Introducción
Descripción general de la norma ISO 22301:2019
Los cambios clave en la norma ISO 22301:2019
Los elementos fundamentales de un SGCN
El proceso de implementación del SGCN
La importancia de estar certificado según la norma ISO 50001
Introducción
En un entorno empresarial cada vez más competitivo, la ventaja competitiva es el objetivo final. En sus intentos por alcanzar este objetivo, las organizaciones implementan estrategias y tecnologías innovadoras. Además, la organización debe garantizar el logro de los objetivos comerciales (especialmente en cualquier caso de interrupción o incidente), así como mantener un estado estable y operaciones continuas para proteger la reputación de la organización y la confianza del cliente. Esos aspectos están cubiertos por la práctica de continuidad del negocio, y uno de los marcos más aceptados es el sistema de gestión de la continuidad del negocio (SGCN).
La implementación de un SGCN ayuda a una organización a mejorar su capacidad para continuar con la entrega de productos y servicios dentro de un marco de tiempo aceptable a una capacidad predefinida durante una interrupción. Para ser más precisos, el ciclo de vida del SGCN incluye las mejores prácticas para prepararse, responder y recuperarse de las interrupciones de manera oportuna, independientemente de si son naturales, tecnológicas o provocadas por el hombre. El ciclo de vida del SGCN se gestiona a través de diferentes etapas, como la aprobación de la alta dirección, la planificación, la comprensión del contexto, el establecimiento de objetivos, la evaluación de riesgos, el análisis del impacto en el negocio, la estrategia y las soluciones de continuidad del negocio, los planes y procedimientos de continuidad del negocio, los programas de ejercicios, el mantenimiento, la evaluación del rendimiento y la mejora continua.
Los beneficios de implementar un SGCN basado en la norma ISO 22301 son múltiples: ayuda a identificar amenazas, vulnerabilidades y riesgos que podrían afectar potencialmente a las operaciones críticas, contribuyendo así a mejorar la resiliencia organizacional.
La norma ISO 22301 hace hincapié en la importancia de:
- Comprender la necesidad de políticas y objetivos de continuidad del negocio
- Establecer y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organización sea capaz de sobrevivir a las interrupciones
- Seguimiento y revisión del rendimiento y la eficacia del SGCN
- Garantizar la mejora continua del SGCN
Descripción general de la norma ISO 22301:2019
Al igual que otros sistemas de gestión, un SGCN es un conjunto de elementos interrelacionados que se utilizan para establecer políticas, objetivos y procesos que allanan el camino para la entrega continua de productos y servicios, incluso en caso de interrupción.
La norma ISO 22301, como punto de referencia internacional para los sistemas de gestión de la continuidad del negocio, especifica los requisitos para implementar, gestionar y mejorar un SGCN. Es importante tener en cuenta que el grado en que se implementarán estos requisitos dependerá del entorno operativo y la complejidad de la organización. La nueva edición de la norma ISO 22301 publicada en 2019 sustituye a la primera edición publicada en 2012.
En la figura 1 se describen las cláusulas de la norma ISO 22301:2019. No representa ninguna jerarquía estructural o nivel de autoridad, ya que no existe un requisito estándar con respecto a la estructura que debe aplicarse al SGCN. Dicho esto, las organizaciones pueden elegir términos que se adapten a sus operaciones.
La nueva edición de la norma comparte una estructura de alto nivel (texto central, términos y definiciones idénticos) con otras normas de sistemas de gestión ISO, lo que facilita su integración. La norma ISO 22301:2019 es aplicable a cualquier organización que pretenda:
- Establecer, implementar y mantener un SGCN para entregar continuamente sus productos y servicios frente a una interrupción
- Mejorar su resiliencia organizacional
- Garantizar la conformidad con los requisitos de la norma y la promulgación de la política de continuidad del negocio
- Crear una ventaja competitiva
La implementación efectiva de un SGCN basado en la norma ISO 22301 ayuda a una organización a identificar los riesgos existentes y potenciales que tienen una alta probabilidad de impacto. Además, la implementación del SGCN permite una visibilidad continua, un control de las operaciones y una mejora continua, lo que conduce a una mayor eficiencia general. El cumplimiento de los requisitos de la norma ISO 22301 conduce a una mejora de las capacidades de prestación de servicios.
Sistema de Gestión de la Continuidad del Negocio (SGCN) |
| CONTEXTO DE LA ORGANIZACIÓN
Comprender la organización y su contexto / Comprender las necesidades y expectativas de partes interesadas / Determinación del alcance del sistema de gestión de la continuidad del negocio / Sistema de gestión de la continuidad del negocio |
| LIDERAZGO
Liderazgo y compromiso / Política / Funciones, responsabilidades y autoridades |
| PLANIFICACIÓN
Acciones para abordar riesgos y oportunidades / Objetivos de continuidad del negocio y Planificación para lograrlos / Planificación de cambios del sistema de gestión de la continuidad del negocio |
| APOYO
Recursos / Competencia / Conciencia / Comunicación / Información documentada |
| OPERACIÓN
Planificación y control operativo / Análisis de impacto en el negocio y evaluación de riesgos / Estrategias y soluciones de continuidad del negocio / Planes y procedimientos de continuidad de negocio / Programa de ejercicios / Evaluación de la documentación y las capacidades de continuidad del negocio |
| EVALUACIÓN DEL DESEMPEÑO
Seguimiento, medición, análisis y evaluación / Auditoría interna / Revisión por la dirección |
| MEJORA
No conformidad y acciones correctivas / Mejora continua |
Figura 1: Cláusulas de la norma internacional ISO 22301:2019
Los cambios clave en la norma ISO 22301:2019
La actualización de la norma ISO 22301 está vinculada a una necesidad cada vez mayor de hacer frente a diversos eventos disruptivos, como averías informáticas, ciberataques, incidentes y desastres naturales, que amenazan el buen funcionamiento de las operaciones. La nueva edición de la norma tiene como objetivo reflejar las tendencias cambiantes en el mundo de la continuidad del negocio y ayuda a las organizaciones a prepararse, responder y recuperarse de las interrupciones de manera efectiva y oportuna. Esto se traduce en una reducción de los costes de las interrupciones, una mayor confianza de los clientes y la protección de la imagen y la reputación de la organización. La norma ISO 22301:2019 aporta una mayor flexibilidad para que las organizaciones logren los resultados deseados a través de requisitos menos prescriptivos y cláusulas más simplificadas.
A continuación, se muestra un resumen de los principales cambios en la norma ISO 22301:2019:
- El documento es ahora más corto y más fácil de leer y adoptar. Se ha eliminado la redacción redundante. Las cláusulas se han fusionado, dividido o renombrado.
- Se ha eliminado el gráfico del ciclo PDCA, aunque las cláusulas 4 a 10 siguen cubriendo los componentes del PDCA.
- Se ha introducido una nueva cláusula (6.3), que obliga a las organizaciones a realizar cambios en el SGCN de forma planificada.
- La cláusula 3 Términos y definiciones se simplifica y ahora es más consistente: se han modificado y eliminado varios términos y se han agregado otros.
- Las referencias al apetito de riesgo se han eliminado de la norma.
- La norma ahora tiene menos requisitos de documentación, por ejemplo, ya no es obligatorio documentar los procesos de análisis de impacto en el negocio y evaluación de riesgos (aunque es una buena práctica hacerlo).
- La norma ahora tiene requisitos más claros.
La nueva edición pone mayor énfasis en el establecimiento de objetivos, el seguimiento del rendimiento y las métricas, y la alineación de la continuidad del negocio con los objetivos estratégicos.
Algunos requisitos son menos prescriptivos, lo que significa que las organizaciones ahora tienen más libertad para adoptar los enfoques que mejor se adapten a sus necesidades.
La nueva edición de la norma ayuda a las organizaciones a maximizar los beneficios de la implementación del SGCN y, al mismo tiempo, minimizar los costos asociados con dicho proyecto de implementación.
La cláusula 8.3, que pasó de ser “Estrategia de continuidad del negocio” a “Estrategias y soluciones de continuidad del negocio”, ahora requiere que las organizaciones no solo desarrollen estrategias de alto nivel para la continuidad del negocio, sino que también definan soluciones para manejar riesgos e impactos específicos. La subcláusula 8.3.5 es nueva en la norma. Las organizaciones deben implementar y mantener soluciones de continuidad de negocio para que se activen cuando sea necesario. Este es el cambio más significativo para la alta dirección, porque la identificación y asignación de recursos ahora está relacionada con soluciones, no con estrategias. La definición de los recursos en función de las soluciones seleccionadas afecta especialmente al presupuesto del proyecto de implantación del SGCN.
La desventaja de definir los recursos en función de la estrategia es que puede limitar las soluciones, por ejemplo, debido a un presupuesto o inversiones mal planificados, el presupuesto de la organización se ve comprometido.
Los elementos fundamentales de un SGCN
Los tres elementos fundamentales de un sistema de gestión de la continuidad del negocio son la política de continuidad del negocio (BC), el análisis de impacto en el negocio (BIA) y la evaluación de riesgos (RA).
| ENTRADA | SALIDA | |
| Propósito de la organización,
Marco de BC, apoyo al alta dirección |
→ Política → | Estructura, funciones y
responsabilidades de CN, comunicación y compromiso con la continuidad negocio |
| Criterios de operaciones críticas, clasificación, disponibles recursos, y la metodología BIA | → BIA | MTPD, RTO,
priorización, dependencias y recursos necesarios |
| Los riesgos, amenazas,, y vulnerabilidades, y criterios de tratamiento de Riegos | → RA → | Probabilidad de eventos de alto impacto y contramedidas |
Figura 2: Las entradas y salidas de la política de CN BIA y RA al SGCN
Nota: MTPD (Período máximo tolerable de interrupción) y RTO (Objetivo de tiempo de recuperación)
Una política de continuidad del negocio bien definida es la piedra angular de la implementación y el mantenimiento del SGCN. La política tiene como objetivo establecer la preparación, la resiliencia y las capacidades para continuar con la prestación de servicios y productos en caso de una interrupción.
Aunque la nueva edición de la norma ISO 22301 no requiere que las organizaciones mantengan información documentada sobre el proceso o la metodología de la BIA, es útil establecer y formalizar los criterios para la ejecución de la BIA en la organización. Un BIA establece un conjunto de pasos para identificar las funciones críticas en la organización, con el fin de estimar los impactos potenciales de una interrupción del negocio. En este proceso, los ejecutores de BIA (ya sean internos o externos) recopilan información, evalúan los impactos potenciales y definen los objetivos de tiempo, las dependencias y los recursos necesarios para reanudar las funciones críticas rápidamente y sin pérdidas importantes. Los hallazgos, los resultados y las recomendaciones generalmente se documentan en un informe de BIA que se presenta a la alta gerencia para su aprobación.
El proceso de evaluación de riesgos establece un conjunto de pasos para identificar la probabilidad de eventos de alto impacto y sus contramedidas, así como los recursos necesarios para las contramedidas. Posteriormente, se deben aplicar los criterios de tratamiento del riesgo y establecer un plan de acción (eliminar, compartir o retener el riesgo).
En conjunto, el BIA y el RA ayudan a determinar los requisitos del SGCN, mientras que la política de BC apoya el ciclo de vida del SGCN y sienta las bases para una cultura de resiliencia organizacional.
El proceso de implementación del SGCN
Para implementar con éxito un sistema de gestión de la continuidad del negocio, la organización debe seguir los pasos que se describen a continuación:
|
|
|
|
|
|
Etapa 1: Se define el alcance del SGCN, se obtiene la aprobación de la alta dirección, se establecen los mecanismos de gestión de proyectos adecuados para gestionar el ciclo de vida del SGCN y se implementa la política de GC.
NOTAS:
- Dependiendo del alcance, tamaño y complejidad del SGCN, vale la pena considerar la creación de un Departamento de Resiliencia ante Desastres, responsable de todo el ciclo de vida y con la autoridad para interactuar y participar en proyectos que impacten el alcance y el desempeño del SGCN en la organización.
- Para aquellas organizaciones que ya cuentan con un SGCN basado en la norma ISO 22301:2012, una Oficina de Resiliencia podría ser una alternativa para la transición a la norma ISO 22301:2019, ya que la mayoría de los cambios se centraron en la simplificación del texto y la reducción de los requisitos prescriptivos, para ser más pragmáticos en el ciclo de vida del SGCN, alineándose con otros estándares de sistemas de gestión.
Etapa 2: Esta etapa implica comprender el contexto de la organización, para determinar los requisitos del SGCN, que se obtiene a través del BIA y el RA.
Etapa 3: Con los requisitos de BCMS aprobados, el siguiente paso es la identificación de estrategias y soluciones de BC para seleccionar aquellas que mejor se ajusten a las necesidades de la organización.
Etapa 4: Esta etapa consiste en desarrollar planes y procedimientos de BC, asegurando la coherencia entre ellos. La etapa incluye la definición de la estructura de BC y el plan de respuesta de BC.
Etapa 5: Esta etapa considera el establecimiento de un programa de ejercicios y la evaluación de la documentación y capacidades del SGCN, ambos enfocados en verificar que se asignen los recursos necesarios al proyecto del SGCN.
Etapa 6: Esta etapa implica la evaluación del desempeño del SGCN y su mejora continua a través de mecanismos como el monitoreo de indicadores de desempeño, auditorías internas, revisiones de gestión y comunicación con las partes interesadas relevantes.