auditoría del sgcn según iso 22301
TRANSCRIPT
Sobre el Expositor
Maricarmen es Socio y Director General de Secure
Information Technologies, instructor, catedrático y especialista
en temas de Seguridad de la Información, Continuidad del
Negocio, gestión de continuidad del negocio y Gestión de
Servicios de Tecnología de Información, Gobierno
Corporativo, y Auditoría de TI. Es Asesor para instituciones
privadas y gubernamentales en México y Latinoamérica.
Instructor del BSI para las normas ISO22301, ISO27001,
ISO31000, ISO27031, ISO27005 e ISO20000. Miembro de
ISACA, ISC2, ALAPSI y ALAS y miembro del consejo editorial
de la revista DRJ en español.
Correo electrónico: [email protected]
Página web: www.secureit.com.mx
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Maricarmen Garcia, CBCP, LA BS25999 e ISO27001
Director GeneralSecure Intormation
Technologies
(México)
Temas a tratar:
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Temas a tratar:
• El proceso de auditoría de los Sistemas de Gestión y su
aplicabilidad al SGCN
• Actividades del proceso de auditoría
• Competencias requeridas para el equipo de auditorías del SGCN
• No Conformidades
• Elementos de auditoría tradicional y la auditoría del SGCN para
beneficio de la organización
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
El proceso de auditoría de un Sistema de Gestión
y su aplicabilidad a un SGCN
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Pag.6
• Designar al líder le auditoría
• Definir objetivos, alcance y criterios
• Determinar factibilidad
• Seleccionar equipo de auditoría
• Identificar responsables por parte del auditado
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Competencias del auditor
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Conocimiento y entendimiento de la gestión de continuidad del negocio.
• Experiencia y conocimiento en tecnología de información.
• Conocimiento de requerimientos legales y regulatorios relativos a gestiónde continuidad del negocio.
• Habilidades y entrenamiento en gestión de continuidad del negocio.
• Conocimiento de herramientas y software para la gestión de continuidaddel negocio.
• Conocimiento de estándares y mejores prácticas para la gestión decontinuidad del negocio, en específico de ISO 22301.
Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Leyes
• Regulaciones
• Contratos
• Acuerdos de Niveles de servicio
• Estatutos
• Normatividad interna
• Estándares internacionales
• Otras mejores prácticas
Definir el criterio de auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
ISO 31000IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea IIOCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
CRAMM
MAGERIT
TRA Working Guide
ISO 22301ARMS
UNE 71504
ERM Coso
Leyes
Metodología Interna
Regulaciones
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisar documentos relevantes asociados con la gestión decontinuidad del negocio, incluyendo registros y su adecuacióncon el criterio de auditoría.
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Revisión de ISO 22301
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Ejemplos:
• Política de gestión de continuidad del negocio
• Metodología de gestión de continuidad del negocio
• Reportes de análisis y evaluación de riesgos
• BIA
• Estrategias de Continuidad
• Plan de Continuidad y de Gestión de incidentes
• Reportes de pruebas
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar plan de auditoría
• Asignar trabajo a miembros del equipo
• Preparar documentos de trabajo
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Entendimiento de la organización
• Revisar y evaluar:
• Consideración de aspectos del contexto externo de la organización.
• Consideración de aspectos del contexto interno de la organización
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Política de gestión de continuidad del negocio (CL. 5.3 ISO 22301)
• Revisar y evaluar (buscar evidencia de conformidad):
5.3 Política:
La alta gerencia deberá establecer una política de continuidad del negocio quea) sea apropiada para el propósito de la organización,b) provea un marco de referencia para establecer objetivos de continuidad del negocio,c) incluya un compromiso para satisfacer requerimientos aplicables,d) incluya un compromiso para la mejora continua del SGCN.La política del SGCN deberá- estar disponible como información documentada- ser comunicada dentro de la organización- estar disponible para las partes interesadas, según sea apropiado,- ser revisada para su continua adecuación en intervalos definidos y cuando ocurran cambios significativos.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:
• Integración de la gestión de continuidad del negocio enlas practicas y procesos de la organización,
• Particularmente:
• Desarrollo de políticas.
• Planeación.
• Procesos de gestión de cambios.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Mecanismos de comunicación y reporte
• Revisar y evaluar:
• Comunicación de gestión de continuidad del negocio.
• Información disponible en los niveles apropiados de laorganización.
• Procesos de consulta con las partes interesadas.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio
• Revisar y evaluar:
• Definición de un tiempo y estrategia adecuados para laimplementación de la gestión de continuidad del negocio
• Aplicación de la política y procesos de gestión de continuidad delnegocio.
• Cumplimiento con requerimientos legales y regulatorios.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Implementación de la gestión de continuidad del negocio(Continuación).
• Revisar y evaluar:
• Toma de decisiones justificada y documentada.
• Resguardo de información.
• Sesiones de entrenamiento.
• Comunicación y consulta con partes interesadas.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Monitoreo y revisión
• Revisar y evaluar:
• Establecimiento de medidores de desempeño.
• Medición periódica del proceso.
• Revisión de que tan apropiados son la política, el marcode referencia y el plan de gestión de continuidad delnegocio.
• Reporte de riesgos de BIA
• Revisión de la efectividad.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Criterio de riesgo
• Revisar y evaluar si son considerados factores como:
• Naturaleza y tipos de consecuencias.
• Definición de “probabilidad / posibilidad”.
• Líneas de tiempo para probabilidad / posibilidad y/oconsecuencias.
• Como será determinado el nivel de riesgo.
• El nivel en el que el riesgo es aceptable o tolerable.
• Nivel de riesgo que requiere tratamiento.
• Si las combinaciones de riesgos se considerarán.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Identificación de riesgos.
• Revisar y evaluar si la organización identifica:
• Fuentes de riesgo.
• Áreas de impacto.
• Eventos y sus causas.
• Consecuencias potenciales.
• Vulnerabilidades
• Amenazas
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Análisis de riesgos
• Revisar y evaluar si la organización:
• Considera las causas y fuentes del riesgo.
• Consecuencias positivas y negativas.
• Probabilidad / posibilidad de ocurrencia.
• Factores que afectan las consecuencias o la probabilidad /posibilidad.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Evaluación de riesgos
• Revisar y evaluar si la organización:
• Compara el nivel de riesgos obtenido en le etapa deanálisis con el criterio establecido.
• Da tratamiento a los riesgos que no cumplen con el(los)criterio(s) de aceptación.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Tratamiento de riesgos
• Revisar y evaluar si la organización:
• Selecciona e implementa mecanismos para lamodificación de los riesgos que no cumplen con el criteriode aceptación.
Elementos a revisar
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Registros del proceso
• Revisar y evaluar si la organización:
• Cuenta con mecanismos para el registro de actividades degestión de continuidad y gestión de incidentes.
• Considera estos registros para la mejora del proceso degestión de continuidad del negocio.
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Reunión de inicio
• Comunicación durante la auditoría
• Roles y responsabilidades
• Recolectar y verificar información
• Documentar hallazgos
• Preparar conclusiones de la auditoría
• Reunión de cierre
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Preparar reporte de auditoría
• Aprobación
• Distribución
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Opcionales
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
Técnicas utilizadas y resultados
esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
Técnicas utilizadas
y resultados esperados
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García
• Revisión documental.
• Entrevista.
• Observación directa.
• Cuestionario.
• Muestreo.
Cómo efectuar auditorías del Sistema de Gestión de Continuidad del Negocio (BCMS) según el ISO 22301 – Maricarmen García