Coca cola organigrama de proceso empresariales.pptx
Auditoría del SGCN según ISO 22301
1.
2. Sobre el Expositor
Maricarmen es Socio y Director General de Secure
Information Technologies, instructor, catedrático y especialista
en temas de Seguridad de la Información, Continuidad del
Negocio, gestión de continuidad del negocio y Gestión de
Servicios de Tecnología de Información, Gobierno
Corporativo, y Auditoría de TI. Es Asesor para instituciones
privadas y gubernamentales en México y Latinoamérica.
Instructor del BSI para las normas ISO22301, ISO27001,
ISO31000, ISO27031, ISO27005 e ISO20000. Miembro de
ISACA, ISC2, ALAPSI y ALAS y miembro del consejo editorial
de la revista DRJ en español.
Correo electrónico: maricarmen.garcia@secureit.com.mx
Página web: www.secureit.com.mx
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Maricarmen Garcia, CBCP,
LA BS25999 e ISO27001
Director General
Secure Intormation
Technologies
(México)
3. Temas a tratar:
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
4. Temas a tratar:
• El proceso de auditoría de los Sistemas de Gestión y su
aplicabilidad al SGCN
• Actividades del proceso de auditoría
• Competencias requeridas para el equipo de auditorías del SGCN
• No Conformidades
• Elementos de auditoría tradicional y la auditoría del SGCN para
beneficio de la organización
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
5. El proceso de auditoría de un Sistema de Gestión
y su aplicabilidad a un SGCN
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
6. Pag.6
• Designar al líder le auditoría
• Definir objetivos, alcance y criterios
• Determinar factibilidad
• Seleccionar equipo de auditoría
• Identificar responsables por parte del auditado
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
7. Competencias del auditor
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Conocimiento y entendimiento de la gestión de continuidad del negocio.
• Experiencia y conocimiento en tecnología de información.
• Conocimiento de requerimientos legales y regulatorios relativos a gestión
de continuidad del negocio.
• Habilidades y entrenamiento en gestión de continuidad del negocio.
• Conocimiento de herramientas y software para la gestión de continuidad
del negocio.
• Conocimiento de estándares y mejores prácticas para la gestión de
continuidad del negocio, en específico de ISO 22301.
8. Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Leyes
• Regulaciones
• Contratos
• Acuerdos de Niveles de servicio
• Estatutos
• Normatividad interna
• Estándares internacionales
• Otras mejores prácticas
9. Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
ISO 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
CRAMM
MAGERIT
TRA Working Guide
ISO 22301
ARMS
UNE 71504
ERM Coso
Leyes
Metodología Interna
Regulaciones
10. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisar documentos relevantes asociados con la gestión de
continuidad del negocio, incluyendo registros y su adecuación
con el criterio de auditoría.
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Revisión de ISO 22301
11. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Ejemplos:
• Política de gestión de continuidad del negocio
• Metodología de gestión de continuidad del negocio
• Reportes de análisis y evaluación de riesgos
• BIA
• Estrategias de Continuidad
• Plan de Continuidad y de Gestión de incidentes
• Reportes de pruebas
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
12. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar plan de auditoría
• Asignar trabajo a miembros del equipo
• Preparar documentos de trabajo
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
13. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Entendimiento de la organización
• Revisar y evaluar:
• Consideración de aspectos del contexto externo de la organización.
• Consideración de aspectos del contexto interno de la organización
14. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Política de gestión de continuidad del negocio (CL. 5.3 ISO 22301)
• Revisar y evaluar (buscar evidencia de conformidad):
5.3 Política:
La alta gerencia deberá establecer una política de continuidad del negocio que
a) sea apropiada para el propósito de la organización,
b) provea un marco de referencia para establecer objetivos de continuidad del negocio,
c) incluya un compromiso para satisfacer requerimientos aplicables,
d) incluya un compromiso para la mejora continua del SGCN.
La política del SGCN deberá
- estar disponible como información documentada
- ser comunicada dentro de la organización
- estar disponible para las partes interesadas, según sea apropiado,
- ser revisada para su continua adecuación en intervalos definidos y cuando ocurran cambios
significativos.
15. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:
• Integración de la gestión de continuidad del negocio en
las practicas y procesos de la organización,
• Particularmente:
• Desarrollo de políticas.
• Planeación.
• Procesos de gestión de cambios.
16. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Mecanismos de comunicación y reporte
• Revisar y evaluar:
• Comunicación de gestión de continuidad del negocio.
• Información disponible en los niveles apropiados de la
organización.
• Procesos de consulta con las partes interesadas.
17. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio
• Revisar y evaluar:
• Definición de un tiempo y estrategia adecuados para la
implementación de la gestión de continuidad del negocio
• Aplicación de la política y procesos de gestión de continuidad del
negocio.
• Cumplimiento con requerimientos legales y regulatorios.
18. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio
(Continuación).
• Revisar y evaluar:
• Toma de decisiones justificada y documentada.
• Resguardo de información.
• Sesiones de entrenamiento.
• Comunicación y consulta con partes interesadas.
19. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Monitoreo y revisión
• Revisar y evaluar:
• Establecimiento de medidores de desempeño.
• Medición periódica del proceso.
• Revisión de que tan apropiados son la política, el marco
de referencia y el plan de gestión de continuidad del
negocio.
• Reporte de riesgos de BIA
• Revisión de la efectividad.
20. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Criterio de riesgo
• Revisar y evaluar si son considerados factores como:
• Naturaleza y tipos de consecuencias.
• Definición de “probabilidad / posibilidad”.
• Líneas de tiempo para probabilidad / posibilidad y/o
consecuencias.
• Como será determinado el nivel de riesgo.
• El nivel en el que el riesgo es aceptable o tolerable.
• Nivel de riesgo que requiere tratamiento.
• Si las combinaciones de riesgos se considerarán.
21. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Identificación de riesgos.
• Revisar y evaluar si la organización identifica:
• Fuentes de riesgo.
• Áreas de impacto.
• Eventos y sus causas.
• Consecuencias potenciales.
• Vulnerabilidades
• Amenazas
22. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Análisis de riesgos
• Revisar y evaluar si la organización:
• Considera las causas y fuentes del riesgo.
• Consecuencias positivas y negativas.
• Probabilidad / posibilidad de ocurrencia.
• Factores que afectan las consecuencias o la probabilidad /
posibilidad.
23. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Evaluación de riesgos
• Revisar y evaluar si la organización:
• Compara el nivel de riesgos obtenido en le etapa de
análisis con el criterio establecido.
• Da tratamiento a los riesgos que no cumplen con el(los)
criterio(s) de aceptación.
24. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Tratamiento de riesgos
• Revisar y evaluar si la organización:
• Selecciona e implementa mecanismos para la
modificación de los riesgos que no cumplen con el criterio
de aceptación.
25. Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Registros del proceso
• Revisar y evaluar si la organización:
• Cuenta con mecanismos para el registro de actividades de
gestión de continuidad y gestión de incidentes.
• Considera estos registros para la mejora del proceso de
gestión de continuidad del negocio.
26. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Reunión de inicio
• Comunicación durante la auditoría
• Roles y responsabilidades
• Recolectar y verificar información
• Documentar hallazgos
• Preparar conclusiones de la auditoría
• Reunión de cierre
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
27. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar reporte de auditoría
• Aprobación
• Distribución
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
28. Opcionales
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
29. Técnicas utilizadas y resultados
esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
30. Técnicas utilizadas
y resultados esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisión documental.
• Entrevista.
• Observación directa.
• Cuestionario.
• Muestreo.
31. Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Notes de l'éditeur
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García