Beruflich Dokumente
Kultur Dokumente
Cuenta: 312111326
Cuenta: 30841616
Cuenta: 30911497
Cuenta: 32211192
Cuenta: 30751471
Fecha: 15/10/2015
1
ndice
Contenido
Introduccin.......................................................................................................... 4
Objetivos Generales............................................................................................... 5
Objetivos Especficos.............................................................................................. 5
Naturaleza del ISO 22301:2012................................................................................ 6
Documentacin Requerida Por El ISO 22301:2012.....................................................9
Transicin De BS 25999-2:2007 a ISO 22301-2012....................................................9
Principales Adiciones Al ISO 22301-2012.................................................................10
Implantacin del ISO 22301:2012...........................................................................13
Beneficios de la Certificacin ISO 22301: 2012.........................................................14
El Ingreso y Uso de ISO 22301 como marco para BCM.............................................14
Cmo las herramientas en lnea estn revolucionando la implementacin de ISO 27001 e
ISO 22301........................................................................................................... 15
Lista de documentacin obligatoria para ISO 22301..................................................19
Determinacin del contexto de la organizacin (4.1)...............................................20
Procedimiento para identificacin de requerimientos legales y normativos aplicables y
Lista de requisitos legales, normativos y de otra ndole (4.2.2).................................20
Alcance del SGCN y explicacin de las exclusiones (4.3)........................................20
Poltica y objetivos de la continuidad del negocio (5.3, 6.2).....................................21
Plan de capacitacin y concienciacin; competencias del personal (7.2, 7.3).............21
Comunicacin con las partes interesadas (7.4)......................................................21
Procedimiento para control de informacin documentada (7.5)................................21
Contratos y acuerdos de niveles de servicio (8.1)..................................................22
Proceso para anlisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2).........22
Proceso para evaluacin de riesgos y sus resultados (8.2.1, 8.2.3)..........................22
Estrategia de la continuidad del negocio (8.3).......................................................22
Mitigacin de riesgos y plan de implementacin para el logro de los objetivos de
continuidad de negocio (6.2, 8.3.3)......................................................................22
Procedimientos para continuidad del negocio (8.4.1)..............................................23
Procedimientos de respuesta ante incidentes y registros sobre un incidente (8.4.2,
8.4.3).............................................................................................................. 23
Procedimientos de comunicacin (8.4.2, 8.4.3)......................................................23
Procedimientos para respuesta ante incidentes disruptivos (8.4.4)...........................23
Escenario de la Situacin.
.29
Conclusiones....................................................................................................... 42
Anexos....
.43
Bibliografa.......................................................................................................... 60
Introduccin
El Sistema de Gestin de la Continuidad del Negocio (SGCN) se ha convertido en
una exigencia para las empresas que compiten el da de hoy en los mercados
globalizados. La tendencia mundial es que ya las empresas no compitan entre s:
la competencia es entre cadenas de suministros. Una cadena de suministros, para
mantenerse operando, no puede tener ningn eslabn dbil; ninguno de sus
componentes puede dejar de operar ya que si un elemento del todo dejara de
funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema
tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en
cada empresa un SGCN que proteja a los procesos esenciales que permiten
originar los productos o servicios que desea el cliente. Qu es un SGCN? Es
parte del sistema de gestin gerencial que establece, implementa, opera, evala,
mantiene y mejora la continuidad del negocio. Un SGCN da confianza a terceros
ya que ha identificado los procesos esenciales que soportan a los productos o
servicios que se desean proteger de escenarios de amenazas producto del
anlisis del riesgo (Alexander, 2007). Cada escenario de amenazas tiene una
estrategia de continuidad que se materializa a travs de planes de reanudacin de
operaciones que son ensayados regularmente. Una empresa con un SGCN
ensayado peridicamente es muy difcil que deje de operar y no pueda suministrar
sus productos o servicios.
Objetivos Generales
Al finalizar la lectura de esta investigacin podr conocer los estndares que estn
dentro de la norma internacional ISO 22301:2012 que proporciona a las empresas
y todo tipo de organizaciones soluciones y prcticas para asegurar la marcha del
negocio ante posibles contingencias.
Objetivos Especficos
Usted podr implementar las normar descritas en el documento para una mejor
direccin de su empresa.
public el lineamiento ISO/ IEC 27031, el cual describe los conceptos y principios
de tecnologa de informacin y comunicacin (ICT) para preparar a una
organizacin para la continuidad del negocio.
Es aplicable a todo tipo de empresa. Finalmente, en el ao 2012, la Organizacin
Internacional para la Normalizacin (ISO) public el estndar Seguridad de la
Sociedad: Sistemas de Continuidad del Negocio-Requisitos. Este estndar
certificable y auditable capta los principales conceptos de los dems lineamientos
publicados desde 1995.
El estndar ISO 22301:2012 Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en
ingls) para la planificacin, establecimiento, implementacin, operacin,
monitoreo, revisin, mantenimiento y la mejora continua de su efectividad. El
modelo ha sido creado con consistencia con otros estndares de gestin, tales
como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con
el ISO 28000:2007.
apreciar los principales requerimientos de esta seccin. Esta fase comprende los
requerimientos de la seccin 9 de la norma. Finalmente, se tiene la fase de
mantenimiento y mejora, representando a la fase Act, la cual engloba todos los
requerimientos de la clusula 10 de la norma.
Clausula 5: Liderazgo
Esta clusula hace un buen resumen de las exigencias a la alta gerencia de la
empresa, en relacin a su rol en el SGCN. Hay nuevos requerimientos para la alta
gerencia, tales como:
Clausula 6: Planeacin
Esta clusula requiere que la organizacin claramente defina los objetivos de
continuidad del negocio y desarrolle proyectos para alcanzarlos. Estos objetivos
10
Clausula 7: Soporte
11
Clausula 8: Operacin
Clusula 8.1
Clusula 8.2.2
Clusula 8.2.3
Clusula 8.4.2
Clusula 8.4.5
13
14
15
Por ltimo, puede ser una opcin frustrante por no saber qu hacer despus, o
incluso dnde comenzar, y por nunca estar seguro si la documentacin es la
correcta. Y hacer todo sin ayuda en todo momento.
2. Contratacin De Un Consultor
Contratar un especialista, con experiencia en implementacin de ISO 27001 e ISO
22301, ayudar a que el trabajo se termine. Sin embargo, los consultores no
trabajan gratis, lo que transforma esta opcin en una alternativa cara.
Y con el incremento de las nuevas herramientas en lnea que han disminuido
drsticamente el costo de implementacin (principalmente evitando la necesidad
de consultores), la ecuacin costo-beneficio empieza a ser menos atractiva. Los
problemas con esta opcin son los siguientes:
16
Plantillas listas para usar: el acceso a todas las plantillas necesarias para la
implementacin de ISO 27001 y/o ISO 22301 es una gran ventaja. Los
servicios en lnea deberan proporcionar plantillas casi completas (adems
de ofrecer, al mismo tiempo, la flexibilidad de adaptarlas a las necesidades
especficas de la empresa).
Comunidad de soporte: durante un proyecto de implementacin es muy til
poder comunicarse con especialistas, pero tambin con otras personas que
se encuentran en su misma situacin. Las buenas herramientas en lnea
deberan permitir conversaciones con especialistas reales, pero tambin
con colegas o pares, para compartir ideas y conseguir ayuda vital.
Herramientas adicionales: adems del asesoramiento, de las plantillas de
documentacin y del servicio de soporte, los mejores sitios tambin
deberan ofrecer otras herramientas tiles para ayudar a tomar decisiones.
Por ejemplo, herramientas que ayuden a determinar especficamente qu
se necesita para la implementacin, qu documentos e informacin
necesarios hacen falta y cunto puede demorar el proyecto
El camino que tome para la implementacin de ISO 27001 e ISO 22301 depende
exclusivamente de su situacin especfica. Por eso, para ayudarle a decidir cul es
el mejor enfoque para usted, le presentamos a continuacin una gua rpida con
las distintas opciones:
Contratar un consultor:
4.1
4.2.2
4.2.2
4.3
5.3
6.2
7.2
7.4
19
interesadas
Proceso para anlisis de impactos en
el negocio y evaluacin de riesgos
Resultados del anlisis del impacto
en el negocio
Resultados de la evaluacin de
riesgos
Procedimientos de la continuidad del
negocio
Procedimientos de respuesta a
incidentes
Decisin sobre si los riesgos e
impactos se deben comunicar
externamente
Comunicacin con las partes
interesadas, incluido el sistema
Procedimientos para restaurar y
reiniciar actividades a partir de las
medidas temporales
Resultados de las acciones que
abordan tendencias o resultados
adversos
Datos y resultados de seguimiento y
medicin
Resultados de la revisin posterior al
incidente
Resultados de la auditora interna
Resultados de la revisin por parte
de la direccin
Naturaleza de las no conformidades
y acciones tomadas
Resultados de acciones correctivas
8.2.1
8.2.2
8.2.3
8.4.1
8.4.2
8.4.2
8.4.3
8.4.5
9.1.1
9.1.1
9.1.2
9.2
9.3
10.1
10.1
20
los empleados debera ser quien realice este trabajo. Bsicamente, sera
suficiente una carpeta en la que se encuentren todos los documentos.
Comunicacin con las partes interesadas (7.4)
Este tipo de comunicacin se hace de diferentes formas: correo electrnico, correo
postal, por telfono, etc.
Documentar este tipo de comunicacin es bastante sencillo, solo tiene que
guardar copias de estos mensajes de correo electrnico, cartas, documentos, etc.
en algn tipo de un archivo. Si la comunicacin se realiza a travs del telfono, se
debe hacer y archivar una nota de acuerdo a reglas predefinidas.
Procedimiento para control de informacin documentada (7.5)
En general, este es un procedimiento independiente, de 2 o 3 pginas de
extensin. Si usted ya implement alguna otra norma como ISO 9001, ISO 14001,
ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos
sistemas de gestin. A veces es mejor redactar este procedimiento como el primer
documento de un proyecto.
Contratos y acuerdos de niveles de servicio (8.1)
Es crucial que sus proveedores y socios externos reaccionen de la manera
esperada cuando ocurre un incidente; por eso es conveniente confeccionar una
plantilla con los requerimientos mnimos de continuidad del negocio que debera
incluirse en cada uno de los contratos que firme con ellos.
Proceso para anlisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2)
Antes de empezar a hacer su anlisis de impactos en el negocio (AIN), es
necesario que defina las reglas sobre cmo hacerlo; esto, generalmente, se lleva a
cabo con la metodologa de anlisis de impactos en el negocio. Dicha metodologa
debe ser redactada en 4 o 5 pginas, debe ser lo suficientemente breve como
para que se pueda leer fcilmente, pero no demasiado corta como para que
termine siendo imprecisa.
La recopilacin de datos para dicho anlisis se realiza a travs de los
cuestionarios de AIN, que pueden ser en un formato sencillo de Excel o tambin
se puede usar alguna herramienta GCN.
Los resultados del proceso de AIN son documentados en el Informe de anlisis de
impactos en el negocio (para las grandes empresas) o puede ser incluidos en la
Estrategia de continuidad del negocio (esta es la versin ms corta, ms aplicable
en organizaciones pequeas y medianas).
Proceso para evaluacin de riesgos y sus resultados (8.2.1, 8.2.3)
22
23
Un plan de respuesta ante incidentes debe definir la forma de registrar los hechos
del incidente; puede ser algo sencillo, como notas manuscritas en el plan junto a
cada paso que se ejecuta.
Procedimientos de comunicacin (8.4.2, 8.4.3)
Estos procedimientos deben incluir las decisiones relacionadas con si los impactos
y riesgos deben ser comunicados externamente y con cmo realizar la
comunicacin con las partes interesadas, particularmente con el sistema nacional
o regional de asesoramiento de riesgos (por ejemplo, los tsunamis). Para las
pequeas y medianas empresas, estos procedimientos formarn parte del plan de
respuesta ante los incidentes, mientras que en las grandes empresas sern
documentos separados.
El punto principal aqu es definir claramente quin es responsable de comunicarse
con quin, especialmente quin est autorizado a comunicarse con los medios
pblicos y con las autoridades. Tambin se pueden desarrollar plantillas para
enviar informacin a los medios de comunicacin, que le ayudarn a emitir
comunicados de prensa rpidamente en caso que sea necesario.
24
25
El mejor mtodo sera crear un formulario con todos los datos necesarios que se
deben tener en cuenta despus de que ha ocurrido un incidente. Cuando se
completa este formulario y se realizan las conclusiones correspondientes (si los
planes de continuidad del negocio funcionaron bien o no), se debe guardar el
formulario durante un perodo de tiempo especificado.
Procedimiento, programa y resultados de auditora interna (9.2)
Habitualmente el procedimiento para auditora interna es un procedimiento
independiente que puede tener entre 2 y 3 pginas y que debe ser confeccionado
antes de que comience la auditora interna. En cuanto al procedimiento para
control de documentos, un procedimiento para auditora interna puede ser utilizado
para cualquier sistema de gestin.
Un programa de auditora interna podra ser un simple documento de una pgina
que describa cundo se llevar a cabo cada auditora y quin la realizar.
Los resultados de la auditora interna se documentan a travs del informe de
auditora interna; este informe debe incluir todas las no conformidades y las
observaciones.
26
OPERATIVA DE
27
Aade que la norma tambin puede ser utilizada dentro de una organizacin para
evaluar las buenas prcticas, as como para los auditores que deseen informar a
la gerencia.
ISO 22301 ayudar a las organizaciones en el diseo de un Sistema de Gestin
de Continuidad de las Empresas u Organizaciones (BCMS) que sea apropiado
para sus necesidades y cumpla con los requisitos de los grupos de inters.
Estas necesidades estn determinadas por factores legales, reglamentarios,
organizativos, de la industria y de los productos; adems de los servicios, el
tamao, la estructura, los procesos y los grupos de inters de cada organizacin.
Por su parte, David Austin, lder del proyecto el responsable de redactar la
norma ISO 22301, explica que para que la norma ISO 22301 funcione
adecuadamente, es necesario que las organizaciones hayan entendido
completamente los requerimientos de la misma.
En lugar de ser simplemente un proyecto o el desarrollo de un plan, la gestin
para la continuidad de una empresa es un proceso de gestin continuo que
requiere de personas competentes que trabajen en el desarrollo de estructuras y
soportes adecuados cuando estos sean necesarios. Enfatiza
Adems indica que la norma ISO 22301 es la primera que se publica de acuerdo
con el nuevo formato ISO para la escritura de normas de sistemas de gestin.
Esto facilitar la comprensin y garantizar la coherencia con otros sistemas de
gestin, tales como ISO 9001 (gestin de calidad), ISO 14001 (gestin
medioambiental) e ISO / IEC 27001 (gestin de seguridad de la informacin).
ISO 22301 puede ser utilizada con propsitos de certificacin, as como para
la autoevaluacin. Adems incluye un apartado breve y conciso que describe los
elementos centrales de la gestin para la continuidad de las empresas que
permitir a los usuarios sacar el mximo provecho de la norma.
28
Escenario de la Situacin
1.
2.
3.
4.
5.
29
El impacto en las partes interesadas requiere que las Empresas sean proactivas
para afrontar los incidentes e interrupciones del negocio, con el fin de evitar la
paralizacin de servicios y proceso clave de negocio, y que, en el caso de que se
generen, existan mecanismos internos para restaurar los productos y procesos a
la mayor rapidez en funcin de lo dependiente que sean de ellos.
30
31
32
No nos va a pasar
Le haremos frente, siempre lo hacemos
Somos demasiado grandes para quebrar
No somos un objetivo terrorista
La compaa de seguros pagar todo
No tenemos tiempo suficiente para prepararnos para algo que nunca va a
ocurrir
Ahora bien, la definicin de la continuidad del negocio es: proceso de gestin
holstico que identifica las amenazas potenciales de una organizacin y los
impactos que pueden causar en las operaciones de negocio si esas amenazas se
materializan, adems de proporcionar un marco de trabajo para construir una
empresa ms resistente con capacidad de respuesta efectiva y proteger los
intereses de las partes interesadas, su reputacin, imagen de marca y actividades
de valor aadido. El BCMS es ms que una gestin de crisis o emergencias y se
inicia con la identificacin de actividades crticas y un anlisis de impactos en el
negocio.
La continuidad del negocio tiene un ciclo de vida conformado por las siguientes
etapas:
34
Siguiendo la nueva estructura de la Gua ISO 83, la norma ISO 22301 est
organizada en las siguientes clusulas principales:
35
36
tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las
necesidades de la empresa, los objetivos de la continuidad del negocio deben:
38
CAPITULO 10 MEJORA
La mejora continua puede ser definida como todas las acciones realizadas a lo
largo de los procesos planeados para incrementar la eficacia (cumplimiento de
objetivos) y la eficiencia (proporcin costo/beneficio optima) de los procesos,
controles de seguridad para brindar ms beneficios a la organizacin y a las partes
interesadas. La Empresa, puede mejorar continuamente la eficacia de su sistema
de gestin a travs del uso de la poltica de continuidad del negocio, los objetivos,
los resultados de las auditorias, el anlisis de eventos controlados, los KPI de
desempeo, las acciones correctivas y preventivas y la revisin por la direccin.
41
Conclusiones
42
Anexos
ISO 22301: consejos prcticos
La preocupacin por la continuidad del negocio es sin duda uno de
los puntos principales en las iniciativas estratgicas de las empresas del
sector de las tecnologas de la Informacin, que valoran ms que nadie,
los gravsimos inconvenientes, tanto econmicos como empresariales
que se podran causar debido a un tiempo de inactividad.
En este artculo se resumen algunas de las mejores recomendaciones
publicadas por SYMANTEC sobre polticas de continuidad del Negocio,
para tener en cuenta a la hora de implementar un sistema de
Continuidad del negocio.
Segn SYMANTEC, los principales puntos que debemos proteger con un
Sistema de Continuidad del Negocio son:
43
LOS RIESGOS
Uno de los captulos que no se nos debe pasar por alto, son los estudios
de las posibles amenazas de ataques cibernticos maliciosos, desastres
naturales y por su puesto lo errores humanos. Esto nos hace pensar,
que en las organizaciones deben pertrechar de sistemas que las
mantengan siempre alerta, sobre cmo estas amenazas podran afectar
a su infraestructura, aplicaciones, datos esenciales y disponibilidad de la
Informacin.
Estas son algunas de las mejores prcticas a tener en cuenta en el
diseo
e
implementacin
de
una
continuidad
del
negocio:
1.- AUTOMATIZAR
En los tiempos que corren no podemos seguir dependiendo de un
manual donde tengamos que consultar los procesos humanos y
tecnolgicos para recuperarse de los cortes y restaurar el acceso a los
datos y aplicaciones.
La experiencia de recuperacin ante desastres naturales ocurridos en la ltima
dcada, impone a las empresas el implantar sistemas automatizados de
recuperacin, incluso para las organizaciones que se hayan planeado para la
recuperacin disponer de centros de datos a distancia. Otro motivo para ello es la
disponibilidad del personal que tiene que realizar las tareas de recuperacin. En
situaciones de desastres naturales, es comn que el personal no llegue a tiempo a
los centros de recuperacin, bien por quedar atrapada en los atascos o por la
indisponibilidad de trasporte pblico etc...
2.- LAS MAQUINAS VIRTUALES FALLAN
Debemos hacer frente a la posibilidad de que las mquinas virtuales, por
mucho nivel de proteccin que queramos tener, pueden estar sujetas a
fallos e indisponibilidades. Es por ello que nuestro plan de continuidad
debe de ser un plan mixto, donde se contemple la copia de seguridad de
nuestros servidores virtuales.
3.- LA IMPORTANCIA DE LAS PRUEBAS
Un buen plan de continuidad, sin duda ser imperfecto si no realizamos
pruebas de su funcionamiento. Las pruebas son tanto o ms importantes
que tener un buen plan de comunidad. Este factor, es uno de los ms
crticos a la hora de enfrentarnos a un sistema que realmente responda
cuando lo necesitemos. Las pruebas adems de ser planificadas con
periodicidades adecuadas, deben contemplar aspectos de fiabilidad en
44
46
Prcticas de Gestin
1. Poltica y Gestin de Programas
Es el inicio del ciclo de vida del BCM y se trata de la prctica profesional que
define la poltica de la organizacin y la forma en que la poltica se llevar a cabo,
controladas y validadas a travs de un programa de BCM.
La poltica BC incluye: La definicin de BC para la organizacin y del mbito de
aplicacin del BCM, asignar roles y responsabilidades de BC; un framework para
la gestin del BCM; un conjunto de principios, directrices y estndares mnimos;
una definicin clara de presupuesto, auditora y responsabilidades de gobernanza.
Prcticas Tcnicas
3. Anlisis
Es la prctica profesional dentro del ciclo de vida de BCM que revisa y evala una
organizacin en trminos de cules son sus objetivos, su funcionamiento y las
limitaciones del entorno en el que opera.
La informacin recogida permite determinar la mejor manera de preparar una
organizacin para ser capaz de manejar las interrupciones que de otro modo
podran seriamente o fatalmente daarlo.
La principal tcnica utilizada para el anlisis de una organizacin para la
continuidad del negocio (BC) fines es el anlisis del impacto del negocio (BIA). A
nivel estratgico, puede hacer preguntas a la Alta Direccin que se refieren a la
misin de la organizacin, sus objetivos, los objetivos y las prioridades. Tambin
se pueden utilizar los niveles tctico y operacional para profundizar e identificar
informacin ms detallada.
47
4. Diseo
Es la prctica profesional dentro del ciclo de vida de BCM que identifica y
selecciona las estrategias y tcticas para determinar la continuidad y recuperacin
de las prdidas que se lograrn. La informacin obtenida de la etapa de anlisis y
decisiones tomadas en la etapa de Polticas y Gestin de Programas se utilizan
para disear soluciones en las siguientes tres reas:
Continuidad y estrategias de recuperacin y tcticas
El propsito de disear estrategias de recuperacin y tcticas es fijar plazos para
la recuperacin e identificar los medios para que estos objetivos sean alcanzados.
Esto puede llevarse a cabo en tres niveles de organizacin:
Estratgico - productos y servicios;
Tctica - Infraestructura de proceso y;
Operacional - actividades que ofrecen los productos y servicios.
48
5. Implementacin
Es la prctica profesional dentro del ciclo de vida del BCM que ejecuta las
estrategias acordadas y tcticas a travs del proceso de elaboracin del Plan de
Continuidad de Negocios (BCP).
El objetivo es identificar y documentar las prioridades, procedimientos,
responsabilidades y recursos para ayudar a la organizacin en la gestin de un
incidente perturbador, mientras que la aplicacin de estrategias de continuidad y
recuperacin a un nivel predeterminado de servicio.
Los requisitos fundamentales para una respuesta eficaz por parte de la
organizacin son los siguientes:
La capacidad de reconocer y evaluar las amenazas existentes y potenciales
cuando se producen y para determinar una respuesta adecuada;
Un procedimiento claro y entendido por la activacin, la escalada y la estructura
de respuesta a incidentes;
Contar con el personal responsable y la capacidad para poner en prctica las
estrategias de continuidad acordada (u objetivos) tal como se definen en los
planes de la organizacin
Seguir y recuperar las actividades interrumpidas;
La capacidad de comunicarse de manera efectiva con las partes interesadas
internas y externas.
Los resultados se pueden lograr por varios mtodos y tcnicas, y es importante
que sea adecuado para las necesidades de la organizacin. Las acciones
descritas en los planes no estn destinadas a cubrir todas las eventualidades que,
por su naturaleza, todos los incidentes son diferentes. Los procedimientos pueden
ser necesarios adaptar el evento especfico que se ha producido y las
oportunidades que pueda haber creado.
6. Validacin
Es la prctica profesional dentro del ciclo de vida de BCM que confirma que el
Programa de BCM responde a los objetivos establecidos en la Poltica de BC y
que el BCP de la organizacin es apto para el propsito.
49
Hacer ejercicio:
Un programa de ejercicio planificado es necesario para asegurar que todos los
aspectos de la respuesta a un incidente que se han ejercido. En particular: toda la
informacin en los planes se verifica; todos los planes se ensayan, y todo el
personal pertinente (incluyendo diputados) se ejercen.
La capacidad de una organizacin no puede ser considerada fiable hasta que se
haya ejercido. No importa lo bien diseado una estrategia BC o Plan de
Continuidad de Negocios (BCP), parece ser, los ejercicios fuertes y realistas que
identificar problemas y supuestos que requieren atencin.
Para tener xito un programa de ejercicio debe empezar sencillamente y escalar
gradualmente en trminos de complejidad y desafo
Mantenimiento:
Mantiene acuerdos de la organizacin hasta la fecha, permite asegurar que la
organizacin est preparada para responder a gestionar eficazmente los
incidentes, a pesar del cambio constante.
Una parte importante del ciclo de vida de BCM es la gestin de la documentacin,
y el mantenimiento del programa de BCM se asegura de que esta documentacin
se mantiene actualizada y que la documentacin actual y relevante es distribuido a
las partes interesadas pertinentes.
Revisar:
El objetivo de revisar es evaluar el programa de BCM e identificar las mejoras que
tanto la ejecucin de la organizacin del ciclo de vida del BCM y el nivel de
resilencia organizacional.
Hay cinco tipos bsicos de opinin:
o Auditora (interna y externa) - un proceso formal de revisin que mide
programa BCM frente a un estndar acordado previamente;
o Auto-evaluacin - una evaluacin del programa de BCM a s misma;
50
51
Plan
53
54
55
La ISO/IEC 22301 junto con la Gua de Buenas Prcticas del BCI provee
aspectos y requisitos que todo SGCN debe cumplir:
Definir Polticas de Continuidad de Negocio La Alta Direccin establece,
valida, aprueba y se compromete con la poltica del BCM, logrando hacer
referencia a los objetivos y al alcance (incluyendo limitaciones) del SGCN
dentro de la organizacin. Una vez establecida, es necesario que se
informe dichas polticas a todo el personal de la organizacin, para lograr
as llevar un control de ellas ante cambios relevantes cada cierto periodo de
tiempo.
57
II.
III.
IV.
V.
VII.
60
Bibliografa
Alberto, A. (2007). Diseo y Gestin de un Sistema de Gestin de. Colombia:
Alfa.
http://www.bsigroup.com/. (s.f.).
http://www.gestion.com.do. (s.f.). ISO 22301.
https://www.youtube.com. (s.f.).
Security, S. (s.f.). ISO 22301 . Business Continuity Management.
Sharp, J. (s.f.). The Route Map to Business Continuity management. United
Kingdom: British Standards Institute.
http://normaiso22301.com/los-7-mejores-consejos-para-implantar-lacontinuidad-del-negocio/
https://qsmexikoblog.wordpress.com/2012/06/06/iso22301/
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/5110/CASTRO
_LAURA_DISE
%C3%91O_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_I
EC_22301.pdf?sequence=1
http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-dela.html
61