2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301

Maricarmen García de Ureña

–British Standards Institution

Riesgos Asociados a la Continuidad del Negocio

(Enfoque en ISO 22301)

Costa Rica - 30 de septiembre, 2013

PwC

Indice:

Introducción

La Continuidad del Negocio

La necesidad de gestionar riesgos y operar en Continuidad del Negocio

ISO 22301 – Sistema de Gestión de Continuidad del Negocio

Pasos para lograr una certifiación en Contunuidad del Negocio en tu empresa

Conclusiones

PwC

Introducción

Erupción de Volcán Arenal, Costa Rica -24/05/2010

PwC

Introducción

Terremoto de Cinchona - Costa Rica 08/01/2009

PwC

Introducción

Cabeza de agua inundó 12 viviendas en Alajuelita, Costa Rica 21/09/2013

PwC

Introducción

Antigua estación de trenes de Paraíso de Cártago

Costa Rica 20/09/2013

PwC

Introducción

PwC

Introducción

Fuente de imagen: http://helid.digicollection.org/en/p/printable.html

PwC

Introducción:

Conocer los riesgos a los que nosenfrentamos para saber como

tratarlos…

… ADECUADAMENTE


PwC

La Continuidad del Negocio


PwC

La continuidad del negocio

Resiliencia en las organizaciones y en la sociedad.

“En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”.

Fuente: “Planning for the worst” – CMI Business Continuity Management

Survey, March 2012

PwC

La continuidad del negocio

Beneficios:

Continuidad en la provisión de productos y serviciosfundamentales

Cumplimiento regulatorio, legal y contractual

Disminución en los costos de pólizas de seguros

Diferencia sobre competidores

Cumplimiento con requisitos en licitaciones

Participación en mercados internacionales

PwC

La necesidad de gestionar riesgos y operar en

continuidad del negocio

Fuente de imagen: http://www.cne.go.cr/CEDO-CRID/CEDO-CRID%20v2.0/CEDO/pdf/spa/doc2226/doc2226-contenido.pdf

PwC

La necesidad de gestionar riesgos y operar en continuidad del negocio

Gestión de Riesgos

El estándar ISO 31000, proporciona en forma integra a lasorganizaciones, principios bajo un marco de proceso, destinado agestionar cualquier tipo de riesgo de forma:

Sistemática, Creíble, Transparente

“ISO 31000, ayuda a las organizaciones a desarrollar su propiaestrategia para administrar sus riesgos “.

El estándar ISO 31010, proporciona técnicas sistemáticas de apoyo al implementar el ISO 31ooo

PwC

La necesidad de gestionar riesgos y operar en continuidad del negocio

La Continuidad del Negocio en ISO 22301 y el ISO 31000:

La continuidad del Negocio basada en mejores prácticas internacionalescomo la ISO 22301, puede basarse en ISO 31000.

PwC

ISO 22301 – Seguridad de lasSociedades

“Sistema de Gestión de Continuidaddel Negocio”


PwC


Provee los requerimientos para unSistema de Gestión de la Continuidad delNegocio (SGCN ó BCMS por sus siglas en Inglés)

Basado en una Gestión de Continuidad deNegocio global. (Lo hace compatible con otros

estándares y mejores prácticas ).

Creado en respuesta al fuerte interés en laNorma Británica original, BS 25999-2 yotros estándares regionales

“BS 25999-2 texto original clave para su desarrollo “

BS ISO 22301:2012 -Societal Security. Business

continuity management systems. Requirements.

PwC

ISO 22301 – Sistema de Gestión de Continuidad del Negocio – Seguridad de las sociedades

Puede ser utilizado por organizaciones:

- … de cualquier tamaño.

- … en el sector público y privado.

- … de manufactura o servicio.

- … en cualquier sector de la industria.

Financiero

Mercado de valores

Manufactura

Entretenimiento

Educación

Hospitalario

Retail

Consultoría

Telecomunicaciones

Entre otros

PwC


Adopción del estándar BS 25999 por industria según bsi.

Servicios de TI y Comunicaciones:

39%

Servicios Financieros: 15%

Distribución: 12%

Servicios profesionales:

11%

Servicios: 7%

Generación de energía: 5%

Construcción/ Manufactura: 6%

Otras: 5%

PwC


PwC


Componentes:

Partes interesadas – Asuntos externos – Requerimientos legales y regulatorios

Compromiso de la gerencia, asuntos internos, partes interesadas, alcancel del SGCN políticas y objetivos de continuidad del negocio, riesgo organizacional, recursos, responsabilidades y

autoridades, competencias, concientización, comunicación, información documentadaPLANEAR

• Análisis del Impacto al Negocio

• Evaluación de riesgos

• Tratamientos

Ejercicios y Pruebas:

•Metas y objetivos•Minimizar riesgo•Reporte y acciones

Procedimientos de continuidad del negocio:

• Estructura de respuesta a incidentes

• Advertencia y comunicaciones

• Planes de BC• Recuperación

Estrategia de continuidad del negocio:

• Prioridades• Recursos• Protección y

mitigación

HACER

Monitoreo de mediciones, análisis, evaluación, auditoría interna, revisión de la gerenciaVERIFICAR

Medidas para abordar no conformidades, mejora continuaACTUAR

PwC


Cláusula 4 – Contexto de la organización

Consideración del contexto interno y externo

Necesidades, requerimientos y alcance

Apetito del riesgo, requerimientos legales y regulatorios

Igualmente importantes son las inclusiones / exclusiones

Comunicación clara del alcance a partes internas y externas

PwC

SGCN


Cláusula 5 – Liderazgo

Resumen de los requerimientos específicos del rol de la alta gerencia

Establecimiento de política

Nuevos requerimientos para demostrar compromiso

Designación de responsable del SGCN

PwC


Cláusula 6 – Planeación

Establecer objetivos estratégicos

Determinar responsables para el cumplimiento de objetivos

Determinar riesgos y oportunidades

Tareas a realizar y tiempos

Como se evaluarán los resultados

PwC


Cláusula 7 – Soporte

Mayor énfasis en concientización

Mayor énfasis en comunicación

Mas específico en requerimientos de control documental, sin embargo, mas abierto en documentos mínimos

PwC


Cláusula 8 – Operación

Requerimientos extendidos en estructura de respuesta a incidentes

Planes de continuidad del negocio con énfasis en procedimientos de continuidad

Recuperación como un requerimiento totalmente nuevo

No requiere que el programa de ejercicios aprobado, considera válido al programa de ejercicios en casos reales de operación en continuidad

PwC


Cláusula 9 – Evaluación del desempeño

Monitoreo, medición, análisis y evaluación

Auditoría interna

Revisión de la gerencia

Comunicar los resultados de la revisión de la gerencia a partes interesadas relevantes

PwC


Cláusula 10 – Mejora

Se combinan las cláusulas de acciones correctivas y preventivas en una sola

Mantener la eficacia del Sistema de Gestión de la Continuidad del Negocio

PwC


Fuente de imagen: Secure Information Technologies, 2013

27001

PAS56BS25999-1

BCMS

Sistema de Gestión de

Continuidad del Negocio

27031

22301** Antes BS 25999-2

Principales diferencias con otras mejores prácticas:

PwC


Fuente de imagen: Secure Information Technologies, 2013

Ciclo de Vida de GCN/BCM SGCN/BCMS

Método tradicional Método con sistema de gestión

Principales diferencias con otras mejores prácticas:

PwC


Principales diferenciascon otras mejoresprácticas:

Fuente de imagen:Secure Information Technologies, 2013

Capacitación

Análisis

de

riesgos

Análisis de

Impacto al

Negocio

Estrategia de

recuperación

BCP

Prueba

Políticas

PwC


Fuente de imagen:Secure Information Technologies, 2013

PwC


Pasos para lograr una Certificación en tu empresa:

Seleccionar estándar

Establecer contacto con bsi.

Conocer al equipo de evaluación

Considerar entrenamiento

Revisión y evaluación

Certificación

PwC

Conclusiones


PwC

Conclusiones

El contar con un análisis y evaluación de riesgos basado en ISO 31000, utilizando la técnica de “análisis de escenarios” conforme a ISO 31010, permite Gestionar la Continuidad de su empresa bajo los requisitos del estándar ISO 22301.

ALERTA SANITARIA (Influenza en México)

PwC

Conclusiones

ALERTA SANITARIA (INFLUENZA)+

SISMO 5.7 GRADOS

PwC

Conclusiones

Escenario:Epidemia

Estrategia:

Parte del personal laborandoen oficinas

Estrategia:

Parte del personal laborando desde casa comunicándosevía Internet y teléfono

Escenario:Sismo

Estrategia:

Desalojo y concentración en puntos de reunión

Posible Contagio

Escenario:Saturación de líneastelefónicas

Escenario:Perdida de comunicaciones Interrupción de

la continuidaddel negocio

PwC

Consultas:

Participe en nuestros cursos:

Introducción

Implementación

Certificación de Implementador Líder ISO 22301

Transición de la BS 25999 al ISO 22301Auditor Interno

Certificación de Auditor Líder ISO 22301

Conversión del certificado en AL BS 29999 a ISO 22301

Maricarmen García de Ureña

www.maricarmengarcia.com.mx

@besair

@besair

besair_

[email protected]

Estándar disponible en:

http://shop.bsigroup.com/

PwC

Gracias

PwC

CONSULTAS

Maricarmen García de Ureñabsi | Instructor

Phone : (55) 5524 8091E-mail :

[email protected]

This publication has been prepared for general guidance on matters of interest only, and does not constitute

professional advice. You should not act upon the information contained in this publication without obtaining

specific professional advice. No representation or warranty (express or implied) is given as to the accuracy

or completeness of the information contained in this publication, and, to the extent permitted by law,

PricewaterhouseCoopers Consultores, its members, employees and agents do not accept or assume any

liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to

act, in reliance on the information contained in this publication or for any decision based on it.

© 2012 PwC Costa Rica. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers

Consultores which is a member firm of PricewaterhouseCoopers International Limited, each member firm of

which is a separate legal entity. |