Download - Auditoría del SGCN según ISO 22301
![Page 1: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/1.jpg)
![Page 2: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/2.jpg)
Sobre el Expositor
Maricarmen es Socio y Director General de Secure
Information Technologies, instructor, catedrático y especialista
en temas de Seguridad de la Información, Continuidad del
Negocio, gestión de continuidad del negocio y Gestión de
Servicios de Tecnología de Información, Gobierno
Corporativo, y Auditoría de TI. Es Asesor para instituciones
privadas y gubernamentales en México y Latinoamérica.
Instructor del BSI para las normas ISO22301, ISO27001,
ISO31000, ISO27031, ISO27005 e ISO20000. Miembro de
ISACA, ISC2, ALAPSI y ALAS y miembro del consejo editorial
de la revista DRJ en español.
Correo electrónico: [email protected]
Página web: www.secureit.com.mx
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Maricarmen Garcia, CBCP, LA BS25999 e ISO27001
Director GeneralSecure Intormation
Technologies
(México)
![Page 3: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/3.jpg)
Temas a tratar:
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
![Page 4: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/4.jpg)
Temas a tratar:
• El proceso de auditoría de los Sistemas de Gestión y su
aplicabilidad al SGCN
• Actividades del proceso de auditoría
• Competencias requeridas para el equipo de auditorías del SGCN
• No Conformidades
• Elementos de auditoría tradicional y la auditoría del SGCN para
beneficio de la organización
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
![Page 5: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/5.jpg)
El proceso de auditoría de un Sistema de Gestión
y su aplicabilidad a un SGCN
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 6: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/6.jpg)
Pag.6
• Designar al líder le auditoría
• Definir objetivos, alcance y criterios
• Determinar factibilidad
• Seleccionar equipo de auditoría
• Identificar responsables por parte del auditado
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 7: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/7.jpg)
Competencias del auditor
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Conocimiento y entendimiento de la gestión de continuidad del negocio.
• Experiencia y conocimiento en tecnología de información.
• Conocimiento de requerimientos legales y regulatorios relativos a gestiónde continuidad del negocio.
• Habilidades y entrenamiento en gestión de continuidad del negocio.
• Conocimiento de herramientas y software para la gestión de continuidaddel negocio.
• Conocimiento de estándares y mejores prácticas para la gestión decontinuidad del negocio, en específico de ISO 22301.
![Page 8: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/8.jpg)
Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Leyes
• Regulaciones
• Contratos
• Acuerdos de Niveles de servicio
• Estatutos
• Normatividad interna
• Estándares internacionales
• Otras mejores prácticas
![Page 9: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/9.jpg)
Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
ISO 31000IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea IIOCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
CRAMM
MAGERIT
TRA Working Guide
ISO 22301ARMS
UNE 71504
ERM Coso
Leyes
Metodología Interna
Regulaciones
![Page 10: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/10.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisar documentos relevantes asociados con la gestión decontinuidad del negocio, incluyendo registros y su adecuacióncon el criterio de auditoría.
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Revisión de ISO 22301
![Page 11: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/11.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Ejemplos:
• Política de gestión de continuidad del negocio
• Metodología de gestión de continuidad del negocio
• Reportes de análisis y evaluación de riesgos
• BIA
• Estrategias de Continuidad
• Plan de Continuidad y de Gestión de incidentes
• Reportes de pruebas
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 12: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/12.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar plan de auditoría
• Asignar trabajo a miembros del equipo
• Preparar documentos de trabajo
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 13: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/13.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Entendimiento de la organización
• Revisar y evaluar:
• Consideración de aspectos del contexto externo de la organización.
• Consideración de aspectos del contexto interno de la organización
![Page 14: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/14.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Política de gestión de continuidad del negocio (CL. 5.3 ISO 22301)
• Revisar y evaluar (buscar evidencia de conformidad):
5.3 Política:
La alta gerencia deberá establecer una política de continuidad del negocio quea) sea apropiada para el propósito de la organización,b) provea un marco de referencia para establecer objetivos de continuidad del negocio,c) incluya un compromiso para satisfacer requerimientos aplicables,d) incluya un compromiso para la mejora continua del SGCN.La política del SGCN deberá- estar disponible como información documentada- ser comunicada dentro de la organización- estar disponible para las partes interesadas, según sea apropiado,- ser revisada para su continua adecuación en intervalos definidos y cuando ocurran cambios significativos.
![Page 15: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/15.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:
• Integración de la gestión de continuidad del negocio enlas practicas y procesos de la organización,
• Particularmente:
• Desarrollo de políticas.
• Planeación.
• Procesos de gestión de cambios.
![Page 16: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/16.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Mecanismos de comunicación y reporte
• Revisar y evaluar:
• Comunicación de gestión de continuidad del negocio.
• Información disponible en los niveles apropiados de laorganización.
• Procesos de consulta con las partes interesadas.
![Page 17: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/17.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio
• Revisar y evaluar:
• Definición de un tiempo y estrategia adecuados para laimplementación de la gestión de continuidad del negocio
• Aplicación de la política y procesos de gestión de continuidad delnegocio.
• Cumplimiento con requerimientos legales y regulatorios.
![Page 18: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/18.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio(Continuación).
• Revisar y evaluar:
• Toma de decisiones justificada y documentada.
• Resguardo de información.
• Sesiones de entrenamiento.
• Comunicación y consulta con partes interesadas.
![Page 19: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/19.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Monitoreo y revisión
• Revisar y evaluar:
• Establecimiento de medidores de desempeño.
• Medición periódica del proceso.
• Revisión de que tan apropiados son la política, el marcode referencia y el plan de gestión de continuidad delnegocio.
• Reporte de riesgos de BIA
• Revisión de la efectividad.
![Page 20: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/20.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Criterio de riesgo
• Revisar y evaluar si son considerados factores como:
• Naturaleza y tipos de consecuencias.
• Definición de “probabilidad / posibilidad”.
• Líneas de tiempo para probabilidad / posibilidad y/oconsecuencias.
• Como será determinado el nivel de riesgo.
• El nivel en el que el riesgo es aceptable o tolerable.
• Nivel de riesgo que requiere tratamiento.
• Si las combinaciones de riesgos se considerarán.
![Page 21: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/21.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Identificación de riesgos.
• Revisar y evaluar si la organización identifica:
• Fuentes de riesgo.
• Áreas de impacto.
• Eventos y sus causas.
• Consecuencias potenciales.
• Vulnerabilidades
• Amenazas
![Page 22: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/22.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Análisis de riesgos
• Revisar y evaluar si la organización:
• Considera las causas y fuentes del riesgo.
• Consecuencias positivas y negativas.
• Probabilidad / posibilidad de ocurrencia.
• Factores que afectan las consecuencias o la probabilidad /posibilidad.
![Page 23: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/23.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Evaluación de riesgos
• Revisar y evaluar si la organización:
• Compara el nivel de riesgos obtenido en le etapa deanálisis con el criterio establecido.
• Da tratamiento a los riesgos que no cumplen con el(los)criterio(s) de aceptación.
![Page 24: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/24.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Tratamiento de riesgos
• Revisar y evaluar si la organización:
• Selecciona e implementa mecanismos para lamodificación de los riesgos que no cumplen con el criteriode aceptación.
![Page 25: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/25.jpg)
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Registros del proceso
• Revisar y evaluar si la organización:
• Cuenta con mecanismos para el registro de actividades degestión de continuidad y gestión de incidentes.
• Considera estos registros para la mejora del proceso degestión de continuidad del negocio.
![Page 26: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/26.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Reunión de inicio
• Comunicación durante la auditoría
• Roles y responsabilidades
• Recolectar y verificar información
• Documentar hallazgos
• Preparar conclusiones de la auditoría
• Reunión de cierre
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 27: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/27.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar reporte de auditoría
• Aprobación
• Distribución
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 28: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/28.jpg)
Opcionales
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
![Page 29: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/29.jpg)
Técnicas utilizadas y resultados
esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
![Page 30: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/30.jpg)
Técnicas utilizadas
y resultados esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisión documental.
• Entrevista.
• Observación directa.
• Cuestionario.
• Muestreo.
![Page 31: Auditoría del SGCN según ISO 22301](https://reader034.vdocuments.site/reader034/viewer/2022050720/55a89eb21a28ab9e188b48e8/html5/thumbnails/31.jpg)
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García