Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021
Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021
Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021
SEGURIDAD Y RESILIENCIA.
SISTEMA DE GESTIÓN DE
CONTINUIDAD DE NEGOCIO.
ISO 22301:2019
ELIÉCER SÁNCHEZ SILVA
Doctor y magister en administración, ingeniero químico y especialista en gerencia de la producción mejoramiento continuo. Auditor
Líder/Jefe en sistemas integrados ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018; Registro interamericano de auditores calificado
de empresa-técnicas aseguramiento de procesos AlasPro®. Diplomado en: Sistemas de gestión de seguridad basados en las normas
ISO 27001 SGSI, ISO 28000 SGSCS e ISO 31000 gestión del riesgo; Dirección de Proyectos de Ingeniería – Estándar PMI®.
Certificado: Auditorías internas remotas con apoyo de TIC´s; ISO 19011 Auditorías sistemas de gestión y profesional Scrum Master
“SMPC”
Laboró en ECOPETROL S. A., durante 28 años en dónde se pensionó, desempeñándose como Gerente General (e), Gerente de
Producción, Superintendente Técnico y de Operaciones, Jefe de departamento de “HSEQ” en la Refinería de Barrancabermeja. Jefe
de División Tecnológica (e), del Instituto Colombiano del Petróleo “ICP”. Posee 432 horas de auditoría.
Amplia experiencia en Continuidad de negocio; gestión de activos, auditorías energéticas, procesos industriales y en Dirección y
Gestión Técnica de Proyectos en: servicios industriales, refinación y petroquímica, de diverso grado de complejidad, en áreas de
diseño, construcción, puesta en servicio, recibo, mantenimiento, operación y desincorporación, cubriendo el ciclo de vida de los
mismos.
Auditor interno en sistemas de gestión de: Continuidad de negocio ISO 22301; Seguridad de la información ISO 27001; Cadena de
suministro ISO 28000; Control y seguridad en el comercio internacional BASC v5; Activos ISO 55001; Energía ISO 50001; Auditorías
energéticas UNE-EN 16247-1 a 5; Proyectos ISO 21500; I+D+i UNE 166002; Evaluación HSE de contratistas NORSOK S-006;
Responsabilidad social SA 8000, SGE 21 y Antisoborno ISO 37001.
Actualmente: Experto técnico y Experto del comité de acreditación y apelaciones (OIN 11 y 19) del Organismo Nacional de
Acreditación de Colombia “ONAC”; Profesional externo, experto técnico y líder en formación de formadores de SGS Colombia SAS.;
Profesor universitario y Consultor empresarial.
[email protected]
OBJETIVO
DRII
BCI BS ASIS/BSI PAS 200
NFPA Prácticas BS25999: 2
Buenas BCM.01 ISO/IEC ISO 22301 ISO 22301
1600 Profesionales 25777
Prácticas Standard 27031
1995 1997 2002 2003 2006 2007 2008 2010 2011 2012 2019
PAS 56 BS25999-1 ISO/PAS ISO/IEC
22399 24762
NTC 5722 NTC ISO
22301
Colombia
© SGS SA 2019 ALL RIGHTS RESERVED 6
FAMILIA ISO 22300
Fuente: ISO22300:2018
Biológicos y Políticos
- Pandemias - Lluvias
- Guerra - Tormentas
- Huelga - Sismos
- Disturbios - Tsunami
- Inestabilidad política - Erupciones volcánicas
- Tensión geopolítica
- Hacker
- Spam - Pérdidas en general
- Malware - Daño equipo
- Spyware - Accidentes HSEQ
- Virus - Robos, sobornos etc.
- Redes eléctricas
- UPS
- Muertes - Internet
- Quiebras - Radioactividad
- Secuestro - Atentados infraestructura
- Incendio
- Explosiones
Fuente: Adaptado por SÁNCHEZ, Eliécer (2020). ¿Porqué un sistema de gestión para la continuidad del negocio?, en: http://normaiso22301.com/porque-iso22301/ Marzo 6 de 2013
ANEXO SL* - HLS
Directriz ISO para la redacción de normas de S.
de G. basada en tres pilares
• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
• Para cada norma particular usando los mismos textos • Para cada norma podrán
pueden adicionarse (texto estándar – anexo SL) establecerse definiciones
subcapítulos y • En todas las normas se adicionales pero solamente
subcláusulas. utilizarán términos iguales para términos técnicos de
con significados iguales. la especialidad.
* Define estructura y formato común para todas las nuevas normas de S.G. y la revisión de
las normas existentes.
© SGS SA 2019 ALL RIGHTS RESERVED 10
ESTRUCTURA DE ALTO NIVEL
4. Contexto de la Organización
5. Liderazgo
6. Planificación
Anexo
7. Recursos
SL
8. Operación
9. Evaluación de Desempeño
10. Mejora
© SGS SA 2019 ALL RIGHTS RESERVED 11
ESTRUCTURA DEL ESTÁNDAR ISO 22301:2019
SEGURIDAD Y RESILIENCIA - SGCN
Capítulo 0 • Introducción
Capítulo 1 • Alcance
Capítulo 3 • Términos
ESTRUCTURA DE LA
Capítulo 4 • Contexto de la Organización
NORMA ISO 22301:2019
Capítulo 5 • Liderazgo
Capítulo 6 • Planificación
Capítulo 7 • Apoyo
Capítulo 8 • Operación
Capítulo 10 • Mejora
Planificar: Hacer:
Establecer los objetivos del Planear Hacer Implementar lo planificado
sistema y sus procesos, y
los recursos necesarios para Capítulo Capítulo
generar y proporcionar
resultados de acuerdo con 4, 5, 6 y 7 8
los requisitos del cliente y
las políticas de la
organización, e identificar y
abordar los riesgos y las Actuar Verificar
oportunidades
Capítulo Capítulo
10 9 Verificar:
Actuar: Realizar el seguimiento y (cuando
sea aplicable) la medición de los
Tomar acciones para procesos, los productos y servicios
mejorar el desempeño, resultantes respecto a las políticas,
cuando sea necesario. los objetivos, lo requisitos y las
actividades planificadas, e informar
sobre los resultados
© SGS SA 2019 ALL RIGHTS RESERVED 15
CAPÍTULO 1
OBJETO Y CAMPO DE APLICACIÓN
(ALCANCE)
CAPÍTULO 2
REFERENCIAS NORMATIVAS
CAPÍTULO 3
TÉRMINOS
© SGS SA 2019 ALL RIGHTS RESERVED 16
CAPÍTULO 1. OBJETO Y CAMPO DE
APLICACIÓN (ALCANCE)
Es aplicable a todo tipo y tamaño de organizaciones que:
4
5
Contexto 6 7 8 9 10
Evaluación del
de la Liderazgo Planificación Soporte Operación Mejoramiento
desempeño
organización
Sistema de gestión
de continuidad de Información Programa de
negocio documentada ejercicios
Evaluación de la CN
documentación y
capacidad de CN
¿Afectan • Cuestiones
Capacidad Relevantes
para su
Internas
para lograr
objetivos? propósito • Cuestiones
Externas
Determinarlas
5.2 POLÍTICAS
5.2.3 FUNCIONES,
RESPONSABILIDAD Y
5.1 LIDERAZGO Y AUTORIDAD
COMPROMISO
LIDERAZGO
Liderazgo c)
Asegurando que los Recursos necesarios
para el SGCN se encuentren disponibles
y d) Comunicando la importancia de la CN
c)
Incluya el
compromiso
para
a) satisfacer los
requisitos
Estar vigentes
disponible a)
como c) Sea apropiada a los
información propósitos de la
documentada
Estar disponible para d) organización
las partes interesadas,
según convenga.
Estar disponible
paraellas
Incluya partes
compromiso
para interesadas,
el mejoramiento
según
continuo del sea
SGCN.
apropiado.
7.3 d) y
8.4.2.4 a)
Funciones
responsabilidades
y autoridad
5.2.3
• Cambio
• Cambio
c) d)
Disponibilidad
de recursos Asignación o
reasignación de
responsabilidades y
autoridad
7.2 Competencia
7.3 Conocimiento
7.4 Comunicación
7.5.1 Generalidades
7.5 Información Documentada
7.5.2 Creación y Actualización
7.5.3 Control de la
Información Documentada
Determinar la
competencia de las
personas que gestionan
la continuidad de
negocio; Asegurar tales competencias
y documentarlas
Recursos humanos
Nota Las acciones aplicables pueden incluir, por ejemplo, la formación, de tutoría, o la
reasignación de personas actualmente; o la contratación de personas competentes
© SGS SA 2019 ALL RIGHTS RESERVED 44
7.3 TOMA DE CONCIENCIA
b) Su contribución
para la eficacia
a) La política de del SGCN,
continuidad de incluyendo los
negocio beneficios de
mejorar el
desempeño de la
CN
en cuenta: SGCN
Cultura organizacional
en CN y cambio 5.2.3 y 8.4.2.4 a)
cultural
© SGS SA 2019 ALL RIGHTS RESERVED 45
7.4 COMUNICACIÓN
e) Quien
comunicará
d) Como
comunicar
d)
c) A quién
comunicar
b) Cuando
comunicar
a) Qué
comunicar
© SGS SA 2019 ALL RIGHTS RESERVED 46
7.5 INFORMACIÓN DOCUMENTADA
a)Disponible, donde y
7.5.3.1
a) La información a) Identificación y cuando se necesite
documentada descripción
requerida por este b) Protegida
documento
b) a) Distribución, acceso,
Formato (software) y recuperación y uso
medios de
b) La información b) Almacenamiento y
7.5.3.2
Soporte preservación
documentada que
la organización
determina como c) c)Control de cambios
necesaria para la Revisión y aprobación
eficacia del SGCN para conveniencia y
adecuación d) Conservación y
disposición
La información documentada de origen externo que la organización determina como necesaria para la planificación y
operación del SGCN debe identificarse según sea apropiado, y controlar
© SGS SA 2019 ALL RIGHTS RESERVED 47
CAPITULO 8
OPERACIÓN
8.2 ANÁLISIS IMPACTO AL NEGOCIO Y EVALUACIÓN DEL 8.3 ESTRATEGIAS Y SOLUCIONES PARA LA
RIESGO CONTINUIDAD DEL NEGOCIO
1. Generalidades
8.2.1 Generalidades
2. Identificación de estratégicas y
8.2.2 Análisis del impacto al negocio BIA soluciones
3. Selección de estrategias y
soluciones
8.2.3 Evaluación de Riesgos 4. Requisitos de recursos
5. Implementación de soluciones
8.4.1 Generalidades
8.4.2 Esquema de respuestas
8.4.3 Advertencia y comunicación
8.4.4 Planes para la continuidad del
8.6 EVALUACIÓN DE LA DOCUMENTACIÓN Y negocio
CAPACIDAD DE CONTINUIDAD DE NEGOCIO 8.4.5 Recuperación
- Documentales (información
Mantener la información documentada
documentada para tener confianza que los procesos
- Humanos (competencias, se llevan a cabo según lo planificado
autoridad y responsabilidad)
- Técnicos y de TI (Instrumentos,
hardware, software y demás) La organización debe controlar los cambios
- Emergencia planificados y revisar consecuencias de los
cambios no intencionados, tomando acción para
mitigar efectos adversos
6.3
a) Identificar el
riesgo de
interrupción de
las actividades
prioritarias de la
organización y de
sus recursos
requeridos;
b) Analizar y
valorar los
riesgos
identificados;
c) Determinar
cuáles riesgos
necesitan
tratamiento.
La organización debe:
Evaluación
BIA
de riesgos
8.2.2 (BIA)
Nota Los riesgos en este subnumeral se relacionan con la interrupción de las actividades de negocio. Los
riesgos y las oportunidades relacionadas con la eficacia del SG se abordan en el numeral 6.1
8.3. ESTRATEGIAS PARA LA CONTINUIDAD
DE NEGOCIO Y SOLUCIONES
Evidencia
a) Cumpla con los
requisitos para continuar
y recuperar las
actividades prioritarias
dentro del período de
tiempo identificado y la
capacidad acordada
b) Considere el
c) Considere los importe y tipo de
beneficios y riesgo que la
costos asociados organización puede
o no asumir
h) Socios y
La organización debe determinar los proveedores.
requisitos de recursos
correspondientes a las soluciones e)Sistemas de
seleccionadas. Los tipos de recursos a f) Transporte y información
considerar deben incluir, pero no logística (tecnología),
comunicaciones
limitarse a:
d) Equipos y b) Información y
consumibles datos
Diferentes a las
de la operación
normal c) Infraestructura
física
8.3
Estructura de
Estrategias Soluciones
Respuesta
• Alta Dirección
• Lideres
• Gestores
• Proveedores 8.4
• Empleados
Planes
Procedimientos
Esquema
Responsables, para
responder durante las
Mas
Uno o interrupciones.
equipos
8.4.3 8.3.3
© SGS SA 2019 ALL RIGHTS RESERVED 63
8.4. PLANES Y PROCEDIMIENTOS PARA LA
CONTINUIDAD DE NEGOCIO
8.4.3
a) Comunicar In./Ex. a las partes interesadas relevantes
incluyendo qué, cuando, con quien y que comunicar (ver nota)
Nota. La organización puede documentar y mantener procedimientos para cómo, y bajo que
circunstancias, la organización se comunica con sus empleados y sus contactos de emergencia.
© SGS SA 2019 ALL RIGHTS RESERVED 65
8.4. PLANES Y PROCEDIMIENTOS
PARA LA CONTINUIDAD DE NEGOCIO
8.4.3
a) f)
b) g)
h)
c)
d)
e)
Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que se requiera.
© SGS SA 2019 ALL RIGHTS RESERVED 69
8.4. PLANES Y PROCEDIMIENTOS PARA
LA CONTINUIDAD DE NEGOCIO
La organización debe:
Ver 9.3.2 h)
9.2.1 GENERALIDADES
EVALUACIÓN DEL DESEMPEÑO 9.2.2 PROGRAMAS DE AUDITORIA
9.3.1 GENERALIDADES
9.3.2 CONSIDERACIONES DE LA
REVISIÓN POR LA DIRECCIÓN
9.3.3 RESULTADOS DE LA
REVISIÓN POR LA DIRECCIÓN
Por Ejemplo:
- Seguimiento o monitoreo 8.4.2.3 f)
- Medir eficacia de los controles 9.3.3.1 d)
b) Los métodos de
1) I ndicado res
seguimiento, medición, 2) Monitoriza ción
análisis y evaluación 3) Reun ione s
Por Ejemplo:
3) Semestral
d) Cuándo y quien
realizará el análisis y la
1) En el comité mensual
evaluación de los
2) En la evaluación para el
resultados del
desempeño.
seguimiento y la
3) Rendición de cuentas
medición
La organización debe conservar la información documentada apropiada como evidencia de los resultados.
a) Es conforme con:
b)Se implementa y se
mantiene eficazmente
La organización debe:
a) Planear, establecer,
implementar y mantener
uno o varios programas
de auditoría que
incluyan la frecuencia,
los métodos, las c) Seleccionar los
responsabilidades, los auditores y llevar a cabo
requisitos de b) Definir los
auditorias para asegurar
planificación y la criterios de la
la objetividad y la
elaboración de informes, auditoría y el
imparcialidad de los
que deben tener en alcance de cada
procesos auditados;
consideración la auditoría;
importancia de los
procesos involucrados y
los resultados de las
auditorías previas;
e) Conservar
d) Asegurase de que información como
evidencia de la
los resultados de las implementación del
auditorías se
programa de
informen a la auditoria y de los
dirección pertinente;
resultados de las
auditorías;
Fuente: SÁNCHEZ SILVA, E. (2021). A partir de RÍOS GIRALDO, R M. Caja de herramientas de CN. Webinar Semana del libro Icontec. Marzo. 2021
9.3 REVISIÓN POR LA
DIRECCIÓN
9.3.1. Generalidades
e) La necesidad de cambios en el
SGCN, incluyendo la política y los
objetivos
© SGS SA 2019 ALL RIGHTS RESERVED 82
9.3 REVISIÓN POR LA
DIRECCIÓN
La revisión por la dirección debe considerar.
f) Los procedimientos y los recursos que
pueden usarse en la organización para
mejorar el desempeño y la eficacia del
SGCN;
h) Resultados de la evaluación de la
documentación y capacidad de
continuidad de negocio (ver numeral 8.6);
10.1
NO CONFORMIDAD
Y ACCIÓN
CORRECTIVA
10.2
MEJORA
CONTINUA
La determinación de si existen no
conformidades similares, o que
potencialmente puedan ocurrir
• CONTADURÍA GENERAL DE LA NACIÓN COLOMBIA. Plan de continuidad de negocio de TI. GTI-PCN01. Versión 4
de 22-07-2020. Unidad Administrativa Especial. Bogotá.
• INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC – ISO 31000:2018. Gestión del
riesgo. Directrices. ICONTEC. Bogotá.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO 22313:2020 Security and resilience — Business
continuity management systems — Guidance on the use of ISO 22301. ISO, Geneve.
• SHARP, John. El mapa de ruta. Hacia la gestión de la CN. Cumplimiento de los requisitos de la continuidad del
negocio. Icontec (bsi). Bogotá, 2018.