La planificación de contingencia y la recuperación ante desastres fueron en gran medida respuestas impulsadas por la tecnología de la información a desastres naturales y terrorismo que afectaron a las empresas durante los años ochenta y principios de los noventa.
Sin embargo, se reconoció cada vez más que esto debía convertirse en un proceso dirigido por los negocios y abarcar la preparación para muchas formas de interrupción. A la luz de esto, la disciplina se hizo conocida como Gestión de Continuidad del negocio (BCM).
A medida que los gobiernos y los reguladores comenzaron a reconocer el papel de la continuidad comercial en la mitigación de los efectos de los incidentes disruptivos en la sociedad, cada vez más buscaron asegurarse de que los actores clave tuvieran acuerdos de continuidad comercial adecuados. Del mismo modo, las empresas reconocieron su dependencia mutua y buscaron garantías de que los proveedores y socios clave continuarían brindando productos y servicios clave, incluso cuando ocurrieran incidentes.
Cuando las organizaciones que operan internacionalmente comenzaron a pedir un solo Estándar Internacional, se desarrolló ISO 22301: 2012, Seguridad social – Sistemas de gestión de continuidad del negocio – Requisitos. El nuevo estándar es el resultado de un interés global significativo, cooperación y aportes.
Indice
¿Qué es ISO 22301?
ISO 22301 es un estándar de sistemas de gestión para la continuidad de negocio que puede ser utilizado por organizaciones de todos los tamaños y tipos.
Estas organizaciones podrán obtener una certificación acreditada de acuerdo con este estándar y demostrar a los legisladores, reguladores, clientes, posibles clientes y otras partes interesadas que se adhieren a las buenas prácticas en Gestión de la continuidad de negocio. ISO 22301 también permite que el gerente de continuidad del negocio muestre a la alta gerencia que se ha alcanzado un estándar reconocido.
Si bien ISO 22301 se puede utilizar para la certificación y, por lo tanto, incluye requisitos bastante breves y concisos que describen los elementos centrales de BCM, se está desarrollando un estándar de orientación más extenso (ISO 22313) para proporcionar mayores detalles sobre cada requisito en ISO 22301.
ISO 22301 también puede usarse dentro de una organización para medirse contra las buenas prácticas y por auditores que deseen informar a la gerencia. Por lo tanto, la influencia de la norma será mucho mayor que la de aquellos que simplemente eligen ser certificados según la norma.
Requisitos
ISO 22301 es el segundo estándar de sistemas de gestión publicado que ha adoptado la nueva estructura de alto nivel y el texto estandarizado acordado en ISO. Esto garantizará la coherencia con todos los estándares del sistema de gestión futuros y revisados y facilitará el uso integrado con, por ejemplo, ISO 9001 (calidad), ISO 14001 (medioambiental) e ISO / IEC 27001 (seguridad de la información).
El estándar se divide en 10 cláusulas principales, comenzando con el alcance, las referencias normativas y los términos y definiciones. Los siguientes son los requisitos de la norma.
Contexto de la organización
El primer paso consiste en conocer la organización, las necesidades internas y externas, y establecer límites claros para el alcance del sistema de gestión.
En particular, esto requiere que la organización comprenda los requisitos de las partes interesadas relevantes, como los reguladores, los clientes y el personal. Debe comprender los requisitos legales y reglamentarios aplicables. Esto le permite determinar el alcance del sistema de gestión de continuidad del negocio.
Liderazgo
ISO 22301 pone un énfasis particular en la necesidad de un liderazgo apropiado de BCM. Esto es para que la alta gerencia se asegure de que se proporcionen los recursos apropiados, establezca una política y designe personas para implementar y mantener el Sistema de Gestión de Continuidad de negocio.
Planificación
Esto requiere que la organización identifique los riesgos para la implementación del sistema de gestión y establezca objetivos y criterios claros que puedan usarse para medir su éxito.
Soporte
Dado que se requieren recursos para la implementación, la Cláusula 7 introduce el importante concepto de competencia.
Para que la continuidad del negocio sea exitosa, las personas con los conocimientos, habilidades y experiencia adecuados deben estar en su lugar para contribuir al BCMS y responder a los incidentes cuando ocurran. También es importante que todo el personal sea consciente de su propio papel en la respuesta a incidentes y esta cláusula se ocupa de todas estas áreas.
Aquí también se cubre la necesidad de comunicación sobre el BCMS, por ejemplo, para informar a los clientes que la organización tiene un BCM apropiado, y la preparación para comunicarse después de un incidente (cuando los canales normales pueden verse afectados).
Operaciones
Esta sección contiene el cuerpo principal de experiencia específica de continuidad del negocio.
La organización debe realizar un análisis de impacto comercial para comprender cómo su negocio se ve afectado por la interrupción y cómo esto cambia con el tiempo. La evaluación de riesgos busca comprender los riesgos para el negocio de una manera estructurada y esto informa el desarrollo de la estrategia de continuidad del negocio.
Los pasos para evitar o reducir la probabilidad de incidentes se desarrollan junto con los pasos a seguir cuando se producen incidentes. Como es imposible predecir y prevenir completamente todos los incidentes, el enfoque de equilibrar la reducción de riesgos y la planificación para todas las eventualidades es complementario.
ISO 22301 enfatiza la necesidad de una estructura de respuesta a incidentes bien definida. Esto asegura que cuando ocurran incidentes, las respuestas se escalen de manera oportuna y las personas estén facultadas para tomar las medidas necesarias para ser efectivas.
Se enfatiza la seguridad de la vida y se señala que la organización debe comunicarse con las partes externas que puedan verse afectadas, por ejemplo, si un incidente presenta un riesgo nocivo o explosivo para las áreas públicas circundantes.
Los requisitos para los planes de continuidad del negocio también se establecen en la Cláusula 8. Los documentos centrados en el usuario, que se entienden rápidamente, son más adecuados que los documentos grandes y difíciles de manejar adecuados para los auditores.
Un requisito no abordado previamente en los estándares de continuidad del negocio es la necesidad de planificar un retorno al negocio normal. Este simple requisito desmiente el pensamiento, ya que las organizaciones deben determinar qué hacer una vez que se haya abordado la emergencia inicial.
La subsección final de la sección 8 cubre ejercicios y pruebas, una parte clave de BCM. Las pruebas son donde se demuestra que algún elemento de los acuerdos de continuidad del negocio funciona o no. Por ejemplo, es posible probar si el generador funcionará encendiéndolo.
Un ejercicio puede incluir pruebas, pero generalmente es un enfoque más matizado que simula algún aspecto de la respuesta a un incidente. Esto generalmente incluirá elementos de capacitación y creación de conciencia sobre cómo manejar incidentes disruptivos con características difíciles e inusuales, así como descubrir si los procesos funcionan como se esperaba.
Los ejercicios y las pruebas son fundamentales en ISO 22301: es solo a través de ejercicios estructurados, que deberían extenderse a las personas y los equipos involucrados, que una organización puede lograr una garantía objetiva de que sus arreglos funcionarán según lo previsto y cuando sea necesario.
Evaluación
Para cualquier sistema de gestión, es esencial evaluar el desempeño contra el plan. ISO 22301, por lo tanto, requiere que la organización seleccione y se mida contra las métricas de rendimiento apropiadas.
Las auditorías internas deben llevarse a cabo y existe el requisito de que la gerencia revise el BCMS y actúe sobre estas revisiones.
Mejora
Ningún sistema de gestión es perfecto desde el principio, y las organizaciones y sus entornos cambian constantemente. La cláusula 10 define las acciones a tomar para mejorar el BCMS a lo largo del tiempo y garantizar que se aborden las acciones correctivas derivadas de auditorías, revisiones, ejercicios, etc.
Beneficios
Si bien tu organización ya puede tener planes de continuidad del negocio (BCP), a menudo estos no se prueban y pueden quedar obsoletos rápidamente.
Un Sistema de Gestión de Continuidad de negocio alineado con el estándar internacional, ISO 22301, asegurará que tus BCP se mantengan actualizados y se conviertan en parte de la cultura de su organización. Te ayudará a mitigar de manera efectiva y continua los riesgos de BCM y a adoptar un enfoque integrado para gestionar la continuidad del negocio.
Los principales beneficios de tener un sistema de gestión de continuidad de negocio (SGCN) son los siguientes.
Implementar BCP completos y personalizados
Un SGCN permite a las organizaciones evaluar los posibles impactos de una interrupción operativa, implementar BCP efectivos y minimizar el impacto general para la organización.
Desarrollar procedimientos robustos de respuesta y recuperación
ISO 22301 proporciona un marco sólido para desarrollar procedimientos eficaces de respuesta y recuperación de incidentes para garantizar que tu organización pueda recuperarse rápidamente en caso de una interrupción.
Proteger los activos, la facturación y las ganancias
El SGCN efectivo garantizará la continuidad de los servicios críticos para proteger el flujo de ingresos y los activos del negocio, y reducirá el riesgo de pérdidas adicionales debido a un incidente o desastre.
Cumplir con los requisitos legales y reglamentarios
El uso de ISO 22301 como marco para su SGCN proporcionará evidencia de que la organización ha tomado los pasos necesarios para cumplir con ciertos requisitos reglamentarios y deberes del director.
Monitorizar y probar tu Plan de continuidad de negocio para asegurarte de que estás preparado
Un SGCN permite a las organizaciones probar, actualizar, controlar e implementar BCP efectivos, teniendo en cuenta las contingencias y capacidades de la organización, así como las necesidades del negocio.
Mejorar los procesos y el enfoque organizacional
La implementación de un SGCN implica evaluar los procesos organizacionales para identificar posibles ineficiencias que pueden mejorarse y ayuda a su organización a enfocarse en sus objetivos y dirección.
Aumentar la ventaja competitiva y la reputación corporativa
Un SGCN efectivo mejorará la confianza del cliente en la capacidad de la organización para responder a una serie de incidentes y eventos y mantener operaciones comerciales críticas en caso de desastre.
¿Quién puede implementar este estándar?
Cualquier tipo de organización, grande o pequeña, con o sin fines de lucro, privada o pública, puede beneficiarse de la norma ISO 22301. La norma está concebida de tal manera que sea aplicable a cualquier tamaño o tipo de organización.
¿Cómo funciona ISO 22301?
El enfoque de ISO 22301 es garantizar la continuidad de la entrega comercial de productos y servicios después de la ocurrencia de eventos disruptivos (por ejemplo, desastres naturales, desastres provocados por el hombre, etc.).
Esto se hace mediante la búsqueda de prioridades de continuidad comercial (a través del análisis de impacto comercial), qué eventos disruptivos potenciales pueden afectar las operaciones comerciales (a través de la evaluación de riesgos), definiendo lo que se debe hacer para evitar que ocurran tales eventos y luego definiendo cómo recuperar el mínimo y operaciones normales en el menor tiempo posible (es decir, mitigación de riesgos o tratamiento de riesgos).
Por lo tanto, la filosofía principal de ISO 22301 se basa en analizar los impactos y gestionar los riesgos: descubre qué actividades son más importantes y qué riesgos pueden afectarlas, y luego trata sistemáticamente esos riesgos.
Las estrategias y soluciones que se implementarán generalmente son en forma de políticas, procedimientos e implementación técnica / física (por ejemplo, instalaciones, software y equipos).
En la mayoría de los casos, las organizaciones no cuentan con todas las instalaciones, el hardware y el software; por lo tanto, la implementación de ISO 22301 implicará no solo establecer las reglas de la organización que son necesarias para evitar incidentes disruptivos, sino también desarrollar planes y asignación de recursos técnicos y de otro tipo para hacer posible la continuidad y recuperación de las actividades comerciales.
Debido a que dicha implementación requerirá una serie de políticas, procedimientos, personas, activos, etc. para ser administrados, ISO 22301 ha descrito cómo encajar todos estos elementos en el Sistema de Gestión de Continuidad del Negocio (BCMS).
Contenido de ISO 22301
ISO 22301 se divide en 11 secciones. Las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que significa que todos sus requisitos deben implementarse en una organización si quiere cumplir con el estándar.
El estándar incluye estas secciones:
Introducción
Explica el propósito de ISO 22301 y su compatibilidad con otras normas de gestión.
- General
- Beneficios de un sistema de gestión de continuidad del negocio
- Ciclo Plan-Do-Check-Act (PDCA)
- Contenido de este documento
Alcance
Explica que este estándar es aplicable a cualquier tipo de organización.
Referencias normativas
Se refiere a ISO 22300 como un estándar donde se dan definiciones para algunos de los términos utilizados en ISO 22301.
Términos y definiciones
Se recogen los siguientes términos básicos:
- Sistema de gestión de continuidad del negocio (BCMS): parte de un sistema de gestión general que garantiza que la continuidad del negocio se planifique, implemente, mantenga y mejore continuamente
- Interrupción máxima aceptable (MAO): la cantidad máxima de tiempo que una actividad puede interrumpirse sin incurrir en daños inaceptables (también Período máximo de interrupción tolerable – MTPD)
- Objetivo de tiempo de recuperación (RTO): el tiempo predeterminado en el que se debe reanudar un producto, servicio o actividad, o se deben recuperar los recursos
- Objetivo de punto de recuperación (RPO): pérdida máxima de datos, es decir, cantidad mínima de datos utilizada por una actividad que necesita ser restaurada
- Objetivo mínimo de continuidad del negocio (MBCO): el nivel mínimo de servicios o productos que una organización necesita producir para lograr sus objetivos definidos después de reanudar sus operaciones comerciales
Contexto de la organización
Esta sección es parte de la fase del Plan en el ciclo PDCA y define los requisitos para comprender los problemas externos e internos, las partes interesadas y sus requisitos, y la definición del alcance del BCMS.
- Comprensión de la organización y su contexto
- Comprender las necesidades y expectativas de las partes interesadas
- Determinar el alcance del sistema de gestión de la continuidad del negocio
- Sistema de gestión de la continuidad del negocio
Liderazgo
Esta sección es parte de la fase del Plan en el ciclo PDCA y define las responsabilidades de la alta dirección, estableciendo los roles, responsabilidades y autoridades, y el contenido de la política de continuidad del negocio de alto nivel.
- Liderazgo y compromiso
- Política
- Roles, responsabilidades y autoridades
Planificación
Esta sección es parte de la fase del Plan en el ciclo PDCA y define los requisitos para abordar riesgos y oportunidades, establecer los objetivos de continuidad del negocio y planificar cambios en el BCMS.
- Acciones para abordar riesgos y oportunidades
- Objetivos de continuidad del negocio y planes para alcanzarlos
- Planificación de cambios en el sistema de gestión de continuidad del negocio
Soporte
Esta sección es parte de la fase del Plan en el ciclo PDCA y define los requisitos para la disponibilidad de recursos, competencias, conocimiento, comunicación y control de documentos y registros.
- Recursos
- Competencia
- Conocimiento
- Comunicación
- Información documentada
Operación
Esta sección es parte de la fase Do en el ciclo PDCA y define la implementación del análisis de impacto empresarial, la evaluación y el tratamiento del riesgo, las estrategias de continuidad del negocio, las soluciones, los planes y procedimientos, el programa de ejercicios y la evaluación de la documentación y la continuidad del negocio. capacidades para lograr objetivos de continuidad del negocio.
- Planificación operativa y control
- Análisis de impacto comercial y evaluación de riesgos
- Soluciones y estrategias de continuidad comercial
- Planes y procedimientos de continuidad comercial
- Programa de ejercicio
- Evaluación de la documentación y capacidades de continuidad comercial
Evaluación del desempeño
Esta sección es parte de la fase de verificación en el ciclo PDCA y define los requisitos para la monitorización, medición, análisis, evaluación, auditoría interna y revisión de la administración.
- Seguimiento, medición, análisis y evaluación
- Auditoría interna
- Revisión por la dirección
Mejora
Esta sección es parte de la fase de Actuación en el ciclo PDCA y define los requisitos para no conformidades, correcciones, acciones correctivas y mejora continua.
- No conformidad y acción correctiva
- Mejora continua
Cómo implementar ISO 22301
Para implementar ISO 22301 en tu empresa, debes seguir estos 17 pasos:
- Apoyo de gestión
- Identificación de requisitos
- Política y objetivos de continuidad empresarial
- Documentos de apoyo para el sistema de gestión
- Evaluación y tratamiento de riesgos
- Análisis de impacto empresarial
- Estrategia de continuidad empresarial
- Plan de continuidad empresarial
- Formación y sensibilización
- Mantenimiento de la documentación
- Ejercicio y pruebas
- Revisiones posteriores al incidente
- Comunicación con las partes interesadas
- Medición y evaluación
- Auditoría interna
- Acciones correctivas
- Revisión de la gerencia
Revisión de ISO/IEC 22301
La capacidad de una organización para continuar operando durante una interrupción nunca ha sido tan importante. Por lo tanto, no sorprende que ISO 22301, el estándar internacionalmente reconocido para un sistema de gestión de continuidad del negocio, se actualice para garantizar que siga siendo relevante para el entorno empresarial actual.
Como el primer estándar ISO basado en la Estructura de alto nivel, tiene una base sólida que ahora se alinea con muchos otros estándares de sistemas de gestión reconocidos internacionalmente, como la gestión de calidad ISO 9001 y la gestión de seguridad de la información ISO/IEC 27001.
Sin embargo, hay áreas de mejora resaltadas por los usuarios, particularmente en torno a procedimientos menos prescriptivos y términos y definiciones actualizados, que deben considerarse para garantizar que siga siendo relevante en un panorama empresarial cambiante.
Por ello, surge BS EN ISO 22301: 2019 – Seguridad y resistencia. Sistemas de gestión de la continuidad del negocio. Requisitos
Esta norma internacional actualizada detalla los requisitos de un sistema de gestión de continuidad del negocio (BCMS). Permite a las organizaciones prepararse para incidentes disruptivos que de otro modo podrían impedirles alcanzar sus objetivos.
Los usuarios estarán mejor preparados para las interrupciones y se recuperarán más rápidamente, minimizando el impacto en los empleados, clientes y proveedores.