En un mundo donde los riesgos son cada vez más impredecibles, contar con un sistema de gestión que garantice la continuidad del negocio es crucial. Aquí es donde entra en juego la norma ISO 22301, un estándar internacional que ayuda a las organizaciones a prepararse, responder y recuperarse de interrupciones de manera eficiente. Este artículo ofrece una guía completa sobre esta norma, sus beneficios y cómo implementarla para fortalecer la resiliencia empresarial.

ISO 22301

La ISO 22301 es el estándar internacional para sistemas de gestión de la continuidad del negocio (SGCN). Su objetivo principal es garantizar que las organizaciones puedan operar de manera continua, incluso frente a eventos disruptivos como desastres naturales, ciberataques, pandemias o fallos técnicos.

La norma fue desarrollada por la Organización Internacional de Normalización (ISO), con la intención de proporcionar un marco claro y estructurado que permita a las empresas identificar posibles amenazas, evaluar riesgos y establecer estrategias para mitigar su impacto.

El enfoque principal de la ISO 22301 es la resiliencia organizacional, asegurando que las operaciones críticas puedan continuar incluso en los momentos más difíciles.

Beneficios de implementar ISO 22301

Adoptar la norma ISO 22301 no solo protege a las empresas contra interrupciones, sino que también ofrece múltiples ventajas competitivas.

Mejora de la resiliencia empresarial

La ISO 22301 ayuda a las organizaciones a:

• Identificar riesgos clave: Desde desastres naturales hasta interrupciones tecnológicas.
• Establecer planes de contingencia: Garantizando una respuesta rápida y efectiva.
• Asegurar la continuidad de las operaciones críticas: Minimizar el impacto de las interrupciones en la producción, las finanzas y la reputación.

Cumplimiento normativo y mejora de la reputación

Muchas industrias requieren la implementación de sistemas de continuidad del negocio para cumplir con regulaciones específicas. La certificación ISO 22301:

• Demuestra compromiso con la gestión de riesgos.
• Refuerza la confianza de clientes, socios y partes interesadas.
• Mejora la posición competitiva en el mercado.

Reducción de costos y mejora operativa

La norma no solo previene interrupciones, sino que también optimiza procesos internos:

• Eficiencia operativa: Detectar y corregir debilidades en los sistemas antes de que se conviertan en problemas.
• Ahorro económico: Reducir pérdidas relacionadas con paradas operativas y daños reputacionales.

¿Cómo funciona la norma ISO 22301?

La ISO 22301 proporciona un marco estructurado basado en el ciclo Planificar-Hacer-Verificar-Actuar (PHVA). Este enfoque permite a las organizaciones gestionar la continuidad del negocio de manera sistemática.

Requisitos clave de la norma

Para implementar ISO 22301, las organizaciones deben cumplir con varios requisitos esenciales:

• Análisis de impacto en el negocio (BIA): Identificar procesos críticos y evaluar su impacto en caso de interrupción.
• Evaluación de riesgos: Analizar las amenazas potenciales y establecer medidas de mitigación.
• Plan de continuidad del negocio (BCP): Documentar procedimientos claros para garantizar la operatividad durante y después de una interrupción.
• Pruebas y simulacros: Verificar la eficacia de los planes mediante ejercicios regulares.

Rol de la alta dirección

El compromiso de la alta dirección es fundamental para el éxito de la norma. Esto incluye:

• Proveer recursos necesarios para la implementación.
• Participar activamente en la planificación y supervisión del sistema de gestión.
• Promover una cultura organizacional orientada a la continuidad.

La ISO 22301 es el estándar internacional para sistemas de gestión de la continuidad del negocio (SGCN).
Compartir en X

Implementación de la norma ISO 22301 en una organización

Adoptar ISO 22301 puede parecer un desafío, pero con el enfoque adecuado, se convierte en un proceso manejable y altamente beneficioso.

Pasos para la implementación

1. Evaluación inicial: Realizar un diagnóstico de la situación actual de la empresa en términos de continuidad del negocio.
2. Formación y sensibilización: Capacitar al personal clave en los principios de la norma.
3. Desarrollo del SGCN: Diseñar e implementar políticas, procedimientos y planes de continuidad.
4. Certificación: Contratar un organismo certificador para validar el cumplimiento de los requisitos.

Retos comunes y cómo superarlos

Entre los desafíos más frecuentes se encuentran:

• Resistencia al cambio: Superada mediante programas de comunicación y formación.
• Falta de recursos: Solucionada mediante la priorización de procesos críticos.
• Integración con otros sistemas de gestión: Simplificada al aprovechar normas relacionadas, como ISO 9001 o ISO 27001.

Ejemplos prácticos de continuidad del negocio según la ISO 22301

Empresas de diversos sectores han utilizado la ISO 22301 para fortalecer su resiliencia:

• Caso del sector financiero: Una institución bancaria implementó ISO 22301 para garantizar la disponibilidad continua de sus servicios digitales durante ciberataques, logrando mantener la confianza de sus clientes.
• Caso del sector manufacturero: Un fabricante utilizó la norma para gestionar el impacto de desastres naturales en sus cadenas de suministro, reduciendo significativamente el tiempo de recuperación.

El papel del Software ISO 22301 de ISOTools

Para facilitar la implementación y gestión de un Sistema de Gestión de Continuidad del Negocio (SGCN), ISOTools ofrece un Software ISO 22301 diseñado específicamente para cumplir con los requisitos de la norma.

La ISO 22301 es más que una norma; es una herramienta estratégica para asegurar la continuidad del negocio en un entorno lleno de incertidumbres. Adoptarla no solo protege a las organizaciones frente a interrupciones, sino que también fortalece su capacidad para prosperar en el largo plazo. Con el apoyo de herramientas como el Software de ISOTools, las empresas pueden llevar su gestión de la continuidad del negocio al siguiente nivel, contribuyendo a un futuro más resiliente y sostenible.

Ventajas del Software de ISOTools:

• Automatización de procesos: Simplifica tareas como la evaluación de riesgos y el análisis de impacto en el negocio.
• Seguimiento en tiempo real: Permite monitorear el estado del sistema y generar informes detallados.
• Integración: Compatible con otros sistemas de gestión como ISO 9001 e ISO 27001.

El Software de ISOTools es una herramienta esencial para organizaciones que buscan garantizar la continuidad operativa y cumplir con los estándares internacionales.

🔊 Escuchar esta entrada

Sistema de Gestión para la Continuidad del negocio

En la actualidad las organizaciones se enfrentan a escenarios muy cambiantes en los cuales intervienen factores clave, por los que se hace necesario contar con un sistema que permita garantizar la continuidad de las operaciones en las organizaciones, entre estos factores encontramos: una dependencia cada vez mayor de las tecnologías de la información y las comunicaciones, una dependencia mutua entre organización-Proveedor, la interconexión de eventos (lo que ocurre en un lugar del planeta aun cuando este lugar tenga una ubicación remota afecta a todos, ejemplo Wuhan y el Covid-19), competencia fiera en la que estar fuera del negocio puede impactar en gran medida a la organización.

Para garantizar que ante sucesos que interrumpen el desarrollo normal de las actividades en una organización, se puedan llevar a cabo como mínimo las actividades críticas del negocio, en unos tiempos que permitan que los niveles de servicio sean aceptables para los clientes y realizables por la organización, se establece el Sistema de Gestión para la Continuidad del negocio.

Con el fin de estandarizar dicha gestión se crea la norma ISO 22301 Seguridad y Resiliencia: Sistema de gestión de continuidad del negocio. Requisitos, en su versión actual 2019, que cuenta con la estructura de alto nivel para que sea fácilmente armonizable con los demás estándares y facilite la implementación en las organizaciones.

Respecto de las otras normas de la familia ISO, para la definición del sistema, se pueden encontrar similitudes, orientadas claras está hacia la continuidad del negocio, en numerales como: contexto de la organización, necesidades y expectativas de partes interesadas, alcance, liderazgo, objetivos, competencia, información documentada, acciones para abordar riesgos y oportunidades, planificación de cambios, auditoria, revisión por la dirección, mejora continua, entre otros, estas temáticas, han tenido un amplio despliegue e implementación en otros estándares ISO, en cuanto al sistema de Continuidad del negocio se propone un tema importante, en el numeral 8.2  que es: el Análisis de Impacto al negocio (Business Impact Analysis o BIA).

Análisis de Impacto al negocio (Business Impact Analysis o BIA):

En este sentido, se plantea el deber de la organización de establecer y gestionar la metodología que permita la evaluación periódica de los riesgos que se generan por la interrupción de las operaciones, y el impacto de los mismos tanto en condiciones esperadas, como en casos de cambios significativos tanto al interior de la organización como en su contexto, para ello es necesario:

• Establecer y clasificar los impactos importantes relacionados con el contexto de la organización y evaluarlos cuando se presente interrupción de las actividades.
• Determinar las actividades directamente relacionadas con la producción del bien o la prestación del servicio.
• Identificar en que periodos de tiempo no es aceptable para la organización que las operaciones están detenidas.
• A partir de la identificación anterior, establecer las prioridades para reanudar la operación, de tal forma que se garantice una operación mínima aceptada.
• Identificar las actividades prioritarias.
• Establecer los recursos necesarios para poder llevar a cabo las actividades prioritarias.
• Determinar las partes interesadas (proveedores- Socios) de las que depende la realización de las actividades prioritarias.

Se debe también realizar gestión de riesgos relacionados con la interrupción del negocio (Identificar-Analizar y evaluar-establecer planes de acción sobre riesgos prioritarios).

Se deben establecer estrategias para las etapas de antes- Durante y después de que se presente una interrupción, dichas estrategias pueden estar definidas para gestionarse en uno o más planes de acción, esos planes deben lograr que las actividades priorizadas se desarrollen de acuerdo a los tiempos definidos para tal, estén considerados los riesgos que es posible asumir y lo que no, se evalúen los beneficios y costos asociaos a los mismos.

Otro componente importante de abordar y que complementan los planes, son los procedimientos para la continuidad del negocio, para estos dos componentes se deben establecer un esquema que permita una comunicación fluida entre las partes interesadas (Antes-Durante).

Debe estar documentadas las medidas inmediatas, las funciones para su ejecución, los responsables de ejecutar las mismas, los equipos de personas que llevan a cabo estas medidas deben contar con las competencias necesarias, que les permitan evaluar los riesgos e impactos, activar la respuesta, planificar y gestionar las acciones, comunicar a las partes interesadas.

Con el fin de poner a prueba la gestión se debe crear un Programa de Ejercicios que permita determinar si los planes y acciones que se tienen previstas, dan respuesta a las necesidades, o si es necesario replantear las mismas o establecer mejoras respecto de lo planificado.

Software para Sistema de Gestión para la Continuidad del negocio

El software ISOTools permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

🔊 Escuchar esta entrada

Continuidad de Negocio

Hoy por hoy, cualquier tipo de eventualidad no planificada, puede ocasionar un gran impacto y ser un riesgo crítico para una organización, más aún en momentos de incertidumbre, como los que están aconteciendo a nivel mundial debido a la pandemia ocasionada por el COVID-19.

Las organizaciones que no estaban preparadas para este tipo de acontecimientos, lamentablemente no tuvieron continuidad, considerando que estas perturbaciones afectan a todo el mercado sin diferenciar el tamaño, tipo o naturaleza de negocio, es vital pensar en la continuidad el negocio, incluso en las condiciones más adversas.

En efecto, la continuidad de negocio dependerá en sí, la organización se encuentra preparada o tiene la suficiente resiliencia de afrontar cualquier tipo de riesgo y amenaza que pueda acontecer en algún periodo de tiempo indeterminado.

Para ello existen los sistemas de gestión de continuidad de negocio como un factor clave de éxito, diseñados específicamente para gestionar y controlar este tipo de eventualidades, entre estas se encuentra la Norma ISO 22301 2019 Seguridad y resiliencia.

¿Qué es la Norma ISO 22301 2019 Seguridad y resiliencia?

Publicada en octubre del año 2019, la Norma ISO 22301 2019 Seguridad y resiliencia, define los requerimientos necesarios para implementar, mantener y mejorar un sistema de gestión que le permita a una organización estar preparada para cualquier tipo de incidencia o eventualidad, poder protegerse, minimizar la probabilidad de que sucedan, poder responder y recuperarse ante cualquier riesgo que genere una interrupción de las operaciones.

Cabe resaltar, que los requerimientos que se especifican en el estándar, son de forma general y están propuestos para que puedan implementarse en cualquier tipo de organización, indiferentemente de su tamaño, tipo y naturaleza, para ello el entorno operacional y la complejidad del sistema de negocio será el determinante del alcance a cabalidad o en parte de los requisitos que contienen la norma.

La Norma ISO 22301 2019 se basa en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA)

Este estándar fue diseñado mediante el ciclo PDCA, con la finalidad de poder implementar, mantener y mejorar continuamente de forma efectiva, el sistema de gestión de Continuidad de Negocio en una organización, además de garantizar su coherencia con algunas de las normas de la familia ISO, referentes al sistema de gestión como lo son; la ISO 9001, ISO 14001, ISO / IEC 20000-1, ISO / IEC 27001 e ISO 28000, facilitando su aplicación.

La Norma ISO 22301 2019 puede aplicarse a cualquier organización

Este estándar puede aplicarse a cualquier tipo de organización, es decir, a organizaciones PYMES, con el objetivo de evaluar e identificar la capacidad que posee la misma, para garantizar la continuidad de negocio y a su vez poder satisfacer las necesidades de sus colaboradores, clientes y personas interesadas, enfocado en lograr los resultados deseados a través de:

• Definir, ejecutar, mantener y optimizar el Sistema de Gestión de Continuidad de Negocio.
• Garantizar la conformidad de la organización con las políticas establecidas en la continuidad de negocio.
• Tener una capacidad aceptable para ofrecer los productos y/o servicios en el momento que ocurra una interrupción inesperada.
• Optimizar la resiliencia de la organización mediante la implementación del Sistema de Gestión de Continuidad de Negocio.
• Importancia en la implementación de la Norma ISO 22301 2019 Seguridad y resiliencia.

El sistema de gestión de Continuidad de Negocio enfoca su importancia en las siguientes estrategias:

• Entender las necesidades organizacionales, por medio de políticas y objetivos que le permitan garantizar la continuidad de negocio.
• Garantizar a la organización a sobrevivir a posibles interrupciones futuras, para poder operar y mantener sus procesos, por medio de la obtención de capacidades y estructuras que le permitan dar una respuesta oportuna a las incidencias.
• Control y seguimiento al desempeño y eficacia del sistema de gestión de Continuidad de Negocio.
• Implementar medidas cualitativas y cuantitativas basadas en la mejora continua del sistema.

Principales beneficios que ofrece la Norma ISO 22301 2019 Seguridad y resiliencia.

Esta norma fue creada con el propósito de garantizar la continuidad de negocio a una organización, para seguir operando de forma oportuna frente a una posible interrupción, por medio de una preparación anticipada, manteniendo y proporcionando los controles necesarios, para una correcta administración de capacidades que permitan una oportuna resiliencia, para lograrlo se necesita lo siguiente:

Desde el punto de vista organizacional

• Se deben apoyar los objetivos estratégicos
• Establecer una ventaja competitiva
• Proteger y mejorar la reputación y credibilidad
• Apoyar y ayudar a la resiliencia de la organización

Desde el punto de vista económico y financiero

• Minimizar la exposición financiera y legal.
• Reducir los costos directos e indirectos asociados a las interrupciones operacionales.

Desde el punto de vista operativo y de procesos

• Optimizar la capacidad para seguir operando de forma eficaz y eficiente, durante una posible interrupción.
• Tener un control proactivo de los riesgos con la mayor efectividad posible.
• Afrontar cualquier tipo de vulnerabilidad operacional.

Desde el punto de vista de todas las partes interesadas

• Promover un sistema de negocio que salvaguarde la vida, la propiedad y el medio ambiente.
• Entender las expectativas de los colaboradores, clientes y partes interesadas.
• Ofrecer la mayor confianza en cuanto a la capacidad que posee la organización, para tener un éxito sostenido a lo largo del tiempo.

Se llama resiliencia a la capacidad que tiene una organización, para poder afrontar de forma efectiva cualquier tipo de eventualidad no planificada y que pueda ocasionar una posible interrupción de sus operaciones, considerando el contexto actual en el que se enfrenta la economía mundial, es necesario que las PYME, cuenten con un sistema de gestión que les permita sobrevivir a estas circunstancias y poder garantizar la continuidad de sus operaciones.

Con la implementación de norma ISO 22301 2019, la organización podrá tener una base sólida, para poder enfrentarse a cualquier eventualidad efectivamente, además de garantizar la capacidad operacional requerida, de ofrecer productos y/o servicios, que cumplan con las expectativas de todas las personas interesadas, a través de un control de riesgos y amenazas asertivo, que ayude a su supervivencia en el entorno económico mundial.

Software para Continuidad de Negocio

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

🔊 Escuchar esta entrada

Punto de Recuperación Objetivo

En temas de continuidad de negocio, el término Punto de Recuperación Objetivo, también conocido como RPO, es muy importante. En este artículo profundizaremos sobre ello.

En las organizaciones, la seguridad total no existe. Las acciones preventivas que ayuden a las empresas a estar protegidas y a poder reaccionar ante incidentes de seguridad con prontitud son vitales para minimizar o eliminar por completo cualquier daño que ponga en un compromiso a su correcta actividad.

La clave reside en tener un sistema con la capacidad de respuesta eficaz y ágil ante cualquier contingencia grave, así será posible retomar la desarrollo normal de la organización en tiempos que no afecten a la continuidad del negocio.

En el año 2019, ISO (Organismo Internacional de Estandarización) desarrollo para el ámbito de la continuidad del negocio la norma ISO 22301. En ella se concretan los requerimientos que son necesarios a la hora de realizar la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua del sistema de gestión, con el objetivo de salvaguardar, minimizar la probabilidad del riesgo e incrementar la capacidad de respuesta y recuperación ante incidentes

La norma se elaboró de tal manera que los requisitos establecidos fuesen genéricos, para que todas las organizaciones, sin que influya su actividad, tamaño o naturaleza, pueda recurrir a la norma cuando deseen implementar un sistema de gestión de continuidad del negocio.

Después de esta breve introducción sobre la continuidad del negocio y la importancia que tiene en las organizaciones para estar preparadas ante posibles incidentes. Vamos a comenzar a hablar sobre los Punto de Recuperación Objetivo.

¿Qué es un Punto de Recuperación Objetivo?

Cuando hablamos de Punto de Recuperación Objetivo estamos haciendo referencia a un parámetro de gran relevancia en la elaboración  de un plan de continuidad. En concreto es el tiempo máximo de pérdida de información, por lo tanto hace referencia al volumen de datos que se encuentran en riesgo de pérdida dentro de un tiempo considerado por la organización como tolerable.

Por lo tanto,  cada organización establecerá los puntos de recuperación objetivo que crea convenientes y sobre los que definirá el tiempo considerado tolerable.

A modo de ejemplo podemos destacar una situación en la que una organización sufre un desastre que le provoca la pérdida de todos los datos. Esta organización, preocupada y comprometida con la gestión de riesgos, definió que cada 24 horas en otro servidor externo al que está físicamente en la organización, se realizara copias de seguridad. Con esto ha conseguido que la pérdida máxima de información sea toda la que exceda la copia de estas 24 horas que han definido.

Tiempo Objetivo de Recuperación (RPO)

Software para la Gestión de la Continuidad del Negocio

Es muy importante contar con los medios adecuados para que la organización pueda retomar la actividad tras un desastre de cualquier tipo.

Las organizaciones ven en la implementación del Sistema de Gestión de Continuidad del Negocio según la ISO 22301 una buena oportunidad. De este modo garantizan la minimización de riesgos de interrupción o, en el caso de que se lleven a cabo, facilita que la organización ejecute acciones para retomar la actividad del negocio.

Al igual que otras normas, el mantenimiento y automatización puede verse complicado, por ello, le recomendamos el software de ISOTools Excellence, que no solo le ayudará con la gestión, sino que también le ahorra tiempo y dinero a su empresa.

🔊 Escuchar esta entrada

Plan de contingencia

Existe la posibilidad de que, en un determinado momento, una organización, independientemente de su tamaño, número de trabajadores o de la actividad que realice, pueda verse afectada por una crisis o desastre. Ante este problema, la Organización Internacional de Normalización (ISO) desarrolló la ISO 22301, una norma de carácter internacional de gestión de continuidad de negocio.

Debido a este aspecto que puede suceder en cualquier momento, ya son numerosas las empresas y organizaciones que han decidido ponerse manos a la obra en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio.

El objetivo que persigue esta norma internacional no es otro que minimizar cualquier posibilidad de que tenga lugar un desastre y en caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla la empresa.

El plan de contingencia se enmarca dentro del plan de riesgo de la organización y, siguiendo los requisitos de la norma ISO 22301, se implementa mediante un ciclo de mejora continua basado en un modelo PDCA.

Dicho plan hace referencia  a las principales medidas que se pueden llevar a cabo para que se pueda garantizar la continuidad de negocio, así como las operaciones de una organización desde tres puntos de vista:

• Medios técnicos
• Los medios humanos. Formados por los trabajadores
• Y medios organizativos

Los principales elementos que debe tener un plan de contingencia:

Definición de las situaciones críticas: Es importante definir los activos críticos y la relación de procesos de negocio que afecten a esos activos previamente identificados.

Asignación de responsabilidades: Se deben crear grupos humanos configurados por personal competente como el comité de emergencia, el cual se encargará de ejecutar los procedimientos adecuados en el caso de que se produzca una situación crítica.

Determinar las acciones de respuesta: Esta fase del plan implica tener muy bien definida una hoja de ruta con las siguientes acciones a llevar a cabo:

• Indicadores que marcarán el inicio del plan de contingencia.
• Secuencias de acciones que hay que llevar a cabo en el orden preciso.
• Indicadores que permiten considerar que la situación ha quedado normalizada.
• Determinación de los registros y documentación necesaria para dejar constancia por escrito de las acciones que se han llevado a cabo.

Mantenimiento del plan: Es necesaria la obtención de datos de ejecución del plan con el fin de actualizarse y mejorarse para incrementar su eficiencia en futuras ejecuciones. Un plan de contingencia suficientemente elaborado permite retomar las actividades dentro de unos tiempos de recuperación adecuados, previamente definidos. Esto permite volver a la actividad normal en un tiempo prudencial, antes que se produzcan pérdidas de consideración, una cuestión que no tienen en cuenta ni prevén otros estándares y normas diferentes a la ISO 22301.

Características de los tiempos de recuperación:
✔ Se deben conocer y definir con exactitud antes de elaborar el plan de
contingencia.
✔ Los tiempos de recuperación deben encuadrarse en unos mínimos
aceptables para poder reanudar la actividad dentro de unos márgenes que impidan que la empresa sufra daños económicos o de logística irreparables o muy importantes.

[Tweet «El #plandecontingencia se enmarca dentro del plan de riesgo de la organización y, siguiendo los requisitos de la norma #ISO22301.»]

El ciclo PDCA

Como otros muchos planes de gestión, el plan de contingencia también se basa en el conocido ciclo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Este tiene su origen en un análisis de riesgo en la organización mediante el cual, entre otras muchas amenazas, se descubren aquellas que afectan de manera concreta a la continuidad del negocio.

Una vez establecidas las amenazas, se seleccionan las contramedidas más adecuadas para combatirlas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.

El plan deberá ser revisado de forma periódica. Por norma, la revisión se lleva a cabo cuando se realiza un nuevo análisis de riesgo. Normalmente, el plan de contingencias siempre se cuestiona cuando se detecta una amenaza, llevando a cabo la siguiente actuación:

• En el caso de que la amenaza estuviera prevista y las contramedidas fueron eficaces: de esta manera se llevará a cabo la corrección únicamente de aspectos menores del plan para mejorar la eficiencia.
• Si se preveía la amenaza, pero las contramedidas fueron ineficaces: habrá que analizar la causa del fallo proponiendo nuevas contramedidas.
• Si no se preveía la amenaza: se deberá promover un nuevo análisis de riesgos. Puede ser que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el análisis de lo ocurrido en un equipo.

Software para el Plan de contingencia

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.
ISOTools garantiza la continuidad de negocio. Identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, por ejemplo con la ISO 27001 para los Sistemas de Gestión de Seguridad de la Información, ya que el software es totalmente modular.

Gestión de continuidad del negocio

La norma ISO 22301 es una norma internacional de gestión de continuidad de negocio. Establece los principios y terminología de continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando.

Por esto, ya son numerosas las empresas que deciden trabajar en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio. En este caso, vamos a hablar del Sistema de Gestión de Continuidad del Negocio o SGCN basado en la norma ISO 22301.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:

• Establecer, implantar, mantener y mejorar un SGCN.
• Demostrar conformidad con la política establecida de la continuidad de negocio de la organización.
• Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente.

Cambios de la revisión

Es la primera ISO basada en una estructura de alto nivel (HLS) por lo que se constituye con una base sólida alineada con diferentes normas de Sistemas de Gestión. Se publicó inicialmente en 2012, y desde entonces se ha convertido en un punto de referencia internacional para la continuidad empresarial. Supone la clave para superar cualquier crisis.

En enero de 2019 se publicó la norma ISO DIS 22301: 2019, un borrador de la nueva versión, y aunque no es la versión final y puede haber cambios, sí que da una idea clara de lo que espera:

• Sin cambios estructurales importantes. Esto evita problemas en la transición para las empresas que ya dispongan de la certificación ISO 22301: 2012.
• Definiciones más consistentes y lógicas. Ya que la anterior versión mantenía la estructura de alto nivel, no es necesario reeditar todo, por lo que la nueva edición se centra en la claridad. Creando definiciones más consistentes y un texto lógico.
• Reducción del número de requisitos. En la Sección 4.1 de la versión 2012, se prescribe lo que una empresa deber realizar. La nueva versión establece la necesidad de definir y determinar problemas externos e internos de una empresa y su contexto. Aunque no dice que elementos tener en cuenta, ni incluye requisitos a documentar para este proceso. De igual modo ocurre en la Sección 7.4 sobre comunicación.
• Alta dirección centrada en lo necesario. En ambas versiones se requiere una administración superior comprometida con la política de BCM. Aunque en la versión anterior se requería una participación activamente en el ejercicio y todas las etapas, la nueva versión, se enfoca en lo realmente necesario para mantener el sistema de gestión de la seguridad de datos. Esto modifica la Sección 5.2 en la participación de la alta dirección.
• Cambios en el BCMS. Una nueva Sección 6.3 requiere que la empresa realice cambios planificados al BCMS. Este requisito es nuevo, pero se preveía su inclusión.
• Obligatoriedad al definir categorías de impacto. En la Sección 8.3 se ha cambiado el nombre a Estrategia y Soluciones de continuidad de negocios, en lugar del antiguo Estrategia de Continuidad de Negocios. Esto muestra el aumento del interés, encontrar soluciones para posibles impactos o riesgos, en lugar de centrarse en garantizar la continuidad.
• Nivel de impacto para no reanudar una actividad. En la antigua versión, se definía la cantidad y tipos de riesgos que una empresa es capaz de perseguir, en la nueva versión lo importante no es el riesgo que se esté dispuesto asumir, sino el nivel de impacto que este riesgo pueda provocar en actividades y el impacto que se genere para reanudar o no la actividad.

[Tweet «La #norma #ISO22301 puede ser aplicada a todo tipo y tamaño de organizaciones»]

Beneficios de implementar la norma

Por destacar algunos beneficios brevemente se podrían comentar;

• Capacidad para continuar al trabajo a pesar de una interrupción.
• Protege la reputación de la organización frente a riesgos.
• Cumple y responde frente a los requisitos legislativos.
• Reduce el margen de interrupción de la actividad.
• Crea una avanzada ventaja frente a su competencia.

Este enero de 2019 se publicó el borrador de la nueva revisión, que seguramente se publicará en otoño de 2019 como ISO 22301: 2019. Se abrirá un periodo de tres años para migrar a la nueva versión, perdiendo así su validez en 2022 todos aquellos certificados de la versión 2012.

Software para la Gestión de continuidad del negocio

Para simplificar las tareas derivadas de la implementación del estándar ISO22301 para los Sistemas de Gestión para la continuidad de negocio, se recomienda el uso del Software ISOTools. Capaz de gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Superar cualquier crisis

En cualquier momento, una organización, independientemente del número de trabajadores o de la actividad que realice, se puede ver afectada por una crisis o desastre.

Por esto, ya son numerosas las empresas que deciden trabajar en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio. En este caso, vamos a hablar del Sistema de Gestión de Continuidad del Negocio o SGCN basado en la norma ISO 22301. Antes de continuar, nos gustaría recomendarle una lectura interesante: La norma ISO 22301. Cómo asegurar la continuidad del negocio.

El objetivo de esta norma internacional no es otro que minimizar cualquier posibilidad de que tenga lugar un desastre y en caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla la empresa.

Con la elaboración de un plan de continuidad del negocio, las organizaciones consiguen reducir los impactos y la reanudación del funcionamiento de la empresa. En dicho documento, queda establecido el personal que debe formar parte, las acciones a desarrollar y los recursos que serán asignados mientras tenga lugar el incidente. En cualquier caso, esto dependerá de la empresa en la que tenga lugar, ya que no es lo mismo una pequeña empresa que una gran empresa.

Cuando un desastre tiene lugar, es necesario ejecutar actividades paralelamente, lo que supone la generación de un nivel de estrés importante al conjunto de los trabajadores. Para que esta labor sea más liviana, es importante definir papeles críticos que deben considerarse a la hora de establecer las responsabilidades.

Ciclo de vida y responsabilidades

Al considerar la ISO 22301, vamos a ver cómo serían los pasos de un ciclo de vida:

Elaboración

Durante esta etapa se definen los diferentes escenarios en los que puede desarrollarse un incidente inquietante y además, se establece lo que hay que hacer para controlar correctamente dicho incidente.

Pruebas

Es la etapa en la que se llevan a cabo ejercicios y diversas representaciones que garanticen que todo se desarrollará de forma correcta, teniendo las personas y recursos necesarios.

Ejecución

En esta fase, tiene lugar un evento perturbador. Los impactos generados se reducen al mínimo y es necesario que los procesos que se llevan a cabo en la empresa se reanuden.

Actualización

Es importante que se lleve a cabo una actualización tras el desarrollo de la activación del plan de contingencia, lo que permite subsanar errores y mejorar dicho plan. Su elaboración, las pruebas y la puesta en marcha deben estar a cargo de un responsable.

En el momento en el que tenga lugar un incidente, el responsable establecido será el encargado de iniciar las acciones definidas. Normalmente, la responsabilidad no está solo a cargo de una persona, se trata de un equipo formado por un líder y el resto de miembros.

¿Cuándo se produce una interrupción del negocio?

La actividad de un negocio se ve interrumpida cuando tiene lugar un incidente que además dura más de lo que se considera aceptable para una organización. Esto tiene cuando:

• Errores en la infraestructura externa, lo que por ejemplo puede ocasionar que los productos no puedan entregarse.
• La organización no tiene la infraestructura suficiente como para ofrecer productos o servicios.
• La empresa no tiene los recursos suficientes para desarrollar sus actividades.

[Tweet «La norma #ISO22301 asegura la continuidad del negocio»]

Por si solas, estas causas son motivos de problemas importantes. En muchas ocasiones, se produce más de una a la vez, por ejemplo cuando tiene lugar un desastre natural de gran relevancia. En estas ocasiones, el responsable del plan deberá:

• Organizar los esfuerzos necesarios para regir la insuficiencia de infraestructura.
• Llevar a cabo actividades específicas para controlar errores internos.
• Colaborar con el personal que se encuentre, por ejemplo, herido y que exista un apoyo a sus familiares.

Funciones

Como ya hemos visto, las empresas pueden sufrir situaciones en las que sus actividades se interrumpan. Entonces, ¿cómo deberán actuar los responsables del plan de contingencia?

Lo más importante es que todo esté estructura y no solo una persona tenga la responsabilidad de que las actividades del plan se ejecuten. Esto se puede lograr siempre y cuando exista una organización de las actividades considerando las siguientes funciones:

Líder

Miembro responsable del equipo, tiene que velar por todas las actividades vinculadas con las personas perjudicadas durante el evento. Entre las actividades destacamos: evacuar al personal, ponerse en contacto con los servicios de emergencia y familiares, prestar auxilio, etc.

Líder de negocios

Es uno de los miembros del equipo, su función es que todas las actividades vinculadas con la organización de la infraestructura externa se ejecuten, teniendo siempre por ejemplo rutas alternativas o proveedores. Del mismo modo es responsable de garantizar que los productos y servicios se ofrezcan con normalidad.

Líder de infraestructura

Es el responsable de las actividades relacionadas con la recuperación de la infraestructura interna. En ocasiones esta función puede tener subdivisiones, siempre que sea necesario por el tipo de infraestructura que tengan las organizaciones.

Líder de comunicaciones

Es el responsable de mantener la comunicación entre la organización y los medios de comunicación y las administraciones públicas. De este modo se consigue evitar errores en la comunicación.

Es importante ser consciente de que estas funciones no tienen que desarrollarse por una persona exclusiva, es decir, una persona puede acaparar más de una función.

En ocasiones, debido a la envergadura de la organización, no es posible dividir las funciones en un equipo. Es entonces cuando la empresa deberá comprobar qué impacto genera esto en su Recovery Time Objetive (RTO) y realizar los ajustes necesarios, por ejemplo asignando más personas o realizando una redefinición de las propiedades y de los objetivos de recuperación planteados.

Software ISO 22301 para superar cualquier crisis

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

ISO 22301 Gestión de Continuidad de Negocio

La ISO 22301 Gestión de Continuidad de Negocio define las acciones específicas que toda organización debe efectuar para ser compatible con el estándar, siendo estas acciones auditables. Estos requisitos son genéricos y aplicables a cualquier tipo de organización, independientemente de su sector y tamaño para el contexto de la organización, liderazgo y planificación en la Continuidad de Negocio.

Cada organización debe diseñar su propio Sistema de Gestión de Continuidad de Negocio, de acuerdo a sus necesidades y exigencias de partes interesadas. Los requisitos legales, regulaciones de la industria, productos y servicios, procesos utilizados, tamaño y estructura de la organización, son parámetros importantes en este diseño.

Dentro de la norma ISO 22301 Gestión de Continuidad de Negocio para el contexto de la organización, liderazgo y planificación, es importante:

• Entender las necesidades de una organización, estableciendo políticas y objetivos de la Gestión de Continuidad de Negocio.
• Desarrollar, implementar y operar controles para gestionar la capacidad de manejar los incidentes que interrumpan las actividades.
• Monitorear el desempeño y eficacia del SGCN, efectuando actividades de revisión periódicas.
• Aplicar mejora continua en base a la medición de los objetivos.

Las exigencias de documentación que encontramos e en la norma ISO 22301, son las siguientes:

• Política de continuidad de negocio.
• Alcance y objetivo de la continuidad de negocio.
• Lista de requisitos legales y normativos.
• Evidencia de competencias del personal.
• Registros de comunicación con las partes interesadas.
• Análisis de impacto y evaluación de riesgos.
• Estructura de respuesta a incidentes.
• Planes de continuidad de negocio.
• Procedimientos de recuperación y restauración.
• Resultados de:
  • Acciones preventivas.
  • Supervisión y medición.
  • Auditoría interna y revisión de la Alta Dirección.
  • Acciones correctivas y mejoras.

ISO 22301 Contexto de la organización, liderazgo y planificación en la Continuidad de Negocio

Cláusula 4 Contexto de la Organización en la práctica

• Entender la organización y su contexto.
• Entender las necesidades y expectativas de las partes interesadas: determinando las partes interesadas relevantes para el SGCN y los requisitos legales y reglamentarios.
• Determinar el alcance del SGCN: especificando y explicando su alcance así como las exclusiones, asegurando que cumpla los requisitos del SGCN. Así mismo, se debe definir el alcance en términos de la naturaleza, tamaño y complejidad de la organización.
• Sistema de Gestión de la Continuidad de Negocio: establecer, implementar, mantener y mejorar el SGCN de forma continua, incluyendo los procesos necesarios en conformidad con los requisitos de esta norma.

#ISO22301 Contexto de la organización, liderazgo y planificación en la #ContinuidadNegocio
Compartir en X

Cláusula 5 Liderazgo en la práctica

Existe un compromiso de la dirección para garantizar:

• Que los objetivos y políticas del SGCN son compatibles con la estrategia de la organización y se integran a sus procesos de negocio.
• La provisión de los recursos necesarios, orientando y apoyando a las personas en la comunicación de la importancia del sistema.
• Que el sistema obtiene los resultados esperados y fomente el mejoramiento continuo.

La política de continuidad de negocio, debe estar disponible, ser comunicada y revisada a intervalos definidos ante cambios significativos. Así mismo, los roles, responsabilidades y autoridad en la organización, deben garantizar que el sistema cumple con los requisitos de esta norma e informar el desempeño del sistema a la Alta Dirección.

Cláusula 6 Planificación en la práctica

Las acciones para cubrir riesgos y oportunidades deben ser:

• Determinar los riesgos y oportunidades que necesitan ser abordados para que el sistema pueda alcanzar los resultados previstos.
• Reducir los riesgos (efectos no deseados).
• Planificar, integrar e implementar las acciones necesarias en los procesos del SGCN.

Los objetivos de la continuidad de negocio se pueden alcanzar:

• Asegurando que se establecen y se comunican las funciones y los niveles pertinentes.
• Siendo consistente con la política definida.
• Considerando el nivel mínimo aceptable por la organización.
• Monitoreando y actualizando, según sea apropiado.
• Determinado responsabilidades, actividades a realizar, recursos necesarios y evaluación de resultados.

El Software ISOTools basado en ISO 22301

El software de ISOTools facilita las tareas de implementación de la norma ISO 22301 Gestión de Continuidad de Negocio, gestionando el contexto de la organización, liderazgo y planificación, garantizando la simplicidad de las tareas de identificación y gestión de los riesgos, minimizando así los periodos de inactividad, y la probabilidad de ocurrencia y costos, así las organizaciones están preparadas para adoptar las medidas adecuadas.

ISO 22301 Gestión de Continuidad de Negocio

La ISO 22301 Gestión de Continuidad de Negocio especifica los requisitos para la planificación, establecimiento, implementación, operación, revisión y mantenimiento continuo de un Sistema de Gestión de Continuidad de Negocio (SGCN), para proteger, reducir la ocurrencia, prepararse, responder y recuperarse de incidentes que interrumpan los procesos, cuando éstos ocurren.

La norma ISO 22301 Gestión de Continuidad de Negocio, sigue una estructura de alto nivel, que los Sistemas de Gestión han ido adquiriendo en sus últimas actualizaciones, nos referimos al Anexo SL, donde las más exigibles son de la cláusula 4 a la 10, en este post veremos lo referente al apoyo, funcionamiento, gestión del desempeño y mejoramiento que las organizaciones deben seguir en la práctica.

Las organizaciones pueden recurrir a un ciclo PDCA para gestionar el establecimiento (cláusulas 4, 5, 6 y 7), implementación y operación (cláusula 8), monitoreo y revisión (cláusula 9) y mantenimiento y mejora (cláusula 10):

• Plan: establecer políticas de continuidad, objetivos, metas, controles, procesos y procedimientos relevantes para mejorar la continuidad de negocio, alineados con las políticas y objetivos de la organización.
• Do: desarrollar, implementar y operar la política de continuidad de negocio, controles, procesos y procedimientos.
• Check: monitorear y revisar desempeño contra los objetivos de continuidad, informando de los resultados a la Alta Dirección, para su revisión y posterior autorización de actividades de mejoramiento.
• Act: mantener y mejorar el SGCN mediante acciones correctivas, originados en los resultados de revisiones.

ISO 22301 Gestión de Continuidad de Negocio en la práctica

Cláusula 7 Apoyo

• Determinar y proporcionar los recursos necesarios.
• Asegurar que las personas sean competentes, considerando la educación, formación y experiencia, tomando acciones para que ellas adquieran dicha competencia.
• Toma de conciencia: conocer su rol durante los incidentes de interrupción y las consecuencias de su incumplimiento.
• Determinar las comunicaciones internas y externas necesarias (qué, cuándo, a quién) garantizando la disponibilidad de los medios de comunicación.
• Información documentada: respecto al desarrollo, actualización, control (distribución, almacenamiento, versiones), disponibilidad y protección (acceso y modificación).

Cláusula 8 Funcionamiento

Debe existir una planificación, ejecución y control de los procesos necesarios para implementar las acciones definidas, cambios planificados e imprevistos.

Respecto al análisis de impacto en el negocio y apreciación del riesgo debemos establecer, implementar y mantener un proceso formal y documentado realizando una evaluación de riesgo.

Análisis de impacto:

• Identificación de actividades que apoyan la prestación de productos y servicios.
• Evaluación de los impactos del tiempo de interrupción.
• Identificación de las dependencias y recursos.

Evaluación de riesgo:

• Identificar los riesgos de interrupción de activos, sistemas, información, personas y proveedores.
• Analizar y evaluar los riesgos relacionados con la interrupción que requieran el tratamiento.

La estrategia de continuidad de negocio, debe estar basada en el resultado del análisis de impacto y la evaluación del riesgo, cumplir con los tiempos definidos, así como mitigar, responder y gestionar los impactos. Se debe estabilizar, continuar, reanudar y recuperar las actividades, determinando los recursos necesarios para su implementación, y establecer medidas proactivas para reducir la probabilidad de interrupción.

El desarrollo e implementación de procedimientos de continuidad debe:

• Establecer, implementar y mantener procedimientos documentados para responder una interrupción, determinando la forma de continuar o recuperar las actividades dentro de un plazo predeterminado. Estos procedimientos abarcan la estructura organizacional de respuesta a incidente y los protocolos de comunicación.
• Realizar una revisión y ejercicios de informes formales de evaluación del ejercicio (mejoramiento continuo) e intervalos planificados, o ante cambios significativos (organización o entorno).

#ISO22301 #GestiónContinuidadNegocio en la práctica #SGCN
Compartir en X

Cláusula 9 Evaluación de desempeño

Realizar una evaluación de procedimientos de continuidad:

• En forma periódica mediante revisiones, ejercicios, informes post-incidentes y evaluaciones de desempeño, reflejando los cambios significativos en los procedimientos en forma oportuna.
• Cumplimiento de requisitos legales y reglamentarios.
• Permite tomar medidas proactivas, antes de que se produzca una no conformidad.

La auditoría interna permite:

• La objetividad, imparcialidad y competencia para el proceso.
• Definir los criterios y alcance de cada auditoría, conservando evidencias.
• Intervalos planificados para informar si el SGCN está en conformidad con los requisitos propios establecidos por la organización y por esta norma.

La revisión periódica de la Alta Dirección y su evidencia posibilita conocer el estado de las acciones de revisiones previas, y necesidades de cambios, así como los resultados de auditorías, pruebas y sus acciones correctivas y de mejoramiento.

Cláusula 10 Mejoramiento

• Identificar las no conformidades, determinar las causas y tomar las medidas necesarias para controlarlas y corregirlas.
• Revisar la eficacia de las acciones correctivas establecidas.
• Mantener evidencias.
• Mejorar continuamente la idoneidad, adecuación y eficacia del SGCN.

El Software ISOTools para el Sistema de Gestión de Continuidad de Negocio basado en ISO 22301

El software de ISOTools facilita las tareas de implementación de la norma ISO 22301 Gestión de Continuidad de Negocio, garantizando la simplicidad de las tareas de identificación y gestión de los riesgos, minimizando así los periodos de inactividad, y la probabilidad de ocurrencia y costos, así las organizaciones están preparadas para adoptar las medidas adecuadas.

Implementación de sistemas de seguridad

La implementación de sistemas de seguridad ISO, no es tarea sencilla dado la enorme cantidad de detalles que es necesario considerar durante su implantación.

Con el fin de mejorar la protección y seguridad de las organizaciones es aconsejable la implementación de sistemas de seguridad bajo las normas ISO 27001 e ISO 22301, para cubrir de ese modo, varios ámbitos de la organización.

Sin embargo, en la práctica, existen ciertas limitaciones que dificultan una aplicación simultánea de ambas normas ISO, resultando así más práctico llevar a cabo una implementación de manera secuencial de las mismas.

Ante ello, surge la duda de por dónde comenzar la implementación de sistemas de seguridad, es decir, cuándo implementar primero ISO 27001 o ISO 22301.

Cuándo implementar sistemas de seguridad de la información ISO 27001 en primer lugar

Comenzar por la implementación de sistemas de seguridad de la información ISO 27001 es principalmente recomendado en aquellas organizaciones en las que la tecnología de la información es esencial para la generación de valor añadido.

Es decir, aquellas organizaciones que se dediquen principalmente a la prestación de servicios y comercio, en lugar de a la fabricación de productos físicos.

Ejemplo de este tipo de organizaciones en las que es recomendable comenzar por la implementación de sistemas de seguridad de la información ISO 27001, serían las de telecomunicaciones, compañías de seguros, de comercio electrónico, instituciones financieras y, en general, todas aquellas en las que el tratamiento de la información sea la actividad principal de sus operaciones.

Cada vez son mayores las amenazas a la seguridad de la información, debido a robos de datos, bloqueos de accesos, denegación de sitios, entre otras. Ello está dando lugar a que se le de  mayor importancia a proteger la seguridad de la misma.

Cuándo implementar sistemas de seguridad de la continuidad del negocio ISO 22301 en primer lugar

En aquellas organizaciones de naturaleza típicamente manufacturera, vemos que aunque el procesamiento de la información es un aspecto clave de la misma, los procesos y recursos principales dependen a su vez de otros insumos.

En este tipo de organizaciones se puede observar procesos de materias primas dirigidos hacia el lugar de producción, flujos de productos hacia el lugar de almacenamiento o el envío a tiempo a los clientes.

En general, en todos estos procesos, los recursos de TI siguen dando soporte a los mismos, pero hay otras amenazas a dichos procesos de producción, como es el hecho de la dependencia de proveedores y de la cadena de suministros.

Otras amenazas, serían los posibles incendios o inundaciones en sus instalaciones de producción y/o almacenamiento.

En estos casos, parece primordial la implementación de sistemas de seguridad que aseguren la continuidad del negocio bajo ISO 22301.

Por dónde comenzar la implementación de #SistemasSeguridad : #ISO27001 o #ISO22301
Compartir en X

Cuándo optar por la implementación de sistemas de seguridad de manera simultánea

Cuando la organización no pertenece de manera clara a alguna de las categorías antes descritas, podemos optar por una implementación simultánea de ambos sistemas de seguridad.

En este sentido, destacamos la ventaja que aporta las normas ISO, que gracias a sus últimas actualizaciones, ha diseñado una estructura común para las mismas, con el fin de hacer más fácil la implementación conjunta de varias normas de dicha familia.

En definitiva, si la organización en cuestión se enfrenta a una serie de amenazas que pueden ocasionar la paralización de sus operaciones y la TI es un recursos que da apoyo al resto de procesos de negocio, es aconsejable comenzar por la implementación de un sistema de gestión ISO 22301.

Mientras que si su organización no se dedica a la fabricación física de productos sino que trabaja con productos digitales y en la que los procesos de la TI son la esencia de la misma, es preferible comenzar por la implementación de Sistemas de Gestión de Seguridad de la Información ISO 27001.

Para el resto de organizaciones que no correspondan de manera clara a alguna de esas categorías, se recomienda optar por una implementación conjunta de ambos sistemas de seguridad.

Software ISOTools Excellence

Con el Software ISOTools Excellence, es posible una fácil implementación de sistemas de seguridad ISO, tanto bajo la norma ISO 27001 como ISO 22301, gracias a la automatización  y optimización del sistema que aporta.

Si desea ampliar información, no dude en solicitar que nuestros consultores expertos en la materia se pongan en contacto con usted y le ofrezcan un asesoramiento personalizado.

Sector Público

La norma ISO 22301 es la norma internacional creada especialmente para la gestión de la Continuidad de Negocio, la cual se basa en el éxito de la Norma Británica BS 25999 y otras normas regionales. Esta norma está diseñada para preservar y defender a cualquier empresa privada u organismo del sector público de cualquier posible incidente o problema que se pueda plantear. Estos posibles incidentes incluyen inclemencias meteorológicas extremas, incendios, inundaciones, desastres naturales, robos, interrupciones de servicios de Tecnologías de la Información, enfermedades del personal o ataques terrorista.

El sistema de gestión de continuidad de negocio basado en la norma ISO 22301 permite definir las amenazas más importantes y las funciones empresariales críticas que pueden sufrir consecuencias tras uno de estos incidentes. Además, permite implantar planes con antelación para garantizar de esta forma que la empresa u organismo no interrumpe su actividad.

La certificación de la norma ISO 22301 en una empresa u organismo conlleva la puesta en marcha y aplicación de diferentes controles y medidas con los que ser capaces de gestionar los riesgos generales a los que esté expuesta la continuidad del negocio de dicha empresa u organismo.

Esta norma actúa mediante el ciclo de mejora continua PHVA (Planificar – Hacer – Verificar – Actuar), el cual determina los requisitos para la planificación, el establecimiento, la implantación, la operación, la supervisión, la revisión, la prueba, el mantenimiento y la mejora del sistema de gestión de la continuidad de negocio documentado teniendo en cuenta la gestión de los riesgos globales de cada empresa u organismo.

Una adecuada gestión de la continuidad del negocio permite a las empresas u organismos:

• Alcanzar la capacidad de enfrentar y superar los efectos de un incidente, concepto conocido como resiliencia, así como también prevenir o evitar los posibles escenarios derivados de una situación de crisis.
• Gestionar la interrupción de las actividades disminuyendo al mínimo las consecuencias económicas, de imagen o de responsabilidad civil derivadas de la misma.
• Adquirir una mayor flexibilidad ante la interrupción de sus actividades.
• Disminuir los costes asociados a la interrupción.
• Evitar penalizaciones debidas al incumplimiento de contratos como proveedor de productos o servicios.
• Contar con una metodología estructurada y organizada para reanudar las actividades después de una interrupción.
• Incrementar el prestigio y demostrar la resistencia ante los clientes y las partes interesadas.
• Posibilidad de ventajas económicas a la hora de contratar seguros empresariales.
• Uso de un enfoque proactivo para reducir el impacto de los incidentes.
• Reducir el tiempo de interrupción tras una determinada incidencia y mejorar el tiempo de recuperación.

[Tweet «#ISO22301: La implantanción de un Sistema de Gestión de Continuidad de Negocio también reporta grandes beneficios en el sector público»]

Como hemos observado, no solo existen grandes diferencias entre las organizaciones sino que estas pueden llevar a cabo actividades de sectores totalmente distintos, así como no solo pertenecer al grupo de empresas u organizaciones del sector privado, sino también al elenco de empresas y organismos que componen el sector público. Por ello, en este sentido, la norma ISO 22301 tiene la capacidad de ofrecer a dichas empresas y organizaciones, el poder llevar a cabo el desarrollo de sistemas para la gestión de la continuidad del negocio adaptados y ajustados a sus propias y concretas necesidades.

Además, teniendo en cuenta la naturaleza de estas empresas y organizaciones pertenecientes al sector público, cuyo objetivo es desempeñar tareas y actividades dirigidas a los servicios públicos, con su conducta general de “poder hacer” y junto a la posibilidad de ayudarse unos de otros, los planes de continuidad posibilitan el documentar de forma íntegra la restauración de los servicios. A todo esto, debemos considerar el hecho de que actualmente va aumentando el número de empresas y organizaciones adheridas al sector público que han sufrido una serie de recortes o disminuciones presupuestarias debido a la crisis económica, las cuales deben llevar a cabo una serie de ajustes para poder seguir ofreciendo y proporcionando sus servicios con un menor capital para su financiación. Por ello, cada vez es más necesario contar con algún tipo de plan que garantice la continuidad del negocio.

No debemos olvidar que designando una pequeña cuantía de los gastos a este tipo de cuestiones conseguiremos que las empresas y organizaciones en cuestión, cuenten con la pertinente resistencia ante imprevistos e incidentes que pongan en riesgos la continuidad de la misma, y de esa forma lograr importantes ahorros futuros en los presupuestos. Los responsables de la gestión de la continuidad del negocio deben ser capaces de aprovechar estas sinergias que se crean al contactar con otros responsables del sector para instruirse de las experiencias de los demás. Además, es muy recomendable que estos responsables se formen, participen en seminarios, promociones organizadas y diferentes eventos con el objetivo de obtener la mayor cantidad de información posible y trasladarla a los planes de continuidad de negocio que desarrollen en sus organizaciones.

Software 22301

Con el fin de llevar a cabo de una forma fácil y sencilla la automatización del Sistema de Gestión de la Continuidad de Negocio según la norma ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y asegura la aplicación de la misma.

ISO 22301

La intranquilidad acerca de una posible detención o interrupción en la cadena de suministro sigue estando entre las diez principales preocupaciones en una empresa; cerca de la mitad de los encuestados observa una tendencia en la creciente complejidad de la cadena de suministro que hace a sus empresas débiles frente a las modificaciones provocadas por enfrentamientos y adversidades naturales.

A pesar de esta concienciación del peligro, se ha advertido que una cuarta de todas las empresas no lleva a cabo ningún tipo de análisis de tendencias a largo plazo y, una tercera parte de aquellos que sí lo hacen, no aprovechan los resultados para obtener una mayor comprensión de las amenazas.

Debido a todos estos posibles riesgos se ha desarrollado la norma ISO 22301, la cual detalla los requisitos para un sistema de gestión encargado de proteger a la organización de incidentes que provoquen una interrupción en la actividad, disminuir la probabilidad de que se produzcan y asegurar la recuperación de la organización. Está diseñada para proteger a la empresa frente a cualquier posible problema incluyendo inclemencias meteorológicas extremas, desastres naturales, incendio, inundación, robo, enfermedad del personal, interrupción de servicios de Tecnología de la Información o ataque terrorista. El sistema de gestión ISO 22301 posibilita la identificación de las amenazas relevantes y las funciones empresariales críticas que podrían llegar a sufrir consecuencias. Asimismo permite establecer planes con antelación para garantizar que la organización no interrumpe su actividad.

¿Qué ventajas y beneficios nos aporta la ISO 22301?

Son multitud las ventajas y los beneficios que pueden obtenerse de la implantación y certificación de la Gestión de Continuidad del Negocio según la norma ISO 22301. Algunos de estos beneficios son:

• Identificar y gestionar las amenazas actuales y futuras para la organización.
• Mantener las funciones críticas listas y en funcionamiento durante momentos de crisis.
• Reducir el tiempo de interrupción tras cualquier incidencia y mejorar el tiempo de respuesta y recuperación.
• Minimizar el coste por ocurrencia de incidentes o desastres.
• Aumentar la estabilidad de los procesos comerciales.
• Alineación de los procesos comerciales y el proceso de gestión de riesgos operativos.
• Identificación de potenciales ahorros en las pólizas de seguro y con los proveedores de servicios.
• Cumplimiento garantizado de los requisitos relevantes y los estándares internacionales.
• Confianza y transparencia garantizadas para los socios relevantes y para el público.
• Ventajas competitivas mediante el cumplimiento de los requisitos relevantes y de los estándares mundialmente reconocidos.
• Compromiso de Gerentes en la adopción e implementación de una gestión de emergencias y de prevención de emergencias en la organización.
• Evaluación global de riesgos en todos los niveles comerciales.

[Tweet «#ISO22301: Cómo proteger a tu empresa de incidentes que provoquen una interrupción en la actividad»]

Fases del proyecto: Implantación y Certificación

Cualquier Sistema de Gestión de Continuidad de Negocio, como hemos mencionado anteriormente, tiene por objeto dotar a la empresa de la capacidad de reacción necesaria para lograr volver a la normalidad, de la manera más eficaz, tras una interrupción de las actividades del negocio causadas por cualquier tipo de desastre.

La norma ISO 22301 define al Sistema de Gestión de Continuidad de Negocio como aquel conjunto de procedimientos identificados que conducen a las empresas para responder, recuperar, reanudar y restaurar, tras una interrupción, a un nivel predefinido de operación. Habitualmente esto cubre los recursos, servicios y actividades necesarias para asegurar la continuidad de las funciones críticas de la organización.

Las fases de las que consta un proyecto para la implantación y posterior certificación de un Sistema de Gestión de Continuidad del Negocio (SGCN) son:

• Evaluación inicial y establecimiento del SGCN.
• Análisis de Impacto en el negocio y Análisis y Gestión de Riesgos.
• Estrategias de continuidad e Implantación y operación del SGCN.
• Políticas y Procedimientos.
• Planes de Formación.
• Pruebas, validación y seguimiento del SGCN.
• Certificación del SGCN.

Empresas certificadas

Actualmente, podemos encontrar determinadas empresas que ya cuentan con la certificación de la norma ISO 22301.

Un ejemplo de estas empresas es CaixaBank, la cual dispone de una rigurosa política y objetivos de continuidad de negocio, aprobados por su dirección, que incluye un Plan de Continuidad de Negocio (PCN). Este Plan de Continuidad abarca procesos, sistemas, instalaciones, equipo humano y proveedores.

CaixaBank ha obtenido la certificación ISO 22301, garantizando así el cumplimiento de las recomendaciones de los reguladores, Banco de España, MIFID, Basilea II, etc., y la máxima seguridad en sus operaciones, tanto en la operativa diaria como en situaciones extraordinarias. Esta certificación demuestra también a sus clientes, inversores y otros grupos de interés su compromiso con la Continuidad de Negocio, la implantación y operatividad de un SGCN, la realización de las mejores prácticas respecto a la gestión de la Continuidad de Negocio, y la existencia de un proceso cíclico basado en la mejora continua.

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.

ISO 22301

Todas las organizaciones independientemente de tamaño o naturaleza pueden ser vulnerables a eventualidades que afecten sus operaciones.

El estándar ISO 22301:2012 determina los requisitos que deben cumplir las organizaciones para implementar un sistema de gestión que les permita identificar, prepararse y dar respuesta a acontecimientos que supongan interrupciones en el desarrollo de su actividad, como por ejemplo catástrofes naturales, o cortes en los suministros de energía, entre otros.

¿Qué organizaciones pueden implementar el BCMS?

• Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública.
• La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.
• La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas compartidas con la gestión de seguridad y tecnología de la información.

Estructura de la norma ISO 22301

1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del Desempeño
10. Mejora

Requisitos  del  sistema  de  gestión  de  la  continuidad  operacional  (BCMS)

• Requisitos generales
• Establecimiento del contexto
• Política y compromiso de la gerencia
• Planificación
• Implementación y operación
• Comprobación y acción correctiva
• Revisión gerencial

Requisitos generales

La organización debe establecer, implementar, operar, monitorear, revisar, mantener y mejorar un BCMS documentado, en el contexto general de las actividades operacionales de la organización y de los riesgos que enfrenta.

Establecimiento del contexto

Alcance del BCMS: La organización debe definir y documentar el alcance del BCMS teniendo en cuenta sus contextos interno y externo.

• Establecer límites
• Establecer requisitos BCMS
• Identificar productos, servicios y actividades relacionadas
• Tener en cuenta: necesidades de la empresa, tamaño, naturaleza y complejidad
• Documentar exclusiones sin afectar la capacidad ni responsabilidad de la organización
• Requisitos legales y otros que la organización suscriba

Política y compromiso

La alta dirección debe establecer, documentar, proporcionar recursos y demostrar su compromiso con la política de gestión de la Continuidad Operacional, dentro del alcance definido del BCMS.

• ¿Qué debe de incluir la política o a qué hacer referencia?
• Compromiso de la Alta Dirección

Planificación

• Análisis de impacto y evaluación de riesgos

Estructura de la norma #ISO22301
Compartir en X

Implementación y operación

• Control de documentos.
• Control operacional.
• Prevención de incidentes, preparación, y respuesta.

Comprobación y acción correctiva

• Seguimiento y medición
• Evaluación de la conformidad y desempeño del sistema
• No Conformidad, AC, AP
• Control de Registros
• Auditorías Internas

Revisión gerencial

Revisar las evaluaciones del sistema, en los intervalos previstos, a fin de garantizar su idoneidad, eficacia y eficiencia

• Insumos de la revisión
• Productos de la revisión

Beneficios de implementar la ISO 22301

• La certificación le da una clara comprensión de toda su organización y mejorar el resultado operacional.
• Protección de los bienes materiales, activos y el “Know how” del negocio.
• Preservar los intereses de los accionistas.
• Mejorar su resiliencia de manera proactiva cuando se enfrenta con una interrupción en su capacidad de alcanzar objetivos claves.
• Ayuda a proteger y mejorar su reputación y marca.
• Mayor eficacia operativa: Reingeniería de negocios.
• Proporciona un marco común consistente, basado en unas mejores prácticas internacionales para gestionar la continuidad de negocio.
• Demuestra que se observan las leyes y las regulaciones.
• Proporciona una capacidad probada para gestionar una interrupción.
• Evitar pérdidas económicas, humanas, materiales.

El Software ISOTools facilita la automatización de un Sistema de Gestión de Continuidad de Negocio basado en ISO 22301

ISOTools garantiza a las organizaciones la continuidad de negocio, simplifica las tareas de  identificación y gestión de los riesgos, minimizando así los periodos de inactividad, la probabilidad de ocurrencia y costos, de esta manera la organización está preparada para adoptar medidas.

Este software facilita las tareas derivadas del proceso de integración de ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

ISO 22301

La actual situación empresarial provoca que en ningún caso, las organizaciones que tengan la intención de mantener su ventaja competitiva, puedan permitirse una interrupción en el desarrollo de sus actividades diarias.

Es por ello que las organizaciones están cada vez más concienciadas y ven una solución sostenible en el tiempo la implementación de un Sistema de Gestión de la Continuidad del Negocio, también conocido como SGCN.

Este sistema puede estar basado en la norma ISO 22301, la cual hace posible el cumplimiento de los objetivos principales del negocio y minimizar los efectos negativos que pueden suponer la interrupción de la cadena de producción.

Con las nuevas reglas de los mercados internacionales, las empresas tienen la obligación de poder demostrar que son proveedores en los que se puede confiar. Ante la presencia de cualquier evento alterador, disponer de un SGCN bien diseñado y correctamente implantado es una garantía, para la propia empresa y ante terceros, de que dentro de un tiempo estimado, la organización podrá reanudar sus operaciones y servicios.

Un Sistema de Gestión de Continuidad del Negocio consiste en que la organización se prepara de forma proactiva para combatir cualquier tipo de eventualidad que puede ocasionar una interrupción del trabajo diario de la organización, provocando resultados con diverso nivel de gravedad en función del ámbito donde se ha producido la inactividad.

Este sistema de gestión basado en la norma ISO 22301 se puede apreciar como la competencia estratégica y táctica de una compañía a la hora de realizar la planificación y dar respuesta ante la ejecución de cualquier incidente o interrupción, con el objetivo de mantener el funcionamiento de las operaciones a niveles aceptables. En el peor de los casos, la interrupción de la continuidad de negocio puede provocar que la propia organización desaparezca por ejemplo por ocasionarse daños irremediables o pérdidas económicas que no pueden ser asumidas entre otras causas.

Beneficios de un Sistema de Gestión de Continuidad del Negocio #ISO22301
Compartir en X

Beneficios de un Sistema de Gestión de Continuidad del Negocio

• Asegura el cumplimiento de los objetivos de carácter prioritario en caso de contingencia.
• Ofrece seguridad y confianza a todas las partes interesadas.
• Minimiza las consecuencias adversas en los servicios de la empresa por una interrupción que no se esperaba.
• Detección de amenazas y vulnerabilidades sobre las operaciones críticas de la organización, para su tratamiento y control de manera proactiva.
• Integrar la estandarización, innovación y el liderazgo en la gestión del riesgo operativo.
• Minimizar al mínimo las posibilidades de que una eventualidad provoque que la empresa de operar el tiempo suficiente como para que no pueda suministrar a tiempo sus productos o servicios.

Con la intención de dar a conocer más sobre esta norma internacional, se ha elaborado un e-book titulado “La norma ISO 22301 Cómo asegurar la continuidad del negocio”

¿Por qué deberías descagarte este e-book?

La descarga de este e-book gratuito sobre la ISO 22301 y el Sistema de Gestión de Continuidad de Negocio te permitirá conocer cómo definir, implementar, certificar y mantener dicho sistema según la norma internacional ISO 22301. Además también trata de los principios básicos de la metodología AMEF y de ciertos conceptos como plan de contingencia o tiempos de recuperación. Por último, se destaca el concepto de automatización del Sistema de Gestión de Continuidad de Negocio, informando de las numerosas ventajas que esta aporta a las organizaciones.

El e-book “La norma ISO 22301 Cómo asegurar la continuidad del negocio” ha sido elaborado como lectura para Responsables de Continuidad de Negocio, Responsables SGSI, Oficiales de Seguridad, Líderes de Procesos, Gerentes y Responsables de los sistemas de gestión en empresas Públicas y Privadas.

Software para ISO 22301

El Software ISOTools para ISO 22301 asegura la continuidad de negocio, ya que simplifica las tareas relacionadas con la identificación y gestión de riesgos, minimizando los tiempos de inactividad que puedan ocurrir en la organización, de esta forma la empresa está totalmente preparada ante cualquier contingencia.

Esta herramienta online para los sistemas de gestión ISO, hace posible la integración del Sistema de Gestión de Continuidad de Negocio según ISO 22301, con otros sistemas basados en normas tan populares como la nueva ISO 9001 de 2015, la ISO 14001 de 2015 o la futura ISO 45001.

 Sistema de Gestión de Continuidad del Negocio

La ISO 22301 es un estándar internacional para gestionar la continuidad del negocio basada en la Norma Británica BS 25999 y otras normas regionales. Se trata de una norma específicamente diseñada para proteger a la empresa frente a cualquier posible problema, incluyendo: inclemencias meteorológicas extremas, incendio, inundación, desastres naturales, robo, interrupción de servicios de tecnologías de la información, enfermedad del personal o ataque terrorista.

Requisitos de la norma

Documentación

La última actualización de la norma exige la siguiente documentación obligatoria:

• Lista de requisitos legales, normativos y de otra índole.
• Alcance del Sistema de Gestión de Continuidad del Negocio (SGCN).
• Política y objetivos de la continuidad del negocio.
• Evidencia de competencias del personal.
• Registros de comunicación con las partes interesadas.
• Análisis del impacto en el negocio.
• Evaluación y perfil de riesgos.
• Estructura de respuesta a incidentes.
• Planes de continuidad del negocio.
• Procedimientos de recuperación.
• Resultados de acciones preventivas y correctivas, supervisión y medición.
• Conclusiones de la auditoría interna yde la revisión por parte de la Dirección.

Contexto

Se trata de los requisitos necesarios para determinar el contexto del SGCN, especificando cómo se deben aplicar de acuerdo a las necesidades de la organización dentro de un alcance determinado. Es necesario incluir los aspectos legales y regulatorios susceptibles de aplicarse a la organización.

Liderazgo

Este apartado hace referencia a las exigencias a la Alta Dirección en relación a su papel e implicación en el SGCN. Algunos de estos requisitos son:

• Asegurarse de que el SGCN es compatible con la dirección estratégica de la organización.
• Integrar los requerimientos del SGCN en los procesos de negocio.
• Comunicar a los empleados la importancia de una gestión eficaz y correctamente planificada de la continuidad del negocio.

Planeación

En este sentido, los requerimientos básicos de la norma ISO 22301 son la definición de los objetivos continuidad del negocio para una organización en concreto y el desarrollo de proyectos para alcanzarlos. También se concretan las características principales de dichos objetivos: estar directamente relacionados con la política de continuidad del negocio y ser conmensurables.

Al establecer los objetivos es muy importante dejar muy claro cuál es el nivel mínimo de productos y servicios que serían aceptables para que la organización pueda alcanzar sus objetivos globales de negocio.

[Tweet «Los requisitos de la #ISO22301 se pueden clasificar en 7 ámbitos distintos.»]

Soporte

El soporte requerido por esta norma para poder establecer, implementar y mantener un óptimo SGCN incluye requerimientos en: competencias humanas, toma de conciencia y comunicaciones con partes interesadas, gestión documental y comunicaciones.

Operación

Se obliga a la organización a asegurar la existencia de procesos desarrollados para garantizar la correcta implantación del SGCN.

Beneficios de la ISO 22301

Un sistema de gestión basado en la ISO 22301 permite:

• Determinar los riesgos más relevantes y las funciones empresariales críticas que podrían sufrir negativas consecuencias.
• Identificar y gestionar las amenazas actuales y futuras para su empresa.
• Utilizar un enfoque proactivo para minimizar el impacto de los incidentes.
• Mantener las principales operaciones del negocio listas y en funcionamiento durante momentos de crisis.
• Minimizar el tiempo de interrupción tras cualquier incidencia y mejorar el tiempo de recuperación.
• Demostrar su resiliencia a clientes, proveedores y para ofertas de licitación.
• Establecer planes con antelación para asegurarse de que su empresa no detiene su actividad.

La Plataforma ISOTools facilita la automatización de la ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN en base a la norma ISO 22301 bajo un enfoque por procesos conforme al ciclo PHVA (Planear, Hacer, Verificar y actuar). Se trata un software de sencilla implantación y funcionamiento y estructura modular que permite la integración del estándar ISO 22301 con otras normas: ISO 9001, ISO 14001 y OHSAS 18001.

ISOTools permite a las organizaciones estar suficientemente preparadas ante posibles incidentes tecnológicos, naturales o de cualquier otra naturaleza que puedan poner en riesgo su actividad. De esta forma, se garantiza la continuidad de negocio, disminuyendo los tiempos de inactividad y la probabilidad de ocurrencia y eliminando y minimizando las posibles pérdidas.

La ISO 22301 es una norma de aplicación internacional cuya adopción requiere de una cierta documentación de empleo usual y de materia obligatoria.

La documentación es vital para la implantación de la ISO22301 ya que ésta salvaguarda y protege datos que son muy importantes.

Esta documentación y registros son los siguientes:

• Rentabilidad de acciones provisorias.
• Rentabilidad de acciones que son disciplinarias.
• Afirmación de competencias del personal.
• Ser capaz de dar una respuesta ante los incidentes que se puedan ocasionar.
• Controlar los riesgos.
• Repercusión del Sistema de Gestión de Continuidad del Negocio.
• Rentabilidad en la vigilancia y la medición.
• Rendimientos de la verificación de la dirección.
• Para ofrecer una solución a los incidentes se tienen unos procesos.
• Reconocer la comunicación.
• Métodos para llegar a alcanzar la recuperación de la situación primera de la organización.
• Estudio de las consecuencias de la actividad de la empresa.
• Comprobación de las competencias del personal.
• Requisitos normativos y legales, entre otros.
• Finalidad de la continuidad del negocio.
• Verificación de la auditoría interna.

Los registros mencionados anteriormente, más utilizados son:

• Crónica post-ejercicio.
• Reducción del riesgo.
• Proceso de externalización de los socios.
• Proceso de mantenimiento del SGCN.
• Contratos con los proveedores.
• Procesos para facilitar el control de la información.
• Plan de sensibilización y formación.
• Planes de riesgo y ejercicios.

ISOTools, es una Plataforma Tecnológica, que facilita la documentación necesaria para la adopción de la norma ISO-22301 para un Sistema de Gestión de Continuidad del Negocio, ayudando a que el acceso a la información se realice de manera más sencilla a través de su sistematización.

ISO 22301

La norma internacional ISO 22301 tiene como finalidad responder a las posibles apariciones de incidentes que pueden darse en las organizaciones. Además, da la posibilidad de adoptar una Sistema de Gestión de Seguridad para modificar los incidentes.

Dicha norma da algunas actuaciones para que se puedan prevenir y localizar las amenazas.

Para dar respuestas a los incidentes de una manera eficaz debemos de:

• Asegurar la ejecución de forma idónea de las actuaciones, a través de, la comunicación de los puntos frágiles de la seguridad de la información para que podamos estar preparados ante incidentes.
• Comunicación de los puntos débiles de la seguridad a los terceros, a los empresarios, entre otros.
• Evaluar los riesgos de seguridad en la información mediante los instrumentos adecuados.
• Garantizar la aplicación a través de la gestión de los incidentes de la seguridad que hablan sobre la información y mejora constante.
• Dar respuesta estructurada, eficaz y rápida, a través de la asignación de los procesos de gestión y responsabilidades.

La Plataforma Tecnológica, ISOTools, ayuda a las organizaciones a la adopción de la norma ISO22301. Además, de señalar los incidentes de seguridad de la información, planificar las acciones de control y prevención y el control de la eficiencia.

 ISO 22301

El estándar ISO22301 facilita la sistematización de un Sistema de Gestión de la Continuidad del Negocio a las empresas con el objetivo de disminuir el riesgo para que las empresas no se paralicen por las amenazas.

La ISO-223021 nos proporciona una serie de pautas para el control, sistematización, adopción y mejora del sistema para atacar a las amenazas.

Los términos fundamentales de la norma ISO 22301 son:

• MTPD: Periodo Máximo admisible de interrupción.

• RPO: Límite mínimo para la continuidad del negocio. Es el nivel más bajo de productos o servicios fundamentales para fabricar una vez que se sigan con las actividades habituales de la organización.

• SGCN: Sistema de Gestión de la Continuidad del Negocio. Este se va a encargar de mantener, planificar y mejorar la continuidad de dicho negocio.

• MAO: Interrupción Máxima Aceptable. Es el tiempo máximo que la actividad puede estar parada. Si se supera dicho límite habrá un daño inadmisible.

• Existencia del tiempo límite máximo para la restauración de los recursos, para la reparación y de la continuidad del negocio.

El contenido del estándar ISO-22301 es la siguiente:

• Planificación.

• Soporte.

• Intervención, responsabilidad y compromiso de la alta dirección.

• Conocimiento tanto de la organización como del entorno que les rodea.

• Operatividad y funcionamiento.

• Auditoria interna.

• Desarrollo y evaluación del desempeño

• Mejora continua.

La implantación de la ISO-22301 va a proporcionar a las organizaciones:

• Definición especifica tanto de las responsabilidades como de las obligaciones a la alta dirección.

• Importancia del conocimiento de los objetivos y del control de los mismos a través de unos métodos específicos.

• Proyección eficiente de los recursos con la finalidad de obtener la certificación de la continuidad de la actividad.

La Plataforma Tecnológica, ISOTools, proporciona todos los documentos necesarios por norma ISO22301 para un Sistema de Gestión de Continuidad del Negocio, ayudando a la sistematización y permitiendo el acceso a la información.

La norma ISO 22301 está llegando a ser una norma internacional fundamental para conservar e implantar la gestión de la continuidad del negocio en las empresas. Dicha norma posee la misma estructura de gestión que las normas ISO27001, ISO 9001 entre otras.

Las organizaciones que alcanzan el certificado de la norma ISO-22301, para conseguir un Sistema de Gestión de la Continuidad del Negocio, obtienen numerosas ventajas como son:

• Disminución de sus riesgos, tiempos de inactividad y costes.
• Asegurar el cumplimento de legislaciones aplicables al caso.
• Aumento de la eficacia operativa.
• Mejora de la productividad de tipo empresarial.
• Aumento de la confianza general
• Aumento de la competitividad.
• Conservar los intereses de cada uno de los socios, del know-how y de los bienes tangibles.

La ISO22301 proporciona a las organizaciones la obtención del certificado de un Sistema de Gestión de Continuidad el Negocio (SGCN), así como el cumplimiento de todos los requisitos que sean establecidos por la política de continuidad del negocio.

Además, fomenta la seguridad y el compromiso que hace falta a las partes interesadas mediante prácticas que son reconocidos internacionalmente. Por último, mejora y supervisa su SGCN.

La norma ISO-22301 va a ayudar a las empresas a solucionar los imprevistos que se den en cualquier momento. Es una norma que se encuentra alineada con el SGCN. Se puede implantar en cualquier tipo de organización independientemente de su tamaño y de su actividad, con el objetivo de demostrar que su funcionamiento es posible.

Continuamente, deben ser revisados los planes de reconstrucción del negocio para así poder:

• Identificar las amenazas.
• Incorporar los factores que son imprescindibles.
• Señalar la interdependencia de los procedimientos.
• Involucrar a las empresas la importancia que tiene el apoyo de todo el personal.

Las empresas que realizan un trabajo en un entorno donde existe un nivel de riesgo alto y donde la capacidad de continuar en funcionamiento el negocio es imprescindible, es de vital importancia la ISO-22301.

La Plataforma Tecnológica, ISOTools, realiza la automatización de la norma ISO-22301 de forma sencilla, haciendo posible la identificación, gestión de los riesgos y disminuyendo la probabilidad de que éstos puedan ocurrir.

ISO22301

La norma ISO22301 da lugar a un Sistema de Gestión de Continuidad del Negocio empleado para alcanzar la mejora de este.

Este sistema permitirá disfrutar de una confianza y seguridad con respecto a los productos y servicios que ambas partes quieren proteger de las amenazas que pueden ser provocadas en cualquier momento.

La realización de prácticas eficientes, estándares o lineamientos de seguimiento del negocio han dado lugar a un progreso periódico en el tiempo de la norma ISO 22301:

• En el año 1995 Asociación Nacional de Protección contra el Fuego “NFPA”.  Es un lineamiento que formó algunas reglas en casa de emergencia, programas de continuidad, gestión de desastres para las organizaciones. Es el lineamiento más antiguo.
• En el año 1997 Disaster Recovery Institute International “DRII”. Este difundió las prácticas profesionales para la Gestión del Negocio.
• En el año 2002 Business Continuity Institute llevo a cabo la publicación de las Buenas Prácticas para  la supervivencia del negocio.
• En el año 2003 PAS desarrolló los procesos, terminología del sistema de continuidad de la organización y los procesos. Incluso, llevo a acabo una serie de recomendaciones para prevenir percances.
• En el año 2003 fue publicado el lineamiento BS 25999-1 especificando el ciclo de vida de supervivencia de la organización.
• En el año 2007 BS 25999-2:2007 llegó a ser el principal estándar a nivel internacional que se podía certificar y auditar. Su objetivo consistía en señalar los requerimientos de uno de los enfoques del sistema de gestión. Además, se hizo mención de la ISO/PAS 22399 en el mismo año, llevando a cabo los potenciales incidentes y la continuidad operacional desarrollados para una entidad interesada.
• Un año después, se publicó ISO/IEC 14762 donde se mencionaba la recuperación de los perjuicios a través de la información y comunicación sobre la gestión de la continuidad. BS25777 sigue un reconocimiento de buenas prácticas enlazándola con la gestión de la continuidad.
• En el año 2010 se publica el ASIS/BSI Business Continuity Management Standard. Es un lineamiento permanente en BS 25999.
• En el año 2011 se publica PAS 200 Gestión de Crisis (Lineamiento y Buena Práctica), formado para facilitar la toma de pasos prácticos a las entidades con la finalidad de aumentar su sus capacidades para sobrevivir en la época de crisis.
• En el año 2012 para concluir, se habla de la ISO 22301 (Sistema de Continuidad del negocio) Seguridad de la Sociedad apostando por el ciclo PHVA para llevar a cabo la implantación, revisión, operación, mantenimiento, planificación y mejora constante de su eficiencia.

ISOTools, es un Plataforma Tecnológica que facilita la implantación y control del Sistema de Gestión de Continuidad del Negocio con la finalidad de estar al tanto de todo y así poder controlar las distintas amenazas que atacan a las organizaciones.

ISO 22301

La norma ISO 22301 se elaboro debido a la gran demanda internacional que existía de la norma británica BS 25999-2.

En el año 2007 se publico el estándar BS 25999-2, se trataba de la primera norma certificable y auditable. Se desarrolló con la intención de definir los requisitos necesarios para la implantación de sistemas de gestión de continuidad del negocio.

En la ISO22301 quedan establecidas las especificaciones de la BS 25999-2, aunque existen diferencias en cuanto a la definición de los objetivos, eficiencia de la vigilancia  y valores característicos.

El estándar internacional ISO-22301 centra su atención en:

• En la gestión de la continuidad de negocio se designa como responsables a la alta dirección.

• La norma ISO 22301 considera la planificación de recursos y disposición. El SGCN para que funcione correctamente, estará integrado por objetivos y procesos.
• En la ISO22301 también se hace referencia de un modo más detallado a los requisitos relacionados con los proveedores. Esto favorece a la hora de validar las cadenas de suministro, los clientes y otros aspectos relevantes
• La norma tiene en cuenta que las organizaciones se ocupen y preocupen por los stakeholders.

• El estándar ISO22301 busca normalizar el término de gestión de la continuidad de negocio y fortalecer su lenguaje. Esto instaura las bases para lograr las condiciones de competencia homogéneas en lo referente a relaciones internacionales comerciales.

Durante el paso de la certificación del estándar BS 25999-2 a la norma ISO 22301 se aprecian en cada una de las auditorias de renovación.

la Plataforma Tecnológica ISOTools automatiza la norma ISO-22301 de manera sencilla y fácil, lleva a cabo la identificación y gestión de los riesgos, reduciendo la posibilidad de que ocurran.

La norma ISO 22301 impone a que las organizaciones cuenten con cierta documentación obligatoria y otra de carácter no obligatorio pero que tiene un uso frecuente.

En los Sistemas de Gestión de Continuidad de Negocio la documentación juega un papel muy importante, en ella se incluye y conservan datos, información y otros documentos de interés para el sistema. Este tipo de documentación puede consultarse en cualquier momento.

Los registros y documentos mínimos reclamados por el estándar internacional ISO-22301 son:

• Alcance del SGCN.
• Lista de requisitos legales, normativos y de otra índole.
• Política de la continuidad del negocio.
• Evidencia de competencias del personal.
• Registros de comunicación.
• Objetivos de la continuidad del negocio.
• Análisis del impacto en el negocio.
• Estructura de respuesta a incidentes.
• Planes de continuidad del negocio.
• Evaluación de riesgos, incluido un perfil del riesgo.
• Procedimientos de recuperación, medidas temporales para devolver al negocio a la situación inicial.
• Resultados de acciones preventivas.
• Resultados de supervisión y medición.
• Procedimientos para responder a incidentes disruptivos.
• Resultados de la revisión de la dirección.
• Resultados de la auditoría interna.
• Resultados de acciones correctivas.

Aquellos documentos que no son obligatorios pero sí que tienen un uno frecuente son:

• Procedimiento para el control de la información documentada.
• Los contratos y acuerdos de nivel de servicio con los proveedores y la externalización de los socios.
• Formación y plan de sensibilización.
• Escenarios de incidentes.
• Planes de ejercicio y de pruebas.
• La mitigación del riesgo.
• Informes post-ejercicio.
• Los métodos de seguimiento, medición, análisis y evaluación.
• Procedimiento para la auditoría interna.
• Plan de mantenimiento SGCN.
• Programa de auditoría interna.
• Procedimiento para la acción correctiva.

ISOTools es la Plataforma Tecnológica que colabora en la aportación del conjunto documental requerido por la ISO 22301 para la implantación de un SGCN. ISOTools automatiza y facilita el acceso a esta información.

La norma ISO 22301 y El Sistema de Gestión de Continuidad del Negocio basado en la norma ISO22301 aplica el ciclo PHVA (planificar, hacer, verificar, actuar), lo que permite planificar, implementar, operar, monitorear, revisar, mantener y lograr la mejora continua de la efectividad del SGCN.

El SGCN según la ISO-22301 tiene en cuenta insumos de las partes interesadas, además de las exigencias requeridas para la gestión de la continuidad. A través de una serie de acciones y procesos consigue resultados de continuidad para aceptar los requerimientos.

Este modelo contiene los siguientes componentes:

• Plan: Expuesto en las clausulas 4. Contexto de la organización, 5. Liderazgo, 6. Planeamiento y 7. Soporte. Es en este componente donde se aprecian los requerimientos principales.
• Hacer: La clausula integrada en esta etapa es la 8: planeamiento operativo y control, análisis del impacto empresarial, evaluación de riesgos de estrategias de continuidad, procedimientos de continuidad y ejercicios y pruebas.
• Verificar: O lo que viene a ser monitoreo y mediación, análisis y evaluación, auditoria y revisión como queda establecido por la cláusula 9.

• Actuar: Esta etapa se relaciona con la cláusula 10. No conformidades y acciones correctivas y mejora continua.

El ciclo PHVA es un modelo fundamental en la continuidad del negocio, ya que permite lograr objetivos como:

• Declarar modificaciones en los procesos.
• Elaborar nuevos niveles de riesgo en los activos de información.
• Certificar que el Sistema de Gestión está vigente.
• Implementar tecnologías actuales.

La Plataforma Tecnológica ISOTools hace uso del ciclo PHVA en todas sus modalidades, logrando la mejora continua en todas las organizaciones, consiguiendo que alcancen su máximo rendimiento.

La norma que abarca los aspectos implicados en la gestión de la continuidad de negocio actualmente es la ISO 22301, pero a lo largo del tiempo no ha sido la única.

En materia de continuidad en el negocio en el año 1995 surge NFPA 16000, a partir de esta aparecen distintos alineamientos, buenas prácticas y otros estándares hasta que en el año 2012 se publica la norma ISO22301.

NFPA establecía los criterios necesarios para gestionar los desastres o emergencias y programas sobre la continuidad de las empresas.

En 1997 aparecen las Practicas Profesionales para gestionar los negocios y años después, en 2002 se desarrollan las Buenas Prácticas para la Continuidad de Negocio.

Durante el año 2003 se publico PAS 56, se trataba de un lineamiento que instituía el proceso, los principios y la terminología del sistema. Este lineamiento también contenía una serie de recomendaciones útiles para la prevención de incidentes. Posteriormente, en el año 2006 se establece un nuevo lineamiento que definía el ciclo de vida de la continuidad de negocio.

Para el año 2007 ya existe un estándar internacional auditable y certificable en el que se definían los requisitos para implantar un sistema de gestión basado en las buenas prácticas.

En 2008 se establece unas guías para el abastecimiento de información y comunicación frente a su recuperación ante desastres y un código de conducta donde se establecen buenas prácticas para la gestión de la continuidad.

En el ASIS/BSI publicado en el año 2010, se especifican los requisitos para un Sistema de Gestión de Continuidad de Negocio.

Antes de la aparición del estándar internacional ISO-22301, aparece el PAS 200 para la Gestión de Crisis y el IEC 27031 en el que se incluyen los principios de la tecnología de la información y comunicación referida a la continuidad de negocio.

En 2012, apostando por el ciclo PHVA surge la ISO 22301 para implementar un SGCN.

ISOTools es la Plataforma Tecnológica colabora con las organizaciones para implantar la norma ISO 22301 para un SGCN, de este modo hace frente a los riesgos que pueda encontrarse una organización.

ISO 22301

La norma ISO22301 está adaptada a la nueva estructura de alto nivel y texto normalizado. Por ello,  este estándar internacional guarda coherencia con el resto de normas de gestión lo que permite su fácil integración con otros sistemas de gestión basados en la ISO 9001, ISO 14001 e ISO 27001.

La ISO-22301 está constituida por 10 cláusulas principales que hacen alusión al alcance, referencias, términos y definiciones. A estas diez clausulas les siguen:

La Plataforma Tecnológica ISOTools se encarga de automatizar el SGCN, facilitando la identificación y gestión de riesgos, minimizando su ocurrencia. Ademas prepara a la organización para que responda satisfactoriamente en el caso que se produzcan riesgos.

ISO 22301

La Gestión de la Continuidad del Negocio basada en la norma ISO22301 se centra en la adopción de buenas prácticas que minimicen los riesgos y eviten la interrupción del negocio.

Hay ciertos negocios que no pueden permitirse en ningún momento que su actividad se detenga, para ello la implementación de la ISO22301 en la organización es el primer paso hacia las buenas prácticas.

Entendidos en la materia redactaron la norma ISO-22301 para que sirviera de referencia en la gestión de la continuidad del negocio de las empresas.

Su implementación permitirá reducir los posibles incidentes y en el caso de que estos tuviesen lugar, la organización estará siempre preparada para enfrentarse a ellos de un modo rápido y sencillo.

Si la organización cumple con los requisitos establecidos en la ISO 22301, podrá operar correctamente siempre, incluso en aquellas ocasiones de interrupción.

Cualquier organización, independientemente de su tamaño y actividad podrá implementar un sistema de gestión de la continuidad del negocio basado en la ISO22301.

Esta norma hace uso de un lenguaje común para las organizaciones globales, sobre todo para aquellas que están incluidas en cadenas de suministro complejas.

El estándar internacional ISO-22301 es una herramienta muy eficaz en las organizaciones que están expuestas a un alto nivel de riesgo y que necesitan seguir operando, por ejemplo organizaciones del sector público, de transporte, telecomunicaciones, etc.

La ISO 22301 permitirá:

• Implementar, mantener y mejorar continuamente los Sistemas de Continuidad de Negocio (SGCN)
• Cumplir con los requerimientos de su política de continuidad.
• Ofrecer confianza a las partes interesadas.

La ISO-22301 establece los requisitos necesarios para un Sistema de Gestión de Continuidad del Negocio basándose en las buenas prácticas.

La Plataforma Tecnológica ISOTools permite automatizar la norma ISO 22301 de un modo rápido y sencillo. Además ISOTools, asegura que las organizaciones estén preparadas en todo momento a posibles riesgos y que no supongan una amenaza para el negocio.

ISO 22301

La norma ISO22301 se utiliza para realizar la implantación de un Sistema de Gestión de Continuidad de Negocio en una organización, es una herramienta indispensable para mejorar la continuidad de negocio.

Un SGCN aporta la confianza necesaria a las partes interesadas, se debe al reconocimiento de los principales procesos en los que servicios o productos se fundamentan, los cuales se debe proteger de posibles amenazas.

Con cada amenaza, la organización debe adoptar una estrategia de continuidad que permita que las operaciones se reanuden y prosigan.

Normalmente las operaciones que combaten estas amenazas se suelen ensayar, evitando que la operación se abandone y que se interrumpa la prestación de servicios o productos.

La ISO-22301 surge debido al desarrollo de buenas prácticas, lineamientos y normas de continuidad de negocio como:

• NFPA 1600 de 1995, es el lineamiento más antiguo. En él se establecieron unos criterios para gestionar los desastres, emergencias y programas de continuidad  de las organizaciones.

•  Disaster Recovery Institute International (DRII), fue publicado en el año 1997, se establecieron las Prácticas Profesionales para la Gestión del Negocio.

• Las Buenas Prácticas para la Continuidad del Negocio, publicado por el Business Continuity Institute en 2002.

• El lineamiento PAS 56 se publicó en 2003, define el proceso, principios y terminología del sistema de continuidad del negocio. Además establece unos consejos que permiten anticiparse a cualquier tipo de incidente.

• En el año 2006 se publico el lineamiento BS 25999-1, éste establece el ciclo de vida de la continuidad del negocio.

• En 2007 se  publica el BS 25999-2:2007, se trataba del primer estándar internacional que podía se auditado y certificado. Su objetivo era especificar los requerimientos necesarios para el enfoque de sistemas de gestión.

• También durante el año 2007 se publicó el ISO/PAS 22399, consiguiendo lineamientos genéricos para aquellas organizaciones que estaban dispuestas a establecer un sistema de gestión  con fundamentos para el desarrollo de la continuidad operacional e incidentes potenciales.

• En 2008 surgieron ISO/IEC 24762 y BS 25777. La primera dispuso guías para el abastecimiento de información y comunicación útiles para la recuperación de desastres, y la segunda contempla un código de buenas prácticas para la gestión de la continuidad del negocio.

• ASIS/BSI Business Continuity Management Standard se publico en 2010, es un lineamiento basado en BS 25999, y concreta los requerimientos necesarios para un SGCN.

• PAS 200 Gestión de Crisis – Lineamiento y Buena Práctica surge en el año 2011. Se elaboro para apoyar a las organizaciones en la toma de pasos prácticos con el fin de mejorar sus habilidades ante la posibilidad de manejar una crisis.

• Durante el año 2011 también surge IEC 27031, define los conceptos y principios de tecnología de información y comunicación requeridos para que una organización se prepare para la continuidad de negocio.

• Finalmente, en 2012 se publica ISO 22301 “Sistema de Continuidad del Negocio”, la planificación, implementación, establecimiento, operación, revisión, monitoreo, mantenimiento y la mejora continua de su efectividad está basado en el ciclo PVHA.

La Plataforma Tecnológica ISOTools colabora con las organizaciones durante el proceso de  implantación y mantenimiento del Sistema de Gestión de Continuidad del Negocio,  para que identificar y controlar las amenazas de las organizaciones.