Esr - Estandar Iso 22301-2019

2/11/2020

ESR - Evernote Web

(5) Estándar ISO 22301: nueva versión 2019 para Continuidad del Negocio | LinkedIn Web Clip

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

1/21

2/11/2020

ESR - Evernote Web

Estándar ISO 22301: nueva versión 2019 para Continuidad del Negocio Published on June 30, 2019

     

Jorge E. Olaya T., PhD Consultor Organizacional y Auditor de Riesgos y Sistemas, Director en WARWICK Integral Consulting Services,Conferencista

16 articles

ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements es el estándar internacional certificable publicado por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la continuidad del negocio. Con la certificación las empresas interesadas podrán demostrar su cumplimiento a sus clientes, socios, entidades reguladoras, empleados, y otras partes interesadas, pero lo mas importante es que incluso sin la certificación, las empresas que se alinean con la norma ISO 22301 adquieren nuevas capacidades para la recuperación oportuna ante desastres graves futuros, lo que agrega mayor valor para sus clientes, en comparación con sus competidores que no han adoptado mejores practicas.

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

2/21

2/11/2020

ESR - Evernote Web

La actualización no incluye cambios dramáticos, pero si considera una mejora relevante que incluye más flexibilidad y menos prescripción, agregando más valor a las organizaciones y a sus clientes. Las empresas podrán cumplir con requerimientos legales de mejor manera, posicionarse ante los competidores al ofrecer mayores garantías de sostenibilidad ante los clientes, prevenir y evitar pérdidas internas de gran escala.

¿Cómo funciona ISO 22301? Ante la ocurrencia de eventos disruptivos (ataques, desastres naturales, conmoción social, sabotaje, accidentes, etc.), se debe priorizar en base al calculo de las perdidas esperadas (análisis de impacto en el negocio), qué escenarios disruptivos potenciales pueden afectar las operaciones del negocio (evaluación de riesgos), definiendo lo que se debe hacer para evitar que ocurran tales eventos y después cómo recuperar las operaciones mínimas y normales en el menor tiempo posible (mitigación de riesgos o tratamiento de riesgos).

ISO 22301 se basa en analizar los impactos contra las líneas de negocio y gestionar los riesgos: descubrir qué actividades del negocio y administrativas son más importantes y qué riesgos pueden afectarlos, y luego tratar sistemáticamente esos riesgos. https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

3/21

2/11/2020

ESR - Evernote Web

Las estrategias y soluciones que se implementarán generalmente son políticas, procedimientos, roles y responsabilidades, datos e información, componentes técnicos / físicos (instalaciones, software, equipos, planes, recursos técnicos especialistas). En ISO 22301 se plantea cómo combinar estructuradamente todos estos elementos en el Sistema de Gestión de la Continuidad del Negocio (BCMS – Business Continuity Management System).

Contenido de ISO 22301 Son 11 secciones. las secciones 4 a 10 son obligatorias, todos sus requisitos deben implementarse para cumplir con el estándar. El estándar incluye estas secciones:

Introducción: explica el propósito de ISO 22301 y su compatibilidad con otras normas.

4. Contexto de la organización: define los requisitos para comprender los problemas externos e internos, las partes interesadas y sus requisitos, y define el alcance del BCMS.

ió d l

i

ió

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

4/21

2/11/2020

ESR - Evernote Web

 4.1 Comprensión de la organización y su contexto.

 4.2 Comprender las necesidades y expectativas de las partes interesadas.

 4.3 Determinar el alcance del sistema de gestión de continuidad del negocio.

 4.4 Sistema de gestión de continuidad del negocio.

5. Liderazgo: define las responsabilidades de la alta dirección, estableciendo los roles, responsabilidades y autoridades, y los contenidos de la política de continuidad del negocio de alto nivel.

 5.1 Liderazgo y compromiso.

 5.2 Política.

 5.3 Roles, responsabilidades y autoridades.

6 Planificación: define los requisitos para abordar riesgos y oportunidades

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

5/21

2/11/2020

ESR - Evernote Web

6. Planificación: define los requisitos para abordar riesgos y oportunidades, establecer los objetivos de continuidad del negocio y planificar cambios en el BCMS.

 6.1 Acciones para abordar riesgos y oportunidades.

 6.2 Objetivos de continuidad del negocio y planes para alcanzarlos.

 6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio.

7. Soporte: define los requisitos de disponibilidad de recursos, competencias, conocimiento, comunicación y control de documentos y registros.

 7.1 Recursos.

 7.2 Competencia.

 7.3 Conciencia.

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

6/21

2/11/2020

ESR - Evernote Web

 7.4 Comunicación.

 7.5 Información documentada.

8. Operación: define la implementación de análisis de impacto en el negocio, evaluación y tratamiento de riesgos, estrategias de continuidad del negocio, soluciones, planes y procedimientos, programa de ejercicios (pruebas) y evaluación de la documentación, y capacidades de continuidad del negocio para lograr los objetivos de continuidad del negocio.

 8.1 Planificación y control operacional.

8.2 Análisis de impacto en el negocio y evaluación de riesgos.

 8.3 Estrategias y soluciones de continuidad en el negocio.

 8.4 Planes y procedimientos de continuidad en el negocio.

 8.5 Programa de ejercicios. https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

7/21

2/11/2020

g

j

ESR - Evernote Web

 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.

9. Evaluación del desempeño: define los requisitos de monitoreo, medición, análisis, evaluación, auditoría interna y revisión de la administración.

 9.1 Monitoreo, medición, análisis y evaluación.

 9.2 Auditoría interna.

 9.3 Revisión de la gerencia.

10. Mejora: define los requisitos para no conformidades, correcciones, acciones correctivas y mejora continua.

 10.1 No conformidad y acción correctiva.

 10.2 Mejora continua. https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

8/21

2/11/2020

ESR - Evernote Web

Cambios Previstos Nombre de la norma. Ha pasado de «Societal security Business continuity management systems Requirements» a «Security and resilience Business continuity management systems -Requirements».

Entre los cambios a DEFINICIONEStenemos:

En la cláusula 3 "Términos y definiciones", se modificaron, redefinieron, eliminaron y agregaron varios términos. Los principales cambios incluyen:

INTRODUCCION de consecuencia, interrupción, emergencia, impacto, información, probabilidad, gestión, medida, planificación, protección, resistencia, revisión (actualización), cadena de suministro, entrenamiento, recuperación en lugar de "RPO, RTO“. ELIMINACION de los términos BCM, BCP, documento, infraestructura, https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

9/21

2/11/2020

ESR - Evernote Web

invocación, MAO, MTPD, MBCO, apetito de riesgo. REDEFINICION del termino BCMS. Actividades priorizadas CAMBIADA "actividad priorizada“. El concepto de producto o servicio ligeramente MODIFICADO. Probando REEMPLAZADO por el término "prueba“.

Se agregaron notas con referencia a los términos MTPD y RTO (ambos eliminados).

En la versión de 2012, “apetito por el riesgo” se definió como la “cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener”. La versión 2019 elimina el término. El “apetito por el riesgo” no solo es un tema subjetivo, sino que, en última instancia, también es irrelevante: lo que importa no es el riesgo que una organización está dispuesta a asumir, sino el nivel en el que el impacto de no reanudar las actividades sería inaceptable para una organización.

Los términos y definiciones se actualizaron para incluir la Plataforma de navegación en línea ISO y la Electropedia IEC; plataformas de información basadas 10/21

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

2/11/2020

ESR - Evernote Web

navegación en línea ISO y la Electropedia IEC; plataformas de información basadas en la web.

En cuanto a cambios en CONTEXTODE LA ORGANIZACIÓN:

Se reducen requisitos a lo esencial para BCM. En la Sección 4.1 de la versión 2012, se prescribe lo que la empresa debe realizar y documentar para entender la organización y todo su contexto. La nueva versión 2019 establece la necesidad de definir y determinar simplemente problemas externos e internos de la empresa y su contexto, pero sin especificar lo que esto conlleva. No dice que elementos tener en cuenta, ni incluye requisitos a documentar para este proceso.

De igual modo ocurre en la Sección 7.4 sobre comunicación.

La versión 2019 es marcadamente menos prescriptiva.

En cuanto a cambios en LIDERAZGO:

La cláusula 5 sobre Liderazgo fue recortada -participación de la alta dirección (5.2). Alta dirección concentrada en lo necesario. https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

11/21

2/11/2020

ESR - Evernote Web

Aunque en la versión anterior se requería una participación activa en el ejercicio y la prueba y todas las etapas, la nueva versión es más pragmática y se enfoca en lo que es realmente necesario para mantener el sistema de gestión. 

En cuanto a cambios en PLANIFICACION Y SOPORTE.

Se mejoró la cláusula 6 sobre Planificación, concentrándose en los objetivos de continuidad del negocio y la planificación para lograrlos (6.2).

Se introdujo una nueva sub-cláusula sobre planificación de cambios al BCMS (6.3). Requiere que la empresa realice cambios al BCMS “de manera planificada”.

La cláusula 7 en Soporte fue simplificada.

En cuanto a cambios en OPERACION.

La Cláusula 8 (Operación) aborda el núcleo de la continuidad del negocio. La estructura de las sub-cláusulas no se modificó mucho, se mejoraron las nuevas https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

12/21

2/11/2020

ESR - Evernote Web

adiciones al contenido. Por ejemplo, la sub-cláusula 8.2.2 "Análisis de impacto en el negocio" se mejoró y se agregó una referencia a ISO 22318 (continuidad de la cadena de suministro).

La Sección 8.2.2 sobre Análisis de impacto en el negocio (BIA) ahora estipula que el BIA debe tomar categorías de impacto como punto de partida. Si bien muchas organizaciones ya definen categorías de impacto en su BIA, la nueva versión 2019 lo hace obligatorio.

Obligatoriedad al definir categorías de impacto. En la Sección 8.3 se ha cambiado el nombre “Estrategia de Continuidad de Negocios” a “Estrategias y Soluciones de Continuidad de Negocios”. Demuestra pragmatismo con el interés en encontrar estrategias y soluciones para posibles impactos o riesgos específicos (en 8.3.2) , en lugar de concentrarse en desarrollar una gran estrategia para garantizar la continuidad: “La organización debe identificar y seleccionar las estrategias de continuidad del negocio en función de los resultados del análisis de impacto en el negocio y la evaluación de riesgos. Las estrategias de continuidad del negocio estarán compuestas por una o más soluciones“.

Nivel de impacto para no reanudar una actividad. En la versión 2012 se definía la cantidad y tipos de riesgos que una empresa es capaz de administrar, en la nueva ió l i

t

t

l i

té di

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

t

i

i

l i l d13/21

2/11/2020

ESR - Evernote Web

versión lo importante no es el riesgo que se esté dispuesto a asumir, sino el nivel de impacto que este riesgo pueda provocar en las actividades, y el impacto que se genere para reanudar o no la actividad.

La cláusula 8.4 (anteriormente denominada "Establecer e implementar procedimientos de continuidad de negocios") ha sido renombrada a "Planes y procedimientos de continuidad de negocios", concentrándose en la "Estructura de respuesta" (8.4.2), "Advertencia y comunicación" (8.4.3), " Planes de continuidad de negocio ”(8.4.4) y“ Recuperación ”(8.4.5).

Una sub-cláusula sobre "Programa de ejercicios" (8.5) reemplaza la sub-cláusula anteriormente llamada "Ejercicio y prueba".

En cuanto a cambios en MEJORAMIENTO.

La cláusula 9 sobre "Evaluación del desempeño y la cláusula 10 " Mejora " se simplifico, considerando los nuevos requisitos para alinearse con todas las normas de sistema de gestión de ISO.

Cronología y transición https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

14/21

2/11/2020

ESR - Evernote Web

Más de 4000 empresas tienen un certificado ISO 22301 (hasta 2018). Habrá un período de transición de tres años. Todos los certificados en la versión 2012 perderían su validez en el otoño de 2022. No hay cambios estructurales importantes, lo que facilita la transición para las empresas que ya dispongan de la certificación. 

Si tienen consultas, necesidades de capacitación o asesoría, escríbanme a [email protected], a sus ordenes.

#ISO22301 #disasterrecovery #riesgos #transformaciondigital #continuidadnegocio #Ecuador

Keywords: #continuidadnegocio, #gestionderiesgos, #RiesgoOperativo, 24762, Resilience, Continuidad, Sostenibilidad, Seguridad, 22301, 22301:2019, 22319, 22398, 22317, 25999, NIST

Referencias: https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

15/21

2/11/2020

ESR - Evernote Web

•Construir / Implementar un Plan de Continuidad del Negocio y un BCMS que funcionen https://www.linkedin.com/pulse/construir-implementar-un-plan-decontinuidad-del-y-olaya-t-phd

•https://advisera.com/27001academy/what-is-iso-22301/

•Lo que no debe hacer al implementar con la Norma ISO 22301 para Continuidad del Negocio http://noen22301.blogspot.com/

•Cronología de las Normas, Marcos, Estándares, Modelos : Ultimas Décadas – Resumen de Jorge E.Olaya T. https://www.linkedin.com/pulse/cronolog%C3%ADade-las-normas-marcos-est%C3%A1ndares-modelos-olaya-t-phd/ 

•Gestion de Riesgos combinando Business Analytics y herramientas de Business Intelligence https://www.amazon.com/dp/B01MYM3WP6

•ISO 22301:2019 ¿Qué cambiará? PECB https://insights.pecb.com/iso-22301-revisionchanges/  https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

16/21

2/11/2020

ESR - Evernote Web

•ITIL 4 (2019) y la Co-Creación de Valor con 34 prácticas de Gestión de Servicios https://lnkd.in/exrpGhz 

•https://info.advisera.com/27001academy/free-download/project-checklist-for-iso22301-implementation

•Ciclo de Vida actualizado de la Gestión de Proyectos https://www.linkedin.com/pulse/ciclo-de-vida-actualizado-la-gesti%25C3%25B3nproyectos-jorge-e-olaya-t-phd

•COSO ERM 2017 establece un antes y un después en la Gestión de Riesgos, tal como ocurrió con COSO ERM 2004 https://www.linkedin.com/pulse/coso-erm-2017establece-un-antes-y-despu%C3%A9s-en-la-de-olaya-t-phd?published=t 

•https://info.advisera.com/27001academy/free-download/checklist-of-iso22301mandatory-documentation

•ISO Tools https://www.isotools.org/2019/02/26/gestion-de-continuidad-del-negociorevision-de-iso-22301/  https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

17/21

2/11/2020

ESR - Evernote Web

•El borrador del estándar 22301:2019 https://lnkd.in/gEY2eQc 

•Estrategia de Servicios de TI en Ecuador y Latinoamérica/ http://estrategiadeserviciosti.blogspot.com/ 

•Pasos críticos para fortalecer la seguridad informática (cyber security) https://www.linkedin.com/pulse/pasos-cr%C3%ADticos-para-fortalecer-laseguridad-cyber-olaya-t-phd?published=t 

•Visión evolucionada de la Gestión Integral de Riesgos https://www.linkedin.com/pulse/visi%C3%B3n-evolucionada-de-la-gesti%C3%B3nintegral-riesgos-olaya-t-phd?trk=vfeed&lipi=urn%3Ali%3Apage%3Ad_flagship3_detail_base%3BA6bohXK7SIrSsRr%2 BpCDSlA%3D%3D

•¿Cuáles son las referencias apropiadas para las mejores prácticas globales de la Gerencia de Proyectos ? https://www.linkedin.com/pulse/cu%C3%A1les-son-lasreferencias-apropiadas-para-mejores-de-olaya-t-phd/

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

18/21

2/11/2020

ESR - Evernote Web

•Controlando y Monitoreando Proyectos con PMBOK® Guide –6ta Edición https://www.linkedin.com/pulse/controlando-y-monitoreando-proyectos-conpmbok-guide-olaya-t-phd/

•Buenas practicas de Mejoramiento Continuo http://mejoramientocontinuoitilcsi.blogspot.com/ 

•Gestión de continuidad del negocio: la revisión de la ISO 22301 y sus cambios https://bit.ly/2U28xDw 

Published by            

Jorge E. Olaya T., PhD

16 articles

Consultor Organizacional y Auditor de Riesgos y Sistemas, Director en WARWICK Integral Consulting Services,Conferencista Published • 8mo

La versión inicial de la norma ISO 22301 (2012), única referencia global para los sistemas de gestión de la continuidad del negocio, será reemplazada en el 2019 con una nueva versión. La actualización no incluye cambios dramáticos, pero si es una mejora que producirá mayor valor.

Reactions

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

19/21

2/11/2020

ESR - Evernote Web

14 Comments Most Relevant

Add a comment… Cesar Martinez • 3rd+ Auditor Independiente

excelente

7mo

  

Carlos Alberto Vargas • 3rd+ General Manager en ACTrust S.A.S

Buenas expectativas. Estamos esperando esta revisión. La actual está muy vieja. Importante que la 7mo     nueva permita una articulación cerrada con la 27001 que también requiere revisión y actualización. Nuestro mundo ha cambiado bastante en estos últimos seis años y hay un elemento que debe incluirse en ambos SDG: Las soluciones y estrategias de recuperación asociadas con la ciberseguridad.   

Jorge E. Olaya T., PhD Consultor Organizacional y Auditor de Riesgos y Sistemas, Director en WARWICK Integral Consulting Services,Conferencista

More from Jorge E. Olaya T., PhD

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

20/21

2/11/2020

ESR - Evernote Web

Glosario de Gestión de Servicios basado en ITIL4, SIAM, ISO 20000:2018 Jorge E. Olaya T., PhD on LinkedIn

See all 16 articles

Ciclo de Vida actualizado de la Gestión de Proyectos Jorge E. Olaya T., PhD on LinkedIn

ITIL 4 (2019) y la Co-Creación de Valor con 34 prácticas de Gestión de Servicios

Cronología d Estándares, M Décadas

Jorge E. Olaya T., PhD on LinkedIn

Jorge E. Olaya

Share

https://www.evernote.com/u/0/client/web#?b=f94f84ae-4fa9-49f9-93ab-9bdf41dc063c&n=acac478f-fc96-48c1-ab1b-8379bddb8fd9&s=s433&search=v4&

·

21/21