La norma ISO 22301 es, a nivel mundial, la primera norma internacional para la gestión de la continuidad de negocio (GCN) y ha sido desarrollada para ayudar a las organizaciones a minimizar el riesgo de este tipo de interrupciones. ISO realizó el lanzamiento de ISO 22301, “Seguridad de la sociedad – Sistemas de gestión de la continuidad de negocio – Requisitos”, la nueva norma internacional para sistemas de gestión de la continuidad de negocio (SGCN). Esta norma remplazará la norma actual británica BS25999.

La norma ISO 22301 especifica requisitos para planificar, establecer, implantar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, cuando éstos ocurren.

Los requisitos especificados en ISO 22301 son genéricos y pretenden ser aplicables a todas las organizaciones (o partes de las mismas), sin importar su tipo, tamaño y naturaleza. El grado de aplicación de estos requisitos depende del ambiente operativo y de la complejidad de la organización.

La estandarización de la continuidad de negocio evoluciona con ISO 22301, agregando:
  • Mayor énfasis en el establecimiento de objetivos, seguimiento del desempeño y de los indicadores;
  • Expectativas más claras sobre la Dirección;
  • Planificación y preparación más cuidadosas de recursos requeridos para el aseguramiento de la continuidad de negocio.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:
  • establecer, implantar, mantener y mejorar un SGCN;
  • asegurar conformidad con la política establecida de la continuidad de negocio de la organización;
  • demostrar conformidad a los demás;
  • buscar certificación/registro de su SGCN por un organismo externo de certificación; o
  • realizar una autodeterminación y autodeclaración de conformidad con esta norma internacional.

Cláusulas claves de ISO 22301:2012

Siguiendo la nueva estructura de la Guía ISO 83, la norma ISO 22301 está organizada en las siguientes cláusulas principales: 
Cláusula 4: Contexto de la organización
Cláusula 5: Liderazgo
Cláusula 6: Planificación
Cláusula 7: Soporte
Cláusula 8: Operación
Cláusula 9: Evaluación del desempeño
Cláusula 10: Mejora

Cada una de estas actividades principales se describe a continuación.

Cláusula 4: Contexto de la organización lauza

Determinar temas internos y externos que son relevantes para el propósito de la organización y que afectan su habilidad de alcanzar los resultados esperados de su SGCN, tales como:

  • las actividades de la organización, sus funciones, servicios, productos, sociedades, cadenas de suministros, relaciones con las partes interesadas y el impacto potencial relacionado con un incidente que genere una interrupción;1
  • vínculos entre la política de continuidad de negocio y los objetivos de la organización y otras políticas, incluyendo, la estrategia de gestión de riesgos globales;
  • el apetito por el riesgo de la organización;
  • las necesidades y expectativas de las partes interesadas relevantes;
  • leyes, regulaciones y otros requisitos aplicables, a los cuales la organización está suscrita.

Identificar el alcance del SGCN, tomando en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo y cualquier obligación reglamentaria, contractual o de sus partes interesadas, también forma parte de esta cláusula.

Cláusula 5: Liderazgo

La alta dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual distintos miembros del personal estén completamente involucrados y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización. La dirección es responsable de: 
  • asegurar que el SGCN es compatible con la dirección estratégica de la organización;
  • integrar los requisitos del SGCN en los procesos de negocios de la organización;
  • proveer los recursos necesarios para el SGCN;
  • comunicar la importancia de la gestión de continuidad de negocio eficaz;
  • asegurar que el SGCN alcanza sus resultados esperados;
  • dirigir y apoyar la mejora continua;
  • establecer y comunicar la política de continuidad de negocio;
  • asegurar que los objetivos y planes del SGCN se establecen;
  • asegurar que las responsabilidades y autoridades, para las funciones relevantes, se asignen.

Cláusula 6: Planificación

Esta es una etapa crítica en la que se establecen objetivos estratégicos y principios para la orientación del SGCN en su totalidad. Los objetivos del SGCN son una expresión del propósito de la organización para el tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las necesidades de la organización. Los objetivos de la continuidad de negocio deben:
  • ser consistentes con la política de continuidad de negocio;
  • tomar en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización alcance sus objetivos;
  • ser medibles;
  • tomar en cuenta requisitos aplicables;
  • ser controlados y actualizados, según sea apropiado.

Cláusula 7: Soporte

La gestión diaria de un sistema de gestión de la continuidad de negocio, se basa en el uso de recursos apropiados para cada actividad. Estos recursos incluyen personal competente en base a formaciones y servicios de soporte, toma de conciencia y comunicación pertinentes (y demostrables), esto debe ser apoyado por información documentada adecuadamente gestionada.

Las comunicaciones, tanto internas como externas, deben ser consideradas en esta área, incluyendo su formato, contenido y el momento oportuno de estas comunicaciones.

Los requisitos para la creación, actualización y control de la información documentada, también se especifican en esta cláusula.

Cláusula 8: Operación

Después de la planificación del SGCN, la organización debe ponerlo en funcionamiento. Esta cláusula incluye:

  • Análisis de impacto en el negocio (Business Impact Analysis-BIA): Esta actividad permite que una organización identifique los procesos críticos que apoyan a sus productos y servicios claves, las interdependencias entre procesos y recursos requeridos para operar los procesos en un nivel mínimamente aceptable.

  • Evaluación de riesgos: La norma ISO 22301 propone referirse a la norma ISO 31000 para implantar el proceso. La meta de este requisito es establecer, implantar y mantener un proceso formal documentado de valoración de riesgos que identifique, analice y evalúe sistemáticamente el riesgo de incidentes que generen interrupciones en la organización.

  • Estrategia de continuidad de negocio: Una vez que los requisitos se han establecido a través del análisis de impacto en el negocio y la evaluación de riesgos, las estrategias pueden ser desarrolladas para identificar disposiciones que permitan que la organización proteja y recupere actividades críticas, basadas en la tolerancia de riesgo organizacional y dentro de objetivos de tiempo de recuperación definidos. La experiencia y las buenas prácticas indican claramente, que las previsiones tempranas de una estrategia global de GCN, aseguran que las actividades de GCN estén alineadas y apoyen la estrategia global de negocios de la organización.  La estrategia de continuidad de negocios debe ser un componente integral de la estrategia corporativa de la institución.

  • Procedimientos de continuidad de negocio: La organización debe documentar los procedimientos (incluyendo las disposiciones necesarias) para asegurar la continuidad de las actividades y la gestión de un incidente que genere una interrupción.  Los procedimientos deben:
    • establecer un protocolo adecuado de comunicaciones internas y externas;
    • ser específicos en relación a los pasos inmediatos a ser tomados durante una interrupción;
    • ser flexibles para responder a amenazas no anticipadas y a condiciones internas y externas cambiantes;
    • enfocarse en el impacto de eventos que puedan potencialmente interrumpir operaciones;
    • ser desarrollados bajo hipótesis establecidas y análisis de interdependencias; y;
    • ser efectivos en minimizar las consecuencias a través de la implantación de estrategias de mitigación adecuadas.

Ejercicios y pruebas: Para asegurar que los procedimientos de continuidad de negocio son consistentes con sus objetivos de continuidad de negocio, las organizaciones deben hacer pruebas regularmente. Los ejercicios y las pruebas son procesos de validación de planes y procedimientos de la continuidad de negocio para asegurar que las estrategias seleccionadas son capaces de proveer resultados de respuesta y recuperación dentro de plazos acordados con la gerencia

 

Cláusula 9: Evaluación del desempeño

Una vez que el SGCN se ha implementado, la norma ISO 22301 requiere permanente seguimiento del sistema, así como revisiones periódicas para mejorar su operación:
  • seguimiento de la medida en la cual la política, objetivos y metas de continuidad de negocio son cumplidos;
  • medición del desempeño de los procesos, procedimientos y funciones que protegen las actividades priorizadas;
  • seguimiento de la conformidad con esta norma y con los objetivos de la continuidad de negocio;
  • seguimiento histórico de evidencia de desempeño deficiente del SGCN;
  • realización de auditorías internas a intervalos planificados; y
  • evaluación de todo lo anterior en las revisiones por la dirección, a intervalos planificados.

Cláusula 10: Mejora

La mejora continua puede ser definida como todas las acciones, realizadas a lo largo de la organización, para aumentar la eficacia (cumplir objetivos) y la eficiencia (proporción costo/beneficio óptima) de los procesos y controles de seguridad para brindar más beneficios a la organización y a sus partes interesadas. Una organización puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad de negocio, los objetivos, los resultados de auditorías, el análisis de eventos controlados, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección

Back to Top