ISO 22301 - Resumen
Curso de Capacitación Sección 1 Objetivos y estructura del curso a.
Información general
b.
Objetivos del curso
Objetivos del Curso Adquirir conocimientos Comprender la operación de un Sistema de Gestión de Continuidad del Negocio basado en la ISO 22301 y sus procesos principales
Comprender el objetivo, contenido y la correlación entre la ISO 22301 y otras normas y marcos reglamentarios
Dominar los conceptos, enfoques, normas, métodos y técnicas para la implementación y la gestión eficaz de un SGCN
Objetivos del Curso Desarrollo de capacidades Interpretar los requisitos de la norma ISO 22301 en el contexto específico de una organización Desarrollar los conocimientos necesarios para apoyar a una organización en la planificación, ejecución, administración, supervisión y mantenimiento de un SGCN, según lo especificado en la norma ISO 22301 Adquirir los conocimientos necesarios para asesorar a una organización en las mejores prácticas de continuidad del negocio
Fortalecer las cualidades personales necesarias para actuar con el debido cuidado profesional cuando se realiza un proyecto de cumplimiento
Enfoque Didáctico Los estudiantes en el centro
Capacitación del Implementador Líder Certificado en la norma ISO 22301 Sección 2 Estándar y marco normativo a. ¿Qué es ISO? b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión d. Sistema de gestión integrado e. Normas de Continuidad del Negocio f.
ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
¿Qué es ISO? • ISO es una red de organismos nacionales de estandarización de más de 160 países • Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales • Se han publicado más de 19000 normas desde 1947
Principios Básicos- Normas ISO 1. Representación igualitaria: 1 voto por país
Principios Básicos de las Normas ISO
2. Adhesión voluntaria: ISO no tiene autoridad para forzar la adopción de sus normas
3. Orientación del negocio: ISO sólo desarrolla normas para las que existe demanda del mercado 4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas
5. Cooperación internacional: más de 160 países además de organismos de enlace
Los Ocho Principios de Gestión de la ISO
Enfoque en el cliente
Enfoque en el sistema para la gestión
Liderazgo
Participación de las personas
Enfoque en los procesos
Mejora continua
Enfoque basado en hechos para la toma de decisiones
Relaciones mutuamente beneficiosas con el proveedor
Normas de Sistemas de Gestión Normas primarias en las que una organización puede estar certificada
ISO 14001
OSHAS 18001
ISO 20000
Calidad
Medio Ambiente
Salud y Seguridad en el trabajo
Servicios de TI
ISO 22000
ISO 22301
ISO 27001
ISO 28000
Sanidad Alimentaria
Continuidad del Negocio
Seguridad de la Información
Seguridad de la Cadena de Suministro
ISO 9001
Sistema de Gestión Integrado Estructura típica de las normas ISO Requisitos
ISO 9001:2008
ISO 14001:2004
ISO 20000:2011
ISO 22301:2012
ISO 27001:2005
Objetivos del 5.4.1 sistema de gestión
4.3.3
4.5.2
6.2
4.2.1
Política del 5.3 sistema de gestión
4.2
4.1.2
5.3
4.2.1
Compromiso de la 5.1 dirección
4.4.1
4.1
5.2
5
Requisitos de documentación
4.2
4.4
4.3
7.5
4.3
Auditoria interna
8.2.2
4.5.5
4.5.4.2
9.2
6
Mejora continua
8.5.1
4.5.3
4.5.5
10
8
Revisión por la Dirección
5.6
4.6
4.5.4.3
9.3
7
ISO 22301 • Especifica los requisitos de gestión de un SGCN • Los requisitos (cláusulas) son escritos utilizando el verbo “deberán” en imperativo
INTERNATIONAL STANDARD
ISO 22301
• Integrar el modelo PDCA (Plan, do , Check, Act)
• Auditable • La organización puede ser certificada en esta norma
_______________________________________________ Societal securityBusiness continuity Management Systems –Requirements
_________________________________________________
ISO 22301 Contenido Sección 1
Ámbito de aplicación
Sección 2
Referencias normativas
Sección 3
Términos y definiciones
Sección 4
Contexto de la organización
Sección 5
Liderazgo
Sección 6
Planificación
Sección 7
Apoyo
Sección 8
Funcionamiento
Sección 9
Evaluación del desempeño
Sección 10
Mejora
ISO 22313 • Guía para el código de buenas prácticas para implementar, mejorar un Sistema de Gestión de la Continuidad de los Negocios (Documento de referencia). • Cláusula escrita utilizando el verbo “debería” a fin de proporcionar orientación en materia de aplicación.
INTERNATIONAL STANDARD
ISO 22313
_______________________________________________ Societal security-Business continuit Management Systems –Gidance
• La organización no puede ser certificada en esta norma _________________________________________________
Historia de la norma ISO 22301 1988-2013 2013 2012 2007 2006 2003 2002
Publicación de la norma BS 25999-1
1984 Publicación de PAS 56
1988
Creación del DRI Internacional conocido originalmente como Disaster Recovery Institute (Instituto de Recuperación ante Desastres)en los EEUU
Creación del Business Continuity Institute (BCI) en el Reino Unido
BCI publica Guías de Buenas Prácticas de la GCN
Publicac ión de la norma BS 25999-2
ISO publicó la primera versión de la norma ISO 22301
ISO publica la primera versión de la norma ISO 22313
Otras normas sobre continuidad del Negocio Ejemplos
El contenido y la Relación entre ISO ISO 27001, A.14: Gestión de Continuidad del Negocio A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna
ISO 22301 Requisitos
Control A.14.1.1
Incluir seguridad de l Información en el proceso de Gestión de la continuidad del negocio
A.14.1.2
Continuidad del negocio y evaluación del riesgo
Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.
Continuidad del negocio 4.4 sistema de gestión
Control Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.
8.2 AIN y la Evaluación de los riesgo
Control A.14.1.3
Desarrollo e implementar Planes de continuidad Incluyendo seguridad de la información
Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falta en los procesos de negocios críticos.
8.4 Procedimientos de la continuidad del negocio
Control
A.14.1.4
Marco referencial para la Planeación de la continuidad Del negocio
6 Planificación del SGCN Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar las prioridades de pruebas y mantenimiento. Control
A.14.4.5
Prueba mantenimiento y reEvaluación de planes de continuidad De negocio
Los planes de continuidad de negocio se deben probar y actualizar regularmente para asegurar que estén actualizados y sean efectivos.
8.5 Ejercicio y pruebas
Continuidad del Negocio Ventajas
Protección de las personas
Mantenimiento de las actividades esenciales de la organización
Mejor comprensión de la organización
Reducción de costos:
Respeto de las partes interesadas
Protección dela reputación y la marca
Confianza de los clientes
Ventaja competitiva
El cumplimiento de los requisitos legales
Cumplimiento de normativas
Cumplimiento de los contratos
Previsible y eficaz respuesta a las crisis
Caso de estudio – Taller ISO 22301 - 1 • Mitos y Realidades- Continuidad del Negocio • En cada una de las siguientes afirmaciones, determine si cree que son verdaderas o falsas y justifique su respuesta: • 1. Se trata de catástrofes naturales • 2. Tenemos un plan, por lo que estamos preparados • 3. Cualquier desastre será un acontecimiento singular • 4. Hemos probado nuestro plan, por lo que estamos bien. • 5. Los planes de continuidad del negocio son responsabilidad de TI (Tecnología de la Información) • 6. No es necesario un plan de continuidad del negocio porque su personal estará siempre presente, y usted puede contar con que ellos harán lo correcto. • 7. Los planes de continuidad del negocio son los mismos planes de recuperación de desastres. • 8. Un plan de recuperación cumple con todos los requisitos del escenario. • 9. Una distancia más larga significa una mejor protección contra desastres. • 10.Los usuarios de TI y del negocio tienen los mismos intereses en la Continuidad del Negocio y Recuperación ante Desastres.
Caso de estudio – Taller ISO 22301 – 2 • Razones para adoptar la ISO 22301 • Las ventajas, los impulsores, las limitaciones de un proyecto de SGCN • Por favor, lea las siguientes partes del estudio de caso dado para este curso: • Historia de la empresa comercial • Organización de la empresa comercial • Utilizando esta información, determine y explique las tres ventajas más importantes de implementar en la norma ISO 22301 en esta organización y cómo la organización puede medir estas ventajas a través de indicadores. • Ventaja 1: • ¿Cómo puede la organización medir esta ventaja? • Ventaja 2: • ¿Cómo puede la organización medir esta ventaja? • Ventaja 3: • ¿Cómo puede la organización medir esta ventaja?
Capacitación Implementador Líder Certificado en la norma ISO 22301 Sección 3 Principios Fundamentales de la continuidad del negocio a. Continuidad de negocio y recuperación de desastres
b. Evento: de un incidente a una emergencia c. Organización y actividades prioritarias d. Procesos y recursos e. Probabilidad, consecuencia e Impacto f. Interesados (partes interesadas) g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres Diferencias
Continuidad del Negocio
Asegurar que el negocio Pueda continuar durante Una emergencia Los Objetivos son: •En primer lugar, el capital Humano de la empresa •Entrega de productos o prestación de servicios a los clientes de la empresa •Funciones críticas dl negocio en la empresa
Recuperación ante desastres Recuperar la “tecnología” Lo más rápidamente posible. Se incluyen: • Los Datos, el hardware y el software necesarios para reanudar las operaciones Críticas de la empresa •Un plan de recuperación ante desastres (DRP) también incluye la elaboración de planes para hacer frente a la inesperada o repentina pérdida de personal clave •En u PCN, es uno de los aspectos del plan
COMUNICACIONES & RRPP
SEGURIDAD
RECURSOS HUMANOS
GESTIÓN DE CRISIS
SALUD Y SEGURIDAD
GESTIÓN DEL MEDIO AMBIENTE
GESTIÓN DE CALIDAD
GESTIÓN DE LA CADENA DE SUMINISTRO
ADMINISTRACIÓN DE LAS INSTALACIONES
RECUPERACIÓN DE TI ANTE DESASTRE
GESTIÓN ANTE UNA EMERGENCIA
GESTIÓN DE RIESGO
Participación de todos los elementos de la organización
La Gestión de Continuidad del Negocio Está en relación con:
Evento: de un Incidente a una Emergencia Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399 Evento (ISO 22301, 3.17)
Interrupción (ISO 22399. 3.4
• Ocurrencia de un conjunto particular de circunstancias.
• Evento que pudiera constituir o pudiera redundar en una interrupción del negocio, en una pérdida, emergencia o crisis.
Incidente (ISO 22301, 3.19)
• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
Crisis (USO 22399, 3.3)
• Cualquier incidente(s), causado por los humanos o causas naturales, que requieren de atención urgente y de medidas para proteger la vida, los bienes o el medio ambiente.
Desastre (ISO 22300, 2.
Emergencia (ISO 22399, 3.6)
•Situación en la que se han producido amplias pérdidas humanas, materiales, económicas o ambientales que superaron la capacidad de la organización, la comunidad y la sociedad afectadas para responder y recuperarse utilizando sus propios recursos. • Suceso o evento repentino, urgente, generalmente inesperado que requiere acción inmediata.
Organización y Actividades ISO 22301, Cláusula 3.1, 3.33 y 3.42
Organización (3.33) Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos.
Actividad (3.1) Proceso o conjunto de procesos acometidos por una organización (o en su nombre) que producen o dan apoyo a uno o más productos y servicios.
Actividades Prioritarias (3.42) Las actividades a las que deben darse prioridad tras un incidente con el fin de mitigar los impactos.
Proceso ISO 22301, cláusula 3.40 Conjunto de actividades mutuamente relacionadas o que interactúan, que transforman elementos de entrada en resultados.
Entrada
Actividades
Salida
Recursos ISO 22301, cláusula 3.47
Recursos •Todos los archivos, personal, habilidades, información, tecnología (incluyendo maquinaria y equipos), locales, y suministros e información (ya sea electrónica o no) que una organización debe tener disponibles para uso, cuando sea necesario, para operar y cumplir sus objetivos.
Las Personas
Activos
Locales
Información
Tecnologías
Suministros
Actividades Críticas y Recursos Enfoque de un AIN
BIA
• Identificar y analizar aquellas actividades que tienen que llevarse a cabo para entregar los productos y servicios principales que permiten a una organización alcanzar sus objetivos más importantes y sensibles, en un plazo de tiempo determinado. • Evaluar los recursos, como las personas, los locales, la tecnología, la información, los suministros y las partes interesadas que están soportando las actividades críticas.
Riesgo
ES TODO LO QUE ME AYUDA A MEJORAR, O PERDER VALOR, DEPENDIENDO DE COMO LO ANALICE LA GESTION AL RIESGO, ES MATE
ISO 22301 Riesgo (3.48) Efecto de incertidumbre sobre los objetivos
Apetito por el riesgo (3,49) Cantidad de riesgo que una organización está Dispuesta a conseguir o conservar
Evaluación de Riesgo (3.50) Proceso general de identificación, análisis y Evaluación de riesgos.
Gestión del riesgo (3.51) Actividades coordinadas para dirigir y controlar Una organización con respecto al riesgo
Probabilidad, Consecuencia e Impacto ISO 22399
Probabilidad (3.28) Grado al que es probable que se produzca un evento
Consecuencia (3.2) Resultado de un evento
Impacto (3.10) Consecuencia evaluada de un resultado en particular
Parte interesada (interesados) ISO 22301, cláusula 3.21 Persona u organización que puede afectar, pueden verse afectados por, o se consideran afectados por una decisión o actividad
Instituciones financieras
Proveedores
Consejo de Administración
Clientes
Grupos Interesados
Equipo de Gestión Organización
Empleados
Regulador
Medios
Sindicatos
Público
Accionistas
Resiliencia ISO 22300, cláusula 2.1.17
Resilencia
Capacidad de adaptación de una organización en un ambiente complejo y cambiante
Objetivos de Recuperación ISO 22301, clásula 3.25, 3.26, 3.28 , 3.44 , -45 Punto de recuperación de datos (PRD) • Punto a partir del cual debe ser posible recuperar la información utilizada por una actividad, para que esta pueda funcionar tras una interrupción. Tiempo máximo aceptable de Interrupción (TMAI)
• Tiempo necesario para que los impactos desfavorables que pudiesen surgir como consecuencia de no suministrar un producto/servicio o de no realizar una actividad, se transformen en inaceptables.
Objetivo de tiempo de Recuperación (OTR) • Periodo de tiempo después de un incidente en el que: el producto o servicio deben reanudarse; o la actividad debe reanudarse; o los recursos deben ser recuperados. Objetivo Mínimo de Continuidad del Negocio (OMCN) • Nivel mínimo de servicios y/o productos que es aceptable por la organización para conseguir sus objetivos de negocio durante una interrupción.
PRD Y OTR Ejemplo RPO
RTO
Objetivo de Tiempo de Recuperación
Punto de Recuperación de datos
El tiempo máximo aceptable sin actividad
(Máxima pérdida de datos aceptable
Desastre Desastre
Tiempo 0:00 Copia de seguridad en cintas (7 Días)
Copia de seguridad de la red (24 H)
Sistema de espejos (1 Minuto)
Crítico (1 H)
Muy Importante (12 h)
Importante (72 H)
Sistema de Alta Disponibilidad “Cinco 9s” (99,999 por ciento) de disponibilidad
• En tecnología de la información y de las comunicaciones, “alta disponibilidad” se refiere a los sistemas o componentes que están continuamente operativos durante un esperable largo periodo de tiempo con un RTO cercano a “0” • La disponibilidad se puede medir con respecto a “100 % operacional” o “ nunca falla” • Hay un estándar de disponibilidad de un sistema o producto ampliamente sostenido pero difícil de alcanzar que se conoce como “cinco 9s” (99,999 por ciento) de disponibilidad
Criticidad de los Sistemas y el RTO / RPO Ejemplo Criticidad
Clase del sistema
Ventana de operación
RTO/RPO
0
A0 B0
24H / 7d 8H/ 5d
Max. 1 hora / Sin pérdida de datos Max. 1 hora / Sin pérdida de datos
1
A1 B1
24H / 7d 8H/ 5d
Max. 2 horas / Sin pérdida de datos Max. 2 horas/ Sin pérdida de datos
2
A1 B1
24H / 7d 8H/ 5d
Max. 4 horas / Sin pérdida de datos Max. 4 horas/ Sin pérdida de datos
3
A1 B1
24H / 7d 8H/ 5d
Max. 1 Día / Sin pérdida de datos Max. 1 Día / Sin pérdida de datos
4
A1 B1
24H / 7d 8H/ 5d
Max. 1 Día / 4 horas Max. 1 Día / 4 horas
5
A1 B1
24H / 7d 8H/ 5d
Max. 1 Semana / 1 Día Max. 1 Semana / 1 Día
6
A1 B1
24H / 7d 8H/ 5d
Max. 2 Semanas / 1 Semana Max. 2 Semanas / 1 Semana
Tiempo Máximo aceptable de Interrupción (TMAI) Ejemplo
3H
24H
72 H
(30 días)
Importante
Deseable
Desastre
Critico Muy importante
Tiempo Máximo Aceptable de Interrupción
Resumen de los Objetivos de Recuperación Punto de Recuperación de datos (PRD)
Objetivo de Tiempo de Recuperación (RTO)
Plan de respuestas a incidentes
Plan de protección y de Medidas de mitigación
Plan de recuperación
Plan de capacitación y concienciación
Desastre
100% 40%
Tiempo máximo aceptable de interrupción (TMAI)
Plan de restauración
Nivel de servicio normal
Objetivo Mínimo de Continuidad del Negocio (MBCO)
Horas
Día
Semana
Mes
Tiempo
0%
Última copia de seguridad
Llegar al punto de los Servicios mínimos a recuperar
Volver a la Normalidad
Caso de estudio – Taller ISO 22301 – 3 • Actividades Críticas y Recursos • Complete las tablas siguientes para el Banco Central por Internet • NOTA: Limítese a tres líneas de la tabla si hay más entradas posibles • Tabla: Actividades críticas identificadas Actividad Crítica
Recursos Relacionados
• Tabla: Registros Críticos de la Empresa identificados Nombres de registro
Se convierte en crítico
Cuando se requiere
Caso de estudio – Taller ISO 22301 – 3 • Tabla: Registros Críticos de la Empresa identificados
Nombres de registro
Se convierte en crítico
Cuando se requiere
Capacitación del Implementador Líder Certificado en la norma ISO 22301
Sección 4 Sistema de Gestión de la Continuidad del Negocio (SGCN) a. Definición de un SGCN b. Enfoque en los procesos c. Visión general – Cláusulas 4 a 10 d. Los componentes claves de un SGCN
¿Qué es la continuidad del Negocio? Proceso impulsado por el negocio que establece un marco Estratégico y táctico de ajuste a los objetivos que:
1
Mejora la organización pro activa de resistencia contra la interrupción de su capacidad de lograr sus objetivos clave
2
Proporciona un método ensayado para restaurar la capacidad de una organización para garantizar el suministro de sus productos y servicios clave después de una interrupción
3
Proporciona una capacidad demostrada para gestionar negocio y proteger la reputación de la organización y de la marca
una
interrupción
del
Gestión de Continuidad del Negocio ISO 22301, Cláusula 3.4: • Proceso de gestión holístico que identifica amenazas potenciales para la organización así como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resilencia de la organización para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la marca y las actividades de creación de valor
Nota: El sistema de gestión incluye la estructura, las políticas, las actividades de planificación, las responsabilidades, Las prácticas, los procedimientos, Los procesos y los recursos de la organización
Los componentes clave de un SGCN ISO 22301, Introducción Un SGCN, a igual que cualquier otro sistema de gestión, tiene los siguientes Componentes fundamentales : 1. Una política 2. Personas con responsabilidades definidas; 3. Procesos de gestión asociados con: - Política - Planificación - Implementación y operación - Evaluación del rendimiento - Revisión por la Dirección - Mejora 4. Documentación que provea pruebas auditables 5. Cualquier proceso de gestión de la continuidad del negocio pertinente a la organización
El ciclo Planificar- Hacer- Verificar- Actuar ISO 22301, Introducción
Planificar
Partes Interesadas
Partes Interesadas
Establecer un SGCN Actuar
Requerimientos expectativas de la Continuidad del Negocio
Mantener y Mejorar el SGCN
Hacer
Supervisar y Revisar el SGCN Verificar
Implementar El SGCN Continuidad del Negocio Gestionada
Metodología de Implementación Integrada para los Sistemas de Gestión y las Normas (IMS2) 1. Planificar
2. Hacer
3. Verificar
4. Actuar
2.1 Estrategia del CN ( Continuidad del Negocio)
1.1. Iniciando del SGCN 1.2 Comprensión de la organización
2.2 Estructura de la organización
3.1 Seguimiento, medición, análisis y evaluación
4.1 Tratamiento de No conformidades
2.3 Gestión de Documentos 1.3 Analizar el sistema existente 1.4 Liderazgo y aprobación del proyecto
1.5 Ámbito de aplicación
2.4 Medidas de Presentación & Mitigación 2.5 plan de la continuidad del negocio & Procedimientos
1.6 Política de CN 2.6 Comunicación 1.7 Análisis del impacto en el negocio 1.8 Evaluación del riesgo
3.2 Auditoria Interna
2.7 Capacitación, Concienciación 2.8 Ejercicio y pruebas
4.2 Mejora continua 3.3 Revisión por la Dirección
Requisitos generales ISO 22301 En resumen La organización deberá establecer, implementar, mantener y mejorar un SGCN en conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimiento
2. Determinar las
de la organización
necesidades y
y su entorno
requisitos
3. Implementar y Administrar un
SGCN
Contexto de la organización ISO 22301, Cláusula 4
Conocimiento de la Organización y su entorno
Comprensión de las Necesidades y Expectativas de las Partes interesadas
•Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas. •Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas •El apetito de la organización por el riesgo •Las necesidades de las partes interesadas que son pertinentes para el SGCN •Los requisitos de estas partes interesadas •Requisitos jurídicos y normativos
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su alcance Determinar el Alcance del SGCN
•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones internas y externas y los requisitos
Leyes y Reglamentos
Requisitos para los registros electrónicos
Requiere que los bancos tengan planes de CN y RD para garantizar el funcionamiento continuo y con el fin de limitar las pérdidas Requiere que los planes de Continuidad del Negocio (PCN) se actualicen y prueben para incorporar los riesgos detectados
Gobierno
Requiere plan de copia de seguridad de datos, plan de recuperación ante desastres y un plan de operación en el modo de emergencia
Utilidades
Finanzas
Asistencia sanitaria
Los cuatro sectores de la industria mas afectados:
Hace hincapié principalmente en la seguridad de los datos más que en CN y RD Una necesidad importante que se debe abordar es la necesidad que el gobierno esta abierto y en funciones durante la crisis
Requiere un PCN para garantizar que la continúa misión de la agencia durante una crisis Se requieren planes de restauración de emergencia como condición para servicios continuados
Ámbito de aplicación del SGCN ISO 22301, Cláusula 4.3.2 El documento de definición del ámbito de aplicación debería incluir: 1.Las principales características de la organización 2.Los procesos de negocios cubiertos por el SGCN 3.La lista de productos y servicios y todas las actividades relacionadas en el ámbito de aplicación del SGCN 4.La lista de los principales sistemas de Información.
5.La lista de ubicaciones geográficas 6.Los detalles y motivos para las exclusiones
Liderazgo y Compromiso de la Dirección ISO 22301, Cláusula 5.1 y 5.2
Orientación estratégica •Asegurarse de que el SGCN es compatible con la orientación estratégica de la organización •Integrar los requisitos del SGCN en los procesos de negocio de una organización
Hacer que los recursos estén disponibles • La Dirección deberá determinar y proporcionar los Recursos necesarios para el SGCN
Comunicación • Dirección deberá comunicar la importancia de una buena Gestión de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN
Política y Continuidad del Negocio ISO 22301, cláusula 5.3 • La alta dirección debe establecer una política de continuidad del negocio que: - Sea apropiada para los fines de la organización - Proporcione un marco para establecer objetivos de continuidad del negocio - Incluya un compromiso de cumplir los requisitos aplicables - Incluya un compromiso de mejora continua del SGCN • La política del SGCN deberá: - Estar disponible como información documentada - Ser comunicada dentro de la organización - Ser comunicada dentro de todas las partes interesadas, según corresponda - Ser revisada para su adecuación continuada a intervalos definidos y cuando se reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades ISO 22301, Cláusula 5.4 • La alta dirección deberá asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organización. • La alta gerencia deberá asignar la responsabilidad y autoridad para: - Garantizar que el sistema de gestión se ejecuta en conformidad con los requisitos de la norma ISO 22301. - Informar sobre la eficacia de la gestión a la alta dirección.
Los objetivos y los Planes para alcanzarlos ISO 22301, Cláusula 6.2
• La alta dirección deberá asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organización •
Los objetivos deberán: a) Ser coherentes con la política de continuidad del negocio b) Tomar cuenta del nivel mínimo de los productos y servicios que sea aceptable para la organización para alcanzar sus objetivos c) Ser mensurables d) Tener en cuenta los requisitos aplicables e) Ser monitoreados y actualizados según proceda
Opciones de Estrategia de Continuidad del Negocio Las estrategias de CN disponibles y el OTR que cumplen
X Sitio espejo
C O S T O
D E
L A
E S T R A T E G I A
IX Sitio caliente
VIII Traslado a otros centros de grupo VII Trabajo a distancia
VI Sitio Tibio V Acuerdo reciproco
IV Sitio móvil
III Sitio frío
II Reconstrucción y restauración
TIEMPO DE RECUPERACIÓN
Ninguna Estrategia
Apoyo ISO 22301, cláusula 7: La organización deberá determinar y proporcionar los recurso necesarios para el SGCN
Recursos
Competencia
La organización Deberá asegurar Tener personas Competentes para realizar las tareas relacionadas con el SGCN
Las personas que realizan Trabajo en el marco del Control de a organización Deberán ser conscientes De la política de la CN, Sus funciones en el SGCN Y los requisitos para la organización
Sensibilización
El SGCN de la Organización deberá Incluir información Documentada requerida Por la ISO 22301 y Registros para demostrar La eficacia del SGCN
Comunicación
La organización deberá Establecer, implementar y mantener mecanismos De comunicación con las partes interesadas internas y externas
Documentación
Información documentada ISO 22301, Cláusula 7.5 3. Clasificación y seguridad
2. Identificación
1. Creación
4. Modificación
5. Aprobación
9. Disposición
6. Distribución 8. Archivado
7. Uso adecuado
Debe establecerse un procedimiento para gestionar el ciclo de vida de la documentación
Análisis del Impacto en el Negocio y Evaluación de los Riesgos ISO 22301, Cláusula 3.8, 3.50 y 8.2
Proceso de análisis de las funciones del negocio y del efecto que una interrupción del negocio podría tener sobre dichas funciones
Análisis de Impacto en el Negocio
Evaluación de riesgo
Proceso general de identificación, Análisis y Evaluación de riesgos
Caso de estudio – Taller ISO 22301 – 4 • Apreciación del Riesgo • Determine las amenazas y vulnerabilidades asociadas a las siguientes situaciones e indique los posibles impactos. Indique también si los riesgos afectarían la disponibilidad, integridad y/o confidencialidad • Complete la matriz de riesgos (ver la próxima página):
• Emmanuel Rikir , el administrador senior de bases de datos, tuvo un accidente de esquí que requiere cirugía mayor que lo mantendrá alejado de su trabajo de 6 a 8 semanas. • El proveedor de Telecom que gestiona la línea arrendada entre las dos oficinas requiere urgente mantenimiento (una ventana de intervención de 4 horas), después que se detectaron algunas inconsistencias. La sincronización entre los dos SAN depende de la copia de la línea de SDSL (2Mbps) • Una reunión cumbre europea enfrenta fuertes manifestaciones que afectan el acceso de peatones y tráfico al distrito financiero. • El sistema de aire acondicionado de la sala de servidores en la oficina paralela se averió. La temperatura podría llegar a su umbral de alerta dentro de un par de horas y desencadenar un apagado ordenado de todos los servidores.
Estrategia de Continuidad del Negocio ISO 22301, cláusula 8.3 La organización deberá determinar las opciones apropiadas de continuidad para:
A) Proteger las actividades prioritarias
C) Mitigar, responder a los impactos y gestionarlos
B) Estabilizar, continuar, reanudar y recuperar actividades prioritarias
Aplicación de las Medidas de Mitigación y Protección ISO 22301, Cláusula 8.3.3
Medidas Preventivas
Medidas de Detección
Desastre
Medidas Correctivas
Caso de estudio – Taller ISO 22301 – 5 • Medidas de mitigación • Para cada riesgo identificado en el ejercicio anterior donde existe un impacto en la disponibilidad, proporcione las especificaciones apropiadas (dando el número de la cláusula de la especificación) que permite reducir, transferir o evitar los riesgos. Complete la matriz y esté dispuesto a debatir las medidas de mitigación que ha seleccionado.
Establecer y Aplicar Procedimientos de Continuidad del Negocio ISO 22301, cláusula 8.4.1 • La organización deberá documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perjudicial.
Generalidades •La organización deberá establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un incidente perjudicial y continuar sus actividades sobre la base de objetivos de recuperación identificados en el análisis del impacto en el negocio
Plan(es) de Continuidad del Negocio Contenido mínimo requerido por la ISO 22301 1. Finalidad y Ámbito de aplicación 2. Objetivos 3. Criterios y procedimientos de activación
4. Procedimientos y aplicación 5. Las funciones, responsabilidades y autoridades 6. Requisitos y procedimientos de comunicación
7. Las interdependencias e interacciones internas y externas 8. Recursos necesarios 9. Los procesos relativos al flujo de información y a la documentación
Ejercicios y Pruebas ISO 22301, Cláusula 8.5 La organización deberá ejercitar y Probar sus Procedimientos de Continuidad del negocio para garantizar que son Coherentes con sus Objetivos de
Continuidad del Negocio
Escenarios de pruebas y ensayos Mejores prácticas
Tipo de ejercicio
¿Qué es?
Beneficio
Desventajas
Lista de control
Distribuye planes para su revisión
Asegura que el plan aborda todas las actividades
No aborda la eficacia
Tutorial estructurado
Examina detenidamente Cada paso del PCN
Asegurar que las actividades Previstas se describen con exactitud en el PCN
Asegurar que las actividades Previstas se describen con exactitud en el PCN
Simulación
Escenario para representar Procedimientos de recuperación
Sesión de práctica
Sesión de práctica
Paralelo
Prueba completa, pero las Operaciones no se detienen
Garantizar un alto nivel de Fiabilidad sin interrumpir las Operaciones normales
Caro, ya que todo el personal esta involucrado
Interrupción total
El desastre se replica al punto de que cesen las Operaciones normales
Prueba más fiable del PCN
Arriesgada
Evaluación del desempeño ISO 22301, Cláusula 9
1. Revisión del ejercicio y la prueba de los procedimientos de continuidad, después de los informes sobre incidentes.
6. Revisión de la gestión y actualización de los planes de continuidad del Negocio y de los Procedimientos.
5. Realización de las auditorias internas.
2. Revisión periódica de la eficacia del SGCN teniendo en cuenta las proposiciones y sugerencias de los interesados.
Monitoreo y revisión del SGCN
3. Medición de la eficacia de los procedimientos
4. Revisión de las evaluaciones De riesgo y del AIN.
Nota: Cada una de estas acciones debe ser documentada y registrada
Revisión por la Dirección de SGCN ISO 22301, Cláusula 9.3 Elementos de Entrada de la revisión por la dirección 1.
Los resultados de auditorías del SGCN y sus revisiones 2. Las técnicas productos o procedimientos que podrían utilizarse en la organización para mejorar el SGCN 3. Estado de las acciones preventivas y correctivas 4. Los resultados de ejercicios y pruebas 5. Las vulnerabilidades o amenazas no abordadas adecuadamente en la apreciación del riesgo anterior 6. Los resultados de las mediciones de la eficiencia 7. Las acciones de seguimiento de revisiones por la Dirección anteriores 8. Los cambios que podrían afectar el SGCN 9. Adecuación de la política 10. Recomendaciones para la mejora 11. Las enseñanzas derivadas de incidentes 12. Buenas prácticas y guías emergentes
Elementos de salida de la revisión por la dirección 1. 2. 3.
4.
Variaciones al ámbito de aplicación del SGCN Mejora de la efectividad del SGCN Actualización de la apreciación del riesgo, análisis de impacto y preparación ante incidentes y procedimientos de respuesta Modificación de los procedimientos y controles que afectan los riesgos, incluidos los cambios en: • Requisitos empresariales y de funcionamiento • Reducción de riesgos y requisitos de seguridad • Procesos de las condiciones de funcionamiento del negocio que inciden en los requisitos operativos existentes • Requisitos del marco normativo, jurídico y/o contractuales • Los niveles de riesgo y /o criterios para la aceptación de riesgos • Las necesidades de recursos y los requisitos presupuestarios • Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles
Mejora ISO 22301, Cláusula 10
• La organización deberá mejorar continuamente la conveniencia, adecuada y eficacia del SGCN. • La organización puede utilizar los procesos de SGCN como el liderazgo, la planificación y la evaluación del desempeño, para lograr la mejora.
No Conformidad y Acción Correctiva ISO 22301, Cláusula 10.1
Mejora Continua
Acción correctiva
Análisis situacional
Identificación de la no conformidad
Revisión y seguimiento de acciones tomadas
Implementación de soluciones y registros de las medidas tomadas
Análisis de las causas raíz
Evaluación de las opciones
Selección de soluciones
Identificación y documentación de la no conformidad
Iniciando la Implementación del SGCN Lista de actividades
Intención de Implementar un SGCN
1.1.1 Definición del enfoque para la implementación
1.1.2. Selección de un marco metodológico
1.1.3. Alineación Con las mejores Prácticas
1.2. Comprensión De la organización
Definición del Enfoque de Aplicación del SGCN Posibles Enfoques 2. Nivel de madurez de los Procesos en uso
3. Expectativas y alcance
1. Velocidad de implementación
Enfoque Propuesto Directrices
1. Enfoque del negocio Se integra en el contexto de las actividades comerciales a través de la organización
2. Enfoque de sistemas La aplicación general del proceso de SGCN, no mediante al aislamiento de los procesos
5. Método iterativo La rápida Implementación del SGCN respetando lo Requisitos mínimos y Cambiar a mejora Continua a partir de entonces
Directrices
3. Enfoque Sistemático
4. Enfoque Integrado Integración del SGCN o armonizarlo con los demás requisitos de la organización
Aplicar las mejores prácticas en gestión de proyectos
Las Directrices de Aplicación Recomendaciones 1. Evitar la integración de nuevas tecnologías 2. Integrar el DGCN en los procesos existentes 3. Aplicar los principios de mejora continua 4. Involucrar a los participantes en la organización 5. Obtener el apoyo de la Dirección 6. Identificar y formalmente nombrar a un Director del proyecto del SGCN
Elegir un Marco Metodologico para Gestionar el Proyecto de Implementación del SGCN 1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del SGCN 1.2 Comprensión de la organización
2.1 Análisis del Impacto al Negocio (AIN)
1.3 Analizar el sistema existente
2.2 Evaluación del negocio
1.4 Alcance 1.5 Liderazgo y planificación
2.3 Estrategia de Continuidad del Negocio
1.6 Política de CN
2.4 Medidas de Presentación & Mitigación
1.7 Estructura de la organización
2.5 plan y procedimientos de la continuidad del negocio
1.8 Información documentada
2.6 Comunicación
1.9 Competencia & sensibilización
2.7 Ejercicio y pruebas
3.1 Seguimiento, medición, análisis y evaluación
4.1 No conformidades y acción correctiva
3.2 Auditoría interna
3.3 Revisión por la Dirección
4.2 Mejora continua
Metodología de Implementación Integrada para los sistemas de Gestión y las Normas ( IMS2) Metodología de PECB para la aplicación del SGCN 4 FASES
Planificar
Proyecto Del SGCN
Hacer
Verificar
Actuar
21 Pasos
101 actividades
Enfoque y Metodología Basados en las mejores prácticas
ISO 10006 Directrices para la gestión de calidad en proyectos
PMBOK Conjunto de Conocimientos de la gestión de Proyectos (PMBOK en idioma inglés
22313 Orientación para la Implementación del sistema de gestión de Continuidad del Negocio
Alineación con las Mejores Prácticas Uso de las normas ISO
ISO 22301
ISO 27031
ISO 24762
ISO 22313
ISO 27001
Enfoque de Auditoría basado en el Riesgo Riesgos de Auditoría
3. Riesgo de Detección
2. Riesgo de Control
1. Riesgo Inherente
Riesgo de que el auditor no sepa detectar un defecto importante durante una auditoria
Riesgo de que un defecto importante no pueda ser prevenido ni detectado por un control interno de la organización
Riesgo de que un defecto importante surja en el sistema de gestión sin tener en cuenta los procesos y controles instalados ( riesgo relacionado con el sector industrial)
Materialidad Definición • Para limitar los riesgos de una auditoría y obtener garantía razonable, el auditor debe poner el énfasis en los procesos y de los sistemas considerados materiales (sinónimo: critico)
Una información se considera material si su omisión o declaración falsa puede influir en las decisiones de las partes interesadas sobre la base de las declaraciones de la organización auditada
Determinar la Materialidad de un Sistema o un Proceso Factores a considerar 4. 5.
1. 3.
2.
6.
Materialidad
2.
Coste del sistema
3.
Coste de las operaciones
4.
Costo potencial de los errores
5.
Número de consultas o transacciones
6.
Acuerdo del nivel de servicio
7.
7.
1.
Criticidad de los procesos
Sanciones por no conformidad
Materialidad y del Sistema de Gestión Al evaluar la materialidad un auditor debería considerar: 1. El nivel de error global aceptable para la dirección, para el auditor y para el organismo de certificación 2. La posibilidad de que pequeños errores o debilidades se tomen materiales por acumulación
• Evaluar que lo que es material es una cuestión de juicio profesional • El auditor debe considerar el efecto global en la organización
Materialidad y Planificación de una Auditoría
Reunión Inicial
Validación de la materialidad relativa a los riesgos inherentes Duración de la Auditoría
Etapa 1 de la Auditoría
Validación de la materialidad relativa a los riesgos de control Planificación de la auditoría in situ
Etapa 2 de la Auditoría (Auditoría in situ)
Validación de la materialidad relativa a los riesgos de detección
Muestreo
Garantía Razonable • El auditor busca obtener garantía razonable de que el sistema de gestión auditado está exento de representación de material errónea y de no conformidades • Un auditor no puede obtener garantía absoluta
En una auditoría de la ISO 22301, buscamos obtener una garantía razonable de que el sistema de gestión en su conjunto está conforme y no para asegurar que cada uno de los controles específicos es eficaz y se ajusta
Requisitos de la Documentación Definición del SGCN • La ISO 22391 no establece una lista concreta de información documentada requerida • Como mínimo, el SGCN debería contener la siguiente documentación: 1. Ámbito de aplicación y objetivos del SGCN 2. Política de Continuidad del Negocio 3. Descripción de los roles y responsabilidades 4. Evaluación de Riesgos e informes del AIN 5. Plan de Continuidad del Negocio 6. Plan de comunicación, concienciación y capacitación 7. Procedimientos de ejercicios y pruebas 8. Evaluación, el revisión por la dirección y procedimientos de auditoría 9. Acciones preventivas y correctivas
Verificación de Documentos Estratégicos La documentación debe incluir la información relacionada con las decisiones, aprobaciones y acciones de la Dirección referidas a:
Ámbito de aplicación y objetivos del SGCN Política de continuidad del negocio Recursos para la operación del SGCN Revisión de la dirección Acta Constitutiva de la Auditoria ( u otros documentos que describen las responsabilidades de los auditores internos)
Verificación de Procesos y Procedimientos Las 6 palabras (W:W/H en inglés)
- Quién - Qué - Cuándo - Dónde - Por qué - Cómo Ejemplo: El administrador de la red (Quién) asegura que se han completado las copias de seguridad ( Qué) mediante la revisión de los registros de copias de seguridad (Cómo) todas las mañanas (Cuándo) . Tras la revisión, él llena y firma una lista de controles ( Dónde) que se guardan para futura referencia (Por qué)
Comunicación con la Dirección Principales temas a ser tratados 1. Contexto de las actividades de negocio generales de la organización (4.1) 2. Comprensión de la necesidades y expectativas de las partes interesadas (4.2) 3. Ámbito de aplicación del SGCN (4.3.2) 4. Compromiso de la dirección (5.2) 5. Política de continuidad del negocio (5.3) 6. Funciones organizativas, responsabilidades y autoridades (5.4) 7. Objetivos de continuidad del negocio y planes para conseguirlos (6.2)
8. Provisión de recursos (7.1) 9. Papel de la dirección en la comunicación (7.4) 10. Aprobación de la estrategia de continuidad del negocio (8.3)
11. Supervisión, medición, análisis y evaluación (9.1) 12. Reportes de auditoría interna (9.2) 13. Revisión por la dirección (9.3)
Recolección de Evidencia y Procedimientos de Análisis
B. Revisión de documentos
A. Observación
C. Entrevistas
Procedimientos de recolección de evidencia
Procedimientos de análisis de evidencia
D. Análisis
E. Verificación técnica
F. Corroboración
G. Evaluación
Creación de planes de Auditoría Recomendaciones generales
Lista de Verificación de la Auditoría Ejemplos
• En esta sección, se presentan seis planes de auditoría • Basándose en estos ejemplos, un auditor debería ser capaz de crear sus propios planes de prueba de auditoría mediante la combinación de diferentes procedimientos de auditoría para reunir evidencias: - Observación - Revisión documental - Entrevista - Verificación técnica - Análisis • Importante: El auditor no necesita hacer todas las pruebas de auditoría posibles
Ejemplo 1: Control de la Información Documentada ISO 22301, cláusula 7.5.3 (extracto) Cuando se establece el control de la información documentada, la organización debe asegurarse de que existe una protección adecuada de la información documentada ( por ejemplo, la protección ante cualquier peligro, la modificación no autorizada o la eliminación) Observación
Observar como los empleados aseguran la protección de la información documentada y si aquellas acciones son congruentes con las políticas y procedimientos de la organización
Documentar
Política sobre la gestión de la información documentada y los procedimientos sobre la gestión del ciclo de vida de la información : su identificación, almacenamiento, copias de seguridad, protección , accesibilidad y conservación
Entrevistar
A un miembro de la dirección ( para confirmar las políticas y las necesidades de la organización relativos a la información documentada) y al personal responsable de la gestión y de archivar la información ( para obtener los detalles de la gestión de la información documentada)
Verificación técnica
Validar la estructura electronica para la clasificación y almacenamiento de información documentada, verificar los mecanismos de protección de la información documentada, observar la complicación de los informes diarios.
Análisis
Seleccionar muestras de información documentada y verificar si ellas respetan la estructura de la información y los criterios de la política de la información documentada
Ejemplo 2: Funciones, Responsabilidades y Autoridades ISO 22301, cláusula 5.4 La alta dirección debe asegurarse que las responsabilidades y la autoridad para las funciones importantes se asignan y comunican dentro de la organización. Niveles superiores de la administración debe asignar la responsabilidad y la autoridad para a) asegurar que el sistema de gestión se ajusta a los requisitos de esta norma internacional. Y b) la presentación de informes sobre el rendimiento del BCMS a la alta gerencia Observación
Tener en cuenta que las personas que se enumeran en el organigrama están trabajando eficazmente en la organización
Documentar
Cuadro organizacional, definición of roles y responsabilidades en las descripciones de trabajo, contratos de trabajo, etc.
Entrevistar
A un miembro de la dirección para comprender cómo se asignan las responsabilidades y las autoridades y el personal responsable de roles específicos para validar cómo utilizan su autoridad
Verificación técnica
N/A
Análisis
Muestra e información documentada, como minutas de reunión para verificar la evidencia de que tales responsabilidades y autoridades están efectivamente/ eficientemente asignadas
Ejemplo 3: Recursos ISO 22301, cláusula 7.1 La organización debe mantener y proporcionar los recursos necesarios para el establecimiento , la implantación, el mantenimiento y la mejora continua del SGCN Observación
N/A, excepto para el auditor interno. Como observador, el auditor interno podría asistir a una reunión donde se tratan el presupuesto y la previsión de recursos
Documentar
El auditor puede evaluar y validar los documentos siguientes: caso de negocio de SGCN , un plan de proyecto, presupuesto anual , acta de la reunión de prestación y la asignación de recursos
Entrevistar
El auditor puede entrevistar al coordinador del SGCN y a un miembro de la dirección para validar el proceso de asignación de recursos al SGCN
Verificación técnica
N/A
Análisis
Muestra de las actividades críticas ( como las pruebas y ejercicios) del SGCN y validar si la asignación de recursos es eficiente
Ejemplo 4: Competencia ISO 22301, cláusula 7.2 La organización se encargará de: a) determinar la competencia necesaria de la persona(s) bajo su control que realizan su trabajo , el cual afecta a su rendimiento, b) asegurarse de que estas personas son competentes sobre la base de una educación apropiada , capacitación y experiencia , c) en su caso, tomar medidas para adquirir la competencia necesaria , y evaluar la eficacia de las medidas adoptadas , y d) conservar la información documentada como evidencia de su competencia. Observación
Observar a un miembro de la organización que lleva a cabo las actividades relacionadas con el SGCN
Documentar
El auditor puede evaluar y validar los siguiente documentos: políticas internas y lineamientos ( sobre reclutamiento, capacitación, gestión de RRHH, procedimiento de evaluación de empleados), registros ( hoja de vida de empleados, registro de capacitación , evaluación anual, etc.)
Entrevistar
El auditor puede entrevistar a un miembro del departamento de RRHH para comprender y validar los procesos y procedimientos que garantizan que la organización tiene personal competente: contratación
Verificación técnica
N/A
Análisis
Muestra de hoja de vida, registros de capacitación, evaluación anual, etc.
Ejemplo 5: Auditoría Interna ISO 22301, cláusula 9.2 (extracto) La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el sistema de gestión de la continuidad del negocio a) se ajusta a 1) las necesidades propias de la organización para su SGCN, 2) Los requisitos de esta norma internacional, y b) se aplica y es mantenido de forma efectiva Observación
N/A
Documentar
Gráfico de auditoría u otros documentos en los que se especifican las funciones y responsabilidades de la auditoría interna, archivos de empleado de los auditores internos, la planificación de las actividades de auditoría interna, los procedimientos de auditoría interna, los informes de auditoría interna, la documentación de seguimiento de las auditorías
Entrevistar
Al auditor interno para revisar el programa de auditoría interna y a un miembro de la dirección para debatir el valor de la auditoría interna de la organización
Verificación técnica
N/A
Análisis
Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Ejemplo 6: Revisión por la Dirección ISO 22301, cláusula 9.3 La alta dirección debe revisar el SGCN de la organización a intervalos de tiempo planificados, para asegurarse que continua siendo idóneo , adecuado y eficaz Observación
N/A , excepto para el auditor interno. Como observador, el auditor interno podría asistir a una reunión de la dirección
Documentar
Agenda la revisión por la dirección, minutas, información documentada enviada previamente a la realización de la reunión, informe presentado, comunicación de seguimiento después de la reuniones
Entrevistar
Los miembro s del comité de gestión y del coordinador del SGCN
Verificación técnica
N/A
Análisis
Revisar una muestra de papeles de trabajo de auditoría y un informe de auditoría interna
Hallazgos de Auditoría Tipos de hallazgos de auditoría posibles
Conformidad Situación en la que se cumple la conformidad con todos los aspectos de un requisito
Observación Situación o elemento observado durante la auditoría que puede estar sujeto a la mejora continua aunque no fuera de una no conformidad
No Conformidad Menor
No Conformidad Mayor
Situación en la que no se cumplió conformidad con un aspecto de un requisito
No conformidad con un requisito o falla total de su eficacia
Recomendación de Certificación Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones siguientes relativas a la certificación: 1. Recomendación para la certificación 2. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas sin visita previa 3. Recomendación para la certificación con la condición de la presentación de planes de acciones correctivas con visita previa 4. Recomendación desfavorable
Discusión de las Conclusiones con la Dirección Posibles reacciones
1. 2. 3. 4. 5. 6.
Aceptar las conclusiones Entregar hechos nuevos Buscar soluciones Querer negociar las conclusiones Negar los hechos y/o adoptar una actitud hostil Buscar culpables ( para echar culpas)
2. Hechos nuevos 3. Buscar soluciones
Presentación de los Planes de Acción por el Auditado ISO 17021, cláusula 9.1.11
La organización auditada debe describir: 1. Las no conformidades descubiertas y sus causas raíz 2. Las acciones correctivas y preventivas tomadas, o que se planean tomar, para eliminar las no conformidades detectadas, en un plazo definido
Se debe presentar un plan de acción por cada no conformidad, no un plan de acción global para todas las no conformidades
Planes de Acción Ejemplo Plan de Acción N˚ de no conformidad: 3
Proceso: Revisión por la dirección
Número de cláusula: 9.3
Descripción de la no conformidad: La organización no conservó información documentada como prueba de los resultados de las revisiones por la dirección Causa raíz: Falta de concienciación sobre este requisito y normalmente no se toman unos minutos para ello durante las reuniones Plan de acción : Nombrar un secretario para cada reunión de revisión por la dirección, enviar minutas a los participante luego de cada revisión por la dirección y guardar minutas de cada reunión como registro
Evaluación de los Planes de Acción por el Auditor Directrices • El auditado debe informar al auditor del estado de finalización de las acciones correctivas • El papel de auditor se limita a validar el análisis de las causas, los planes de acción y las medidas correctivas • No todas las medidas correctivas tienen que ponerse en práctica inmediatamente Basado en sus experiencia y su conocimiento, el auditor debe evaluar si los planes de acción son apropiados y abordan la causa raíz de la no conformidad