ISO 22301 - BCMS

¿Cómo debería determinarse el nivel de riesgo de una organización?. Combinando las consecuencias y probabilidades de los eventos. Combinando la importancia y la aceptación de los eventos. Combinando eventos aceptables y tolerables. Combinando la rentabilidad y el análisis de los eventos.

La continuidad del negocio es la capacidad que tiene una organización para reaccionar ante las disrupciones. ¿Qué debería ser el Sistema de Gestión de Continuidad de Negocio (BCMS)?. Una parte del sistema de Gestión de TI de la organización. Una parte del sistema de gestión global de la organización. Siempre debería gestionarlo un proveedor de servicios externo. Debería estar separado del sistema de gestión global de la organización.

¿A qué nivel ayuda un Plan de Continuidad del Negocio a operar en las Organizaciones?. Al 100% de sus capacidades originales. A las actividades principales. Al mejor nivel de esfuerzo de las capacidades. A niveles indeterminados de las capacidades.

¿De qué proceso deberían ser parte los programas de Continuidad de Negocio?. Del Proceso de Gestión de Incidencias. Del Proceso de Cumplimiento. Del Proceso de Gobierno. Del Proceso de Gestión de Problemas.

¿Cuál debería ser el alcance del BCMS para comprender las necesidades y expectativas de las partes interesadas?. Al menos los Procesos principales del Negocio. Solo los servicios que incluyen al departamento de TI. Todos los servicios rentables de la organización.

¿Cuales son los dos niveles de los objetivos de BCMS?. Nivel Legal y Regulatorio. Nivel Operacional y Táctico. Nivel Estratégico y Táctico. Nivel Táctico y Operacional.

Al determina el alcance del BCMS, ¿qué es cierto?. El alcance sólo está relacionado con las necesidades internas de la organización. El alcance siempre debería cubrir la totalidad de la organización. El alcance debería documentar y explicar cualquier exclusión. Nunca debería cambiarse el alcance.

La alta dirección deberá establecer una política de continuidad del negocio que sea apropiada y proporcione un marco de trabajo para establecer los objetivos de la continuidad del negocio. ¿Cada cuánto tiempo se deberían revisar las políticas de BCM?. Anualmente. Mensualmente. Trimestralmente. Regularmente.

La alta dirección debería demostrar su compromiso con el BCMS ¿Qué debería asegurar la Dirección del BCMS?. Que los requisitos están integrados en los procesos de negocio de la organización. Que los contratos de los proveedores de tecnología de la información soportan las necesidades de TI. Que las incidencias que afectan a la disponibilidad del servicio se abordan de inmediato.

¿Cómo debería demostrar la alta dirección su compromiso con el BCMS?. Nombrando un gestor de la continuidad del negocio. Llevando a cabo revisiones eficaces del BCMS por parte de la dirección. Garantizando que los objetivos del BCMS están alineados con los objetivos estratégicos del negocio. Contratando especialistas externos relacionados con el BCM.

La organización exige que las políticas se lleven a cabo siempre de acuerdo con el plan de diseño preestablecido y dando soporte a todas las funciones de negocio de una organización. ¿Cuál es la definición de una política de BCMS?. Una declaración por parte de la dirección de lo que la empresa debería hacer. La información, definida por la alta dirección, que una organización necesita controlar y mantener. Las intenciones de una organización y la dirección que quiere tomar la misma formalmente expuestas por su alta dirección. Un documento sobre el proceso de gestión y gobierno en curso establecido por la alta dirección.

El BCMS debería comprobarse. ¿De qué son responsables las personas a cargo del BCMS?. De garantizar que se establezcan políticas y objetivos. De la implementación de la tecnología del BCMS para la continuidad. De monitorizar cómo se revisan los documentos relacionados con el BCMS.

El establecimiento de una política de BCMS es el momento oportuno para proponer objetivos. La adhesión a dicha política garantizará su cumplimiento. ¿Qué debería incluir la política de BCMS?. Compatibilidad con la dirección estratégica de la organización. Definición de los indicadores clave de rendimiento a monitorizar durante un desastre. Factores críticos de éxito para la mejora de los objetivos.

El liderazgo de la dirección es fundamental en todas las etapas del proyecto de BCMS. ¿Cuáles son las responsabilidades de la alta dirección a la hora de implantar un BCMS?. La compatibilidad con la dirección estratégica de la organización. La invocación para activar la respuesta ante incidencias. Establecer objetivos detallados. La capacidad de ejecución.

El Apetito de Riesgo es un método para ayudar a guiar el enfoque de una organización hacia los riesgos y la gestión de riesgos. ¿A qué se refiere el término Apetito de Riesgo?. A la cantidad y tipo de riesgo que se ha de probar, validar o cambiar. A la cantidad y tipo de riesgo que se ha de aceptar, tolerar o perseguir. A la cantidad y tipo de riesgo que se ha de eliminar, remitir o investigar. A la cantidad y tipo de riesgo que se ha de identificar, analizar o evaluar.

El proceso global relacionado con la evaluación de riesgos incluye la identificación, análisis y la evaluación. ¿Qué es obligatorio?. Un documento denominado Informe de Evaluación de Riesgos. Las hojas de evaluación de riesgos o la información recogida a través de una herramienta de evaluación de riesgos. Un documento de política de evaluación de riesgos.

En lo que respecta a la concienciación y formación sobre la continuidad del negocio, ¿qué documento es obligatorio para determinar la competencia y eficacia del rendimiento?. Un Plan de Formación. Una estrategia de continuidad del negocio. Un documento denominado Plan de Concienciación. Una política de Evaluación de Riesgos.

La organización debería nombrar personal de respuesta ante incidencias que disponga de la responsabilidad, la autoridad y las competencias necesarias para gestionar una incidencia. ¿Cómo se puede asignar personal de respuesta ante Incidencias a los diferentes equipos?. Con base a las competencias demostradas. Con base a las habilidades de gestión y experiencia. Con base a su rol en la organización. Con base en su perfil de LinkedIn.

Diferentes tipos de formación pueden ser apropiados para roles específicos. ¿Qué tipo de materiales de formación son apropiados para las personas involucradas en la puesta en marcha y gestión del BCMS?. Las habilidades de comunicación. La realización de presentaciones en conferencias y seminarios. Las habilidades par ala evaluación de incidencias.

La organización debería establecer, implementar y mantener procedimientos para alertas y comunicación. ¿Qué procedimientos se debe establecer para la comunicación de Alertas e Incidencias para BCMS?. Un procedimiento para detectar, analizar, responder y corregir. Un procedimiento para interpretar, escalar, mantener y mejorar. Un procedimiento para organizar, priorizar, aprobar e implementar. Un procedimiento para detectar, monitorizar, compartir y registrar información.

¿Cuál es uno de los cinco elementos de BCM dentro de las operaciones?. Establecer e implementar los procedimientos para la continuidad del negocio. Auditoría externa. Revisión de la dirección.

La Organización debería determinar, planificar, implementar y controlar todas aquellas actividades operacionales necesarias para cumplir con su política de continuidad del negocio y alcanzar sus objetivos. ¿Qué proceso se recomienda para controlar dichas actividades?. La Gestión de Aplicaciones. La Gestión de Proyectos. La Gestión de Incidencias. La Gestión del Nivel de Servicio.

¿Qué conocido método de gestión debería adoptar una organización para garantizar que el BCMS se gestiona de forma eficaz?. La Gestión de Continuidad del Negocio. El Análisis de Impacto en el Negocio. La Gestión de Proyectos. La Gestión de Riesgos.

La dirección tiene la responsabilidad global de la creación, financiación, revisión y mantenimiento del programa de continuidad del negocio. ¿Cuál es una de las mejores prácticas de gestión clave para gestionar una capacidad efectiva de la continuidad del negocio?. Se habilita una capacidad de gestión de incidencias y proporciona una respuesta eficaz. Llevar a cabo revisiones periódicas de la gestión. El ejercicio periódico garantiza que la plantilla está formada para poder responder de forma eficaz ante cualquier incidencia o interrupción. La plantilla recibe ayuda de comunicaciones en caso de que ocurra una interrupción.

¿Cuál de los siguientes resultados NO es indicativo de un programa de continuidad del negocio eficaz?. Se limita el impacto de una disrupción en los servicio clave de la empresa. Se reduce la probabilidad de un disrupción. Se acorta el periodo disruptivo. Se asegura la cadena de suministro de la organización.

La organización debería establecer un proceso de evaluación formal para determinar los objetivos y prioridades de la continuidad del negocio y la recuperación. ¿Cuál es uno de los propósitos del Análisis de Impacto en el Negocio (BIA)?. Determinar la estrategia de continuidad del negocio. Determinar la interrupción mínima aceptable. La identificación de riesgos.

¿Cuál es el tipo de impacto relacionado con el negocio que se puede abordar en el BIA?. El daño a la reputación. El daño en las infraestructuras de una tercera parte. Sólo la disrupción de los procesos críticos del negocio.

¿Cuál es una de las opciones que una organización debe considerar al desarrollar la metodología BIA?. El cese o el cambio de la actividad del negocio si hay alternativas viables disponibles. El establecimiento de procesos alternativos o la creación de capacidad de redundancia/capacidad de reserva en los procesos. Las escalas de tiempo para la evaluación. La transferencia de una actividad del negocio a una tercera parte.

El Análisis de Impacto en el Negocio da una idea sobre el tiempo de recuperación y el momento de realización de las copias de seguridad. ¿Cómo se determina el momento de realización de las copias de seguridad?. A través de la Interrupción Máxima Aceptable (MAO). A través del Tiempo de Recuperación Objetivo (RTO). A través del Punto de Recuperación Objetivo (RPO). A través del Punto Único de Fallo (SPOF).

¿Cuál es un elemento que debería estar incluido en el contexto de la norma ISO 31000 (una norma para la Evaluación de Riesgos)?. La evaluación de la prioridades de recuperación. La identificación de dependencias entre actividades. La identificación de tratamientos.

Al evaluar los impactos potenciales sobre los periodos de disrupción durante un análisis de impacto en el negocio, ¿cuáles son los que la organización debería considerar?. Los recursos internos y externos. Los relacionados con las metas y objetivos del negocio y sus partes interesadas. Los servicios y productos clave de la organización. La reputación de la organización.

Al identificar los riesgos de las incidencias disruptivas, ¿cómo se consideran los puntos únicos de fallo (SPOF), las insuficiencias en los sistemas de protección contra incendios, la resiliencia eléctrica, la dotación de personal, la seguridad de TI y la resiliencia de TI. Como impactos. Como riesgos. Como amenazas. Como vulnerabilidades.

Una organización debería proporcionar procedimientos adecuados para responder a las amenazas imprevistas y a las condiciones cambiantes tanto externas como internas, y asegurar que sus actividades continúan basándose en los objetivos de recuperación identificados en el BIA. ¿Cómo deberían entenderse esos procedimientos de continuidad de Negocio?. Flexibles. Proactivos. Inteligentes. Estrictos.

Una organización debería poner en marcha procedimientos que la permitan prepararse para, mitigar y responder eficazmente ante las incidencias disruptivas. ¿Cómo podría manejar las organizaciones más pequeñas todos los aspectos de la respuesta ante incidencias?. Se podría utilizar un enfoque por niveles para la respuesta ante incidencias. Lo podría manejar un solo equipo, pero nunca debería ser la responsabilidad de una sola persona. Podrían ser necesarias medidas especiales para garantizar la eficacia de la comunicación con las partes interesadas. Se debería probar de forma periódica el sistema de alertas y comunicación.

¿Qué debería ser claramente identificable dentro de cada Plan de Continuidad de Negocio?. El proceso de gestión de competencias. El proceso de revisión de la dirección. El propósito y alcance. El apetito de riesgo.

Todos los planes de continuidad del negocio deben ser concisos y accesibles para aquellos con responsabilidades definidas dentro de los mismos. Puede haber varios planes de continuidad del negocio que de forma conjunta cubran las necesidades del negocio. ¿Que debería contener cada plan?. El procedimiento de respuesta que incluya detalles sobre las acciones y tareas que la dirección debe llevar a cabo. El procedimiento de respuesta para abordar las cuestiones a todos los niveles: opciones estratégicas, tácticas u operacionales. El procedimiento de respuesta debería incluir la gestión de cuestiones de asistencia social cuando sea apropiado. El procedimiento de respuesta debería incluir quién tiene la autoridad y cuál es el método para activar y desactivar los planes.

La organización realiza ejercicios y pruebas a sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio. ¿Qué método se puede utilizar para realizar ejercicios y pruebas al plan de continuidad del negocio?. Activar verbalmente los planes de respuesta ante incidencias y los planes de Recuperación. Comprobación manual no automatizada. Formación en línea (e-learning). Reportar las incidencias a través de una aplicación del soporte técnico.

La organización determina el rendimiento que debe monitorizarse, medirse y evaluarse. ¿Cuál es un prerrequisito crucial para la medición?. La Política de la Continuidad del Negocio. Los Objetivos de Continuidad del Negocio. Proporcionar formación para lograr el nivel deseado de conocimientos y habilidades. Establecer el alcance del BCMS.

La organización deberia llevar a cabo auditorías internas a intervalos planificados para descubrir no conformidades. ¿Cuál es un requisito para el programa de auditorías internas del BCMS?. Debería cubrir siempre el alcance del BCMS en su totalidad. Debería basarse en el alcance completo del BCMS. Debería incluir la totalidad de la plantilla.

La organización debería identificar las no conformidades, llevar a cabo acciones para controlarlas, contenerlas y corregirlas, hacer frente a las consecuencias y evaluar las necesidades de actuar. ¿Cuál debería ser la base para determinar la prioridad de las medidas correctivas?. Los resultados del registro de Incidencias. Los resultados de una auditoría interna. Los resultados de la revisión de la Dirección. Los resultados de la evaluación de riesgos y el análisis de impacto.