El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
1. Auditando un Sistema de Gestión de
Continuidad del Negocio (SGCN), bajo
Título
de
la
Presentación
el enfoque de ISO 22301
Expositor: Maricarmen García de Ureña
2. Sobre Maricarmen
Maricarmen García de Ureña, es socio fundador
de la firma de consultoría Secure Information
Technologies, es empresaria, catedrático y
consultor especialista en temas de Gestión de
Riesgos, Continuidad del Negocio, Seguridad de
la Información y Servicios de Tecnología de
Información, así como auditora especialista en
control de TI. Es instructor oficial del BSI (British
Standards Institucion).
E-mail: maricarmen.garcia@secureit.com.mx
www.secureit.com.mx
México
Maricarmen García
de Ureña
Director General
Secure Information
Technologies
Instructor certificado
de bsi
CBCP, ISO 22301 LA,
ISO 27001 LA,
3. Agenda
1. Introducción
2. Beneficios del SGCN (BCMS).
3. Proceso de auditoría
4. Auditorías de GCN vs Auditorías de SGCN
5. Deberes de los auditores de SGCN
6. Responsabilidad de la Alta Direción en las
auditorías de SGCN
7. Resumen y conclusiones
8. Preguntas
4. 1. Introducción
¿Qué amenaza es la que más te preocupa?
Piensa en aquella que actualmente no te
permita conciliar tus sueños
RESPUESTAS:
5. 1. Introducción
Algunas Respuestas:
Nada me quita el sueño, en mi empresa todo
funciona bien, nada no nos va a pasar jamás
No estar preparado ante ataques cibernéticos
El que nuestros competidores demuestren estar
mejor preparados que nosotros.
No saber como enfrentar un desastre natural
No haberme preparado aún para un cataclismo
6. 2. Beneficios de un SGCN
• Asegura el cumplimiento con los requisitos
legales y regulatorios
• Due care
• Due dilligence
• Desempeño robusto de la GCN
• Resiliencia organizacional (GI + GCN)
7. 3. Proceso de auditoría
• Estándares de auditoría de SGCN
– ISO 19011
– Proporciona orientación sobre la
gestión de un programa de auditoría
del SGCN
– ISO/IEC 17021
– Evalúa la conformidad para los
organismos que realizan auditorías
de certificación ISO 22301
8. 3. Proceso de auditoría
• Etapas:
Iniciar la auditoría
Preparar las actividades de auditoría
Llevar a cabo las actividades de auditoría
Preparar y distribuir el informe de auditoría
Completar la auditoría
Llevar a cabo el seguimiento de auditoría
9. 3. Proceso de auditoría
• Tipos de auditorías de auditoría de SGCN
– Primera parte
• Auditorías Internas del SGCN
– Segunda parte
• Auditorías que las empresas realizan a sus proveedores
– Tercera parte
• Auditorías de certificación
10. 3. Proceso de auditoría
Auditorías
Internas
Se realizan a intervalos planeados
para determinar si el SGCN:
Cumple con los requisitos propios de la
organización para GCN
Cumple con los requisitos de ISO 22301
Se ha implementado y se mantiene eficazmente
11. 4. Auditorías de GCN vs Auditorías
de SGCN
• Ciclo de vida de GCN
Fuente:
BS
25999
12. 4. Auditorías de GCN vs Auditorías de SGCN
Fuente:
Secure
Informa4on
Technologies,
2014
Elementos de GCN
Curso de
capacitación
Análisis
de riesgos
Análisis de
Impacto al
Negocio
Estrategia de
recuperación
Planes
de
Con4nuidad
Prueba
Políticas
13. 4. Auditorías de GCN vs Auditorías
de SGCN
• Ciclo Deming del SGCN
14. Auditorías SGCN con ISO 22301
Proceso
obligatorio
Proceso
obligatorio
documentado
Procedimiento
obligatorio
Procedimiento
obligatorio
documentado
Información
documentada
(prác4ca
común)
Información
documentada
obligatoria
Derechos
reservados.
Secure
Informa4on
Technologies
2014.
Prohibida
su
reproducción
14
15. 4. Auditorías de GCN vs Auditorías de SGCN
Fuente:
Secure
Informa4on
Technologies,
2014
Elementos que se
auditan en un SGCN
16. Contexto
de
la
organización
Liderazgo
Planeación
Soporte
Operación
Evaluación
del
desempeño
Mejora
Requerimientos
legales
y
regulatorios
Análisis
de
partes
interesadas
Alcance
Ape4to
y
criterios
de
riesgo
Factores
internos
y
externos
de
incer4dumbre
Polí4ca
de
con4nuidad
del
negocio
Compromiso
de
la
dirección
Roles,
responsabilidades
y
autoridades
Obje4vos
de
con4nuidad
Análisis
de
recursos
Evidencia
de
concien4zación
Procedimientos
de
comunicación
Control
de
documentos
Análisis
de
Impacto
al
Negocio
Análisis
de
riesgos
Estrategia
de
con4nuidad
Procedimientos
de
con4nuidad
del
negocio
Ejercicios
y
pruebas
Estructura
de
respuesta
a
incidentes
Monitoreo,
medición,
análisis
y
evaluación
Auditoría
interna
Revisión
de
la
dirección
Ges4ón
de
no
conformidades
Ges4ón
de
acciones
correc4vas
Mejora
con4nua
Contexto
de
la
organización
Requerimientos
legales
y
regulatorios
Exclusiones
Ac4vidades,
funciones,
servicios,
etc.
Propósito
del
SGCN
Aspectos
internos
y
externos
SGCN
Evidencia
de
competencia
Planeación
y
control
operacional
Requerimientos
de
recursos
Tratamiento
de
riesgos
Advertencia
y
comunicación
Planes
de
con4nuidad
del
negocio
Procedimientos
de
recuperación
Reportes
post-‐
ejercicio
Monitoreo
del
desempeño
Auditoría
interna
Auditoría
interna
Derechos
reservados.
Secure
Informa4on
Technologies
2014.
Prohibida
su
reproducción
17. 5. Deberes de los auditores de
SGCN
• Planear las auditorías
• Uso de efectivo de los recursos de GCN
• Ejecutar la auditoría
• Habilidades para comunicarse con el
liderargo en CN
• Ser competentes en SGCN
• Evalualuar la efectividad de SGCN
• Prevenir y resolver los conflictos
• Preparar y completar el informe de
auditoría
• Ser reservado con los hallazgos de
auditoria
• Generar las conclusiones de auditoría
18. 6. Responsabilidad de la Alta Dirección
en las auditorías de SGCN
• Garantizar la provisión de productos y
servicios a sus partes interesadas.
• Ser competentes en SGCN.
• Provisionar los recursos de GCN.
• Garantizar un SGCN alineado a sus
objetivos estratégicos.
• Establecer formalmente su compromiso,
autoridad.
• Definir su apetito de riesgo.
• Revisiones de la GCN y prácticas de GCN
• Empoderamiento de sus colaboradores.
• Garantizar su cumplimiento legal y
regulatorio.
19. Conclusiones y recomendaciones
• Una auditoría de SGCN alineada a los objetivos
estratégicos de la organización bajo el liderazgo
estratrégico, desarrolla resiliencia organizacional.
• No es lo mismo auditar GCN bajo un enfoque
tradicional, a realizar auditorías en conformidad
con un SGCN bajo los requisitos de una norma
internacional como lo es la ISO 22301.
• Un SGCN te permite permanecer en el mercado
global y mantener la provisión de productos y
servicios al nível mínimo de operación que definas
en tu organización.
• En la evolución del SGCN ahora nos dirigimos hacia
la seguridad de las sociedades.
20. ¿Preguntas?
Auditando un Sistema de Gestión de
Continuidad del Negocio (SGCN), bajo
el enfoque de ISO 22301
Maricarmen García de Ureña,
Director General
Secure Information Technologies
maricarmen.garcia@secureit.com.mx