
de proyecto (mnimo de 45 horas de
actividades de proyecto para un periodo
de 3 aos)
7. Mantenimiento de la Certificacin
Mantenimiento y mejora continua de las competencias

CERTIFICACION:
Requisitos Anuales Total Tri - Anual
Experiencia Educacin Experiencia Educacin
Fundamentos,
implementador
Provisional y Auditor
provisional
0 Ninguna 0 Ninguna Ninguna Ninguna
Implementador 10
Horas de experiencia
laboral, implementacin o
experiencia relacionada con
consultora
10
Horas de capacitacin, estudio
privado, entrenamiento, asistencia
a seminarios y conferencias u
otras actividades relevantes.
30 horas 30 horas
Auditor 10
laboral, tareas relacionadas
con experiencia en
auditoras o evaluacin
10
30 horas 30 horas
Implementador Lder 15
laboral, implementacin o
experiencia relacionada con
consultora
15
45 horas 45 horas
Auditor Lder 15
Horas de auditora o de
tareas relacionadas con
evaluacin
15
45 horas 45 horas
Mster 30
Horas de implementacin,
gestin o tareas
relacionadas con auditora.
30
90 horas 90 horas
Capacitacin para Auditor Lder Certificado
en la Norma ISO 22301

Seccin 33
Cierre de la capacitacin

a. Evaluacin de la capacitacin

b. Otras capacitaciones y certificaciones para la ISO 22301

c. Otras Capacitaciones y certificaciones para implementadores

Evaluacin de la Capacitacin
Formulario de evaluacin del curso

Otras Capacitaciones y Certificaciones para ISO 22301

Auditor Lder
ISO 22301
(5 das)
Principios fundamentales de la continuidad del negocio
Conceptos fundamentales y principios de auditora
Pruebas y riesgo
Procedimientos de auditora
Conclusiones de la auditora
Acciones Correctivas
Gestor de Riesgos
ISO 27005:31000
(3 das)
Trminos y definiciones relativos a la gestin de riesgos
Las normas, marcos de referencia y metodologas de
gestin de riesgos.
Establecer el contexto y definir criterios del riesgo.
Identificacin y anlisis de riesgos.
Evaluacin y tratamiento de riesgos.
Las opciones y planes de tratamiento de riesgo.
Desarrollo de la Carrera Profesional

Otras Capacitaciones y Certificaciones para Implementadores

ISO 9001
Gestin de Calidad
ISO 14001
Gestin Ambiental
OHSAS 18001
Gestin de salud y seguridad fsica
ISO 20000
Gestin de servicios TI
ISO 22000
Gestin de la seguridad alimentaria
ISO 22301
Gestin de Continuidad de Negocios
ISO 27001
Gestin de seguridad de la informacin
ISO 28000
Sistemas de gestin de seguridad para la cadena de suministro
Capacitacin Puente

Implementador Lider ISO 22301

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Implementador Lider ISO 22301

Загружено:

Авторское право:

Доступные форматы

Implementador Lder

Certificado en la ISO 22301

Вам также может понравиться