2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
Post on 28-Jul-2015
72 Views
Preview:
TRANSCRIPT
Maricarmen García de Ureña
–British Standards Institution
Riesgos Asociados a la Continuidad del Negocio
(Enfoque en ISO 22301)
Costa Rica - 30 de septiembre, 2013
PwC
Indice:
Introducción
La Continuidad del Negocio
La necesidad de gestionar riesgos y operar en Continuidad del Negocio
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Pasos para lograr una certifiación en Contunuidad del Negocio en tu empresa
Conclusiones
PwC
Introducción:
Conocer los riesgos a los que nosenfrentamos para saber como
tratarlos…
… ADECUADAMENTE
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
PwC
La Continuidad del Negocio
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
PwC
La continuidad del negocio
Resiliencia en las organizaciones y en la sociedad.
“En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012
PwC
La continuidad del negocio
Beneficios:
Continuidad en la provisión de productos y serviciosfundamentales
Cumplimiento regulatorio, legal y contractual
Disminución en los costos de pólizas de seguros
Diferencia sobre competidores
Cumplimiento con requisitos en licitaciones
Participación en mercados internacionales
PwC
La necesidad de gestionar riesgos y operar en
continuidad del negocio
Fuente de imagen: http://www.cne.go.cr/CEDO-CRID/CEDO-CRID%20v2.0/CEDO/pdf/spa/doc2226/doc2226-contenido.pdf
PwC
La necesidad de gestionar riesgos y operar en continuidad del negocio
Gestión de Riesgos
El estándar ISO 31000, proporciona en forma integra a lasorganizaciones, principios bajo un marco de proceso, destinado agestionar cualquier tipo de riesgo de forma:
Sistemática, Creíble, Transparente
“ISO 31000, ayuda a las organizaciones a desarrollar su propiaestrategia para administrar sus riesgos “.
El estándar ISO 31010, proporciona técnicas sistemáticas de apoyo al implementar el ISO 31ooo
PwC
La necesidad de gestionar riesgos y operar en continuidad del negocio
La Continuidad del Negocio en ISO 22301 y el ISO 31000:
La continuidad del Negocio basada en mejores prácticas internacionalescomo la ISO 22301, puede basarse en ISO 31000.
PwC
ISO 22301 – Seguridad de lasSociedades
“Sistema de Gestión de Continuidaddel Negocio”
Fuente de imagen: http://helid.digicollection.org/en/p/printable.html
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Provee los requerimientos para unSistema de Gestión de la Continuidad delNegocio (SGCN ó BCMS por sus siglas en Inglés)
Basado en una Gestión de Continuidad deNegocio global. (Lo hace compatible con otros
estándares y mejores prácticas ).
Creado en respuesta al fuerte interés en laNorma Británica original, BS 25999-2 yotros estándares regionales
“BS 25999-2 texto original clave para su desarrollo “
BS ISO 22301:2012 -Societal Security. Business
continuity management systems. Requirements.
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio – Seguridad de las sociedades
Puede ser utilizado por organizaciones:
- … de cualquier tamaño.
- … en el sector público y privado.
- … de manufactura o servicio.
- … en cualquier sector de la industria.
Financiero
Mercado de valores
Manufactura
Entretenimiento
Educación
Hospitalario
Retail
Consultoría
Telecomunicaciones
Entre otros
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Adopción del estándar BS 25999 por industria según bsi.
Servicios de TI y Comunicaciones:
39%
Servicios Financieros: 15%
Distribución: 12%
Servicios profesionales:
11%
Servicios: 7%
Generación de energía: 5%
Construcción/ Manufactura: 6%
Otras: 5%
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Componentes:
Partes interesadas – Asuntos externos – Requerimientos legales y regulatorios
Compromiso de la gerencia, asuntos internos, partes interesadas, alcancel del SGCN políticas y objetivos de continuidad del negocio, riesgo organizacional, recursos, responsabilidades y
autoridades, competencias, concientización, comunicación, información documentadaPLANEAR
• Análisis del Impacto al Negocio
• Evaluación de riesgos
• Tratamientos
Ejercicios y Pruebas:
•Metas y objetivos•Minimizar riesgo•Reporte y acciones
Procedimientos de continuidad del negocio:
• Estructura de respuesta a incidentes
• Advertencia y comunicaciones
• Planes de BC• Recuperación
Estrategia de continuidad del negocio:
• Prioridades• Recursos• Protección y
mitigación
HACER
Monitoreo de mediciones, análisis, evaluación, auditoría interna, revisión de la gerenciaVERIFICAR
Medidas para abordar no conformidades, mejora continuaACTUAR
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 4 – Contexto de la organización
Consideración del contexto interno y externo
Necesidades, requerimientos y alcance
Apetito del riesgo, requerimientos legales y regulatorios
Igualmente importantes son las inclusiones / exclusiones
Comunicación clara del alcance a partes internas y externas
PwC
SGCN
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 5 – Liderazgo
Resumen de los requerimientos específicos del rol de la alta gerencia
Establecimiento de política
Nuevos requerimientos para demostrar compromiso
Designación de responsable del SGCN
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 6 – Planeación
Establecer objetivos estratégicos
Determinar responsables para el cumplimiento de objetivos
Determinar riesgos y oportunidades
Tareas a realizar y tiempos
Como se evaluarán los resultados
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 7 – Soporte
Mayor énfasis en concientización
Mayor énfasis en comunicación
Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 8 – Operación
Requerimientos extendidos en estructura de respuesta a incidentes
Planes de continuidad del negocio con énfasis en procedimientos de continuidad
Recuperación como un requerimiento totalmente nuevo
No requiere que el programa de ejercicios aprobado, considera válido al programa de ejercicios en casos reales de operación en continuidad
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 9 – Evaluación del desempeño
Monitoreo, medición, análisis y evaluación
Auditoría interna
Revisión de la gerencia
Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Cláusula 10 – Mejora
Se combinan las cláusulas de acciones correctivas y preventivas en una sola
Mantener la eficacia del Sistema de Gestión de la Continuidad del Negocio
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Fuente de imagen: Secure Information Technologies, 2013
27001
PAS56BS25999-1
BCMS
Sistema de Gestión de
Continuidad del Negocio
27031
22301** Antes BS 25999-2
Principales diferencias con otras mejores prácticas:
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Fuente de imagen: Secure Information Technologies, 2013
Ciclo de Vida de GCN/BCM SGCN/BCMS
Método tradicional Método con sistema de gestión
Principales diferencias con otras mejores prácticas:
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Principales diferenciascon otras mejoresprácticas:
Fuente de imagen:Secure Information Technologies, 2013
Capacitación
Análisis
de
riesgos
Análisis de
Impacto al
Negocio
Estrategia de
recuperación
BCP
Prueba
Políticas
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Fuente de imagen:Secure Information Technologies, 2013
PwC
ISO 22301 – Sistema de Gestión de Continuidad del Negocio
Pasos para lograr una Certificación en tu empresa:
Seleccionar estándar
Establecer contacto con bsi.
Conocer al equipo de evaluación
Considerar entrenamiento
Revisión y evaluación
Certificación
PwC
Conclusiones
El contar con un análisis y evaluación de riesgos basado en ISO 31000, utilizando la técnica de “análisis de escenarios” conforme a ISO 31010, permite Gestionar la Continuidad de su empresa bajo los requisitos del estándar ISO 22301.
ALERTA SANITARIA (Influenza en México)
PwC
Conclusiones
Escenario:Epidemia
Estrategia:
Parte del personal laborandoen oficinas
Estrategia:
Parte del personal laborando desde casa comunicándosevía Internet y teléfono
Escenario:Sismo
Estrategia:
Desalojo y concentración en puntos de reunión
Posible Contagio
Escenario:Saturación de líneastelefónicas
Escenario:Perdida de comunicaciones Interrupción de
la continuidaddel negocio
PwC
Consultas:
Participe en nuestros cursos:
Introducción
Implementación
Certificación de Implementador Líder ISO 22301
Transición de la BS 25999 al ISO 22301Auditor Interno
Certificación de Auditor Líder ISO 22301
Conversión del certificado en AL BS 29999 a ISO 22301
Maricarmen García de Ureña
www.maricarmengarcia.com.mx
@besair
@besair
besair_
informacion.msmexico@bsigroup.com
Estándar disponible en:
http://shop.bsigroup.com/
PwC
CONSULTAS
Maricarmen García de Ureñabsi | Instructor
Phone : (55) 5524 8091E-mail :
maricarmen@secureit.com.mx
This publication has been prepared for general guidance on matters of interest only, and does not constitute
professional advice. You should not act upon the information contained in this publication without obtaining
specific professional advice. No representation or warranty (express or implied) is given as to the accuracy
or completeness of the information contained in this publication, and, to the extent permitted by law,
PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any
liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to
act, in reliance on the information contained in this publication or for any decision based on it.
© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers
Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of
which is a separate legal entity. |
top related