CONTINUIDAD DE NEGOCIO – ISO 22301:2019
Un Plan de Continuidad de Negocio (Business Continuity Plan) tiene como finalidad proteger los intereses de la organización y de otras partes interesadas, así como la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor de la propia empresa, y con esa finalidad describe el modelo sistemático que una organización debe seguir para responder a una disrupción, el cual se elabora anticipadamente para dirigirla y encauzarla a sostener en niveles previamente definidos y aceptados, aquellos productos y servicios considerados como críticos del negocio.
Este Plan de Continuidad de Negocio está basado en la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso, durante y después de una interrupción o desastre.
Al considerar una interrupción o desastre, cualquier organización, independientemente de su tipo, tamaño o naturaleza, puede ver interrumpida su actividad por fuerzas de causa mayor.
Situaciones o eventos como incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo. Con el fin de dotar a las empresas de un marco de referencia para gestionar de forma eficaz la continuidad de su negocio, fue diseñada la
Norma ISO 22301 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos
¿QUÉ ES LA NORMA ISO 22301?
La ISO 22301 se trata de una normativa creada por la Organización Internacional de Normalización (ISO), la cual brinda buenas prácticas y formas para llevar a cabo la gestión de la continuidad de negocio, con el fin de minimizar los impactos que pueden traer la materialización de un riesgo afectando de manera directa a la organización.
Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la primera versión de ISO 22301.
A diferencia de la BS 25999, la Norma ISO 22301 trata con gran profundidad los siguientes aspectos:
- Nivel de responsabilidad de la alta dirección en la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder.
- Planificación de recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio.
- Cursos de acción frente a clientes, proveedores, y otras partes interesadas en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones.
- Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.
Entre los principales cambios de ISO 22301:2012 vs ISO 22301:2019 se pueden mencionar los siguientes:
- Actualización de términos y definiciones, incluyendo referencia a la norma ISO 22300 Seguridad y resiliencia – Vocabulario.
- Más flexibilidad y pragmatismo, las secciones redundantes se han eliminado. Ejemplo de ello es la reducción o concreción de requisitos en los apartados referidos al Contexto de la organización, Liderazgo, Planificación, Evaluación del desempeño y Mejora.
- Los requisitos específicos, núcleo de la Continuidad de Negocio, están recogidos en la cláusula 8. Se ha mejorado su contenido, especialmente en los siguientes aspectos:
- El Análisis de impacto en el Negocio (BIA en sus siglas en inglés – Business Impact Analysis), en la definición de los tipos de impacto y su evaluación en el tiempo.
- Pragmatismo con el deber de encontrar estrategias y soluciones para cada uno de los posibles impactos o riesgos específicos.
- Lo importante no es el riesgo que se esté dispuesto a asumir, sino el nivel de impacto que los riesgos puedan provocar en las actividades.
- Necesidad de tener en cuenta en los planes de continuidad de negocio el impacto en el medio ambiente al gestionar las consecuencias inmediatas de una interrupción.
- Importancia de los equipos responsables de la respuesta ante un incidente: las acciones que deben realizar, sus roles y responsabilidades y las relaciones entre ellos.
- Evaluaciones de las capacidades en continuidad de negocio de socios y proveedores relevantes.
- Mantenimiento de un programa de ejercicios y pruebas.
- Adaptación del Sistema de Gestión a los estándares del resto de normas de sistemas de gestión ISO, como la 27001 o la 9001.
CONCEPTOS MÁS RELEVANTES EN ISO 22301
ISO 22301 – Plan de Continuidad de Negocio
Contenido del Plan de Continuidad de Negocio
El Plan de Continuidad de Negocio (PCN) es un método utilizado para crear y validar las acciones a seguir para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de eventos disruptivos.
En un Plan de Continuidad de Negocio se plasman los objetivos que se quieren lograr aún en un ambiente de incertidumbre y la ocurrencia de una disrupción, hay una visión de la alta gerencia de cómo quiere ver operando su negocio en fases como reanudación, recuperación y restauración.
Este PCN también incluye la realización de un análisis de riesgos en las dimensiones de impacto positivo o negativo que causa la incertidumbre en los objetivos, y se preparan las respuestas de acuerdo con la información manejada y las necesidades e intereses de otras partes interesadas.
Los objetivos incluidos en el PCN pueden estar relacionados con los siguientes aspectos:
- La situación financiera
- Operaciones de producción o comercialización
- Cumplimiento de obligaciones o compromisos
- Conservación y mantenimiento de la reputación de la marca o del negocio
- Asegurar que el negocio se mantenga operando durante la disrupción y salga fortalecido con capacidad de resiliencia para ser una mejor organización luego de confrontar un peligro o aprovechar una oportunidad.
A estos fines el PCN, y una vez definidos los objetivos a lograr, establece el alcance del proyecto, es decir las partes o componentes del negocio que serán cubiertos por el plan, pudiendo ser la totalidad de la organización o una parte de ella expresada en sus productos o servicios y en sus procesos de negocio.
Vale la pena indicar que cuando el plan no abarca a toda la organización se debe dejar constancia de las razones por las cuales unas partes son excluidas y la respectiva fundamentación por la cual se considera que su exclusión no afectará la continuidad del negocio y el logro de los objetivos planteados.
Los elementos básicos de un PCN incluyen:
- Objetivos de negocio y alcance,
- Análisis de impacto en el negocio,
- Estrategias de recuperación y continuidad del negocio,
- Pruebas e implementación, y
- Mantenimiento y mejora continua;
Entonces la empresa ya se encuentra en condiciones de considerar las oportunidades y amenazas que se derivan de una disrupción, las estrategias a utilizar, los planes de respuestas adecuados y el desglose de las actividades que deban considerarse de acuerdo con el marco o norma utilizado para la elaboración del CNP.
En el caso la Norma ISO 22301 :2019 – Seguridad y resiliencia. Sistemas de gestión de continuidad del negocio, Requisitos, establece para un PCN los siguientes componentes:
- Una política
- Personas competentes con responsabilidades definidas
- Procesos de gestión relacionados con: la política; la planificación; la implementación y operación; evaluación del desempeño; revisión por la gerencia; mejora continua;
- Información documentada que apoye el control operacional y permita la evaluación del desempeño.
De este modo queda claro que un PCN no es un plan estratégico que define la visión de la organización en un horizonte temporal ni establece o revisa misión, valores u objetivos estratégicos.
Estos temas que pertenecen a la estrategia se manejan con otros métodos y herramientas, sin embargo es posible que en un PCN se encuentren resultados parciales de un objetivo estratégico o los resultados de un objetivo estratégico siempre que formen parte del alcance del plan y coincidan en el tiempo de ejecución del plan.
El PCN tampoco se utiliza para cambiar el giro del negocio ni su actividad principal, o para reemplazar o sustituir la misión de la organización. El PCN se utiliza y es su fundamento, para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de una disrupción.
Diferencias con otros planes similares
En el contexto de la gestión de Continuidad de Negocio, además del PCN también es habitual el desarrollo de otros tipos de planes, como un plan de emergencia o de recuperación de desastre, el cual puede ser una parte del PCN o un plan separado para atender el impacto inmediato de un evento.
Cuando son dos documentos diferentes es muy importante verificar de que sean complementarios y se apoyen en el logro de objetivos de cada uno, que no haya competencia por recursos y que ambos estén supeditados a la estrategia de negocio de la empresa.
Los elementos básicos de un plan de emergencia o de recuperación de desastre contemplan:
- Declaración de contingencia,
- Análisis de impacto en el negocio,
- Plan de respuesta,
- Medidas de control,
- Pruebas e implementación,
- Mantenimiento.
Además, existen otro tipos de planes vinculados con la Continuidad de Negocio, entre los cuales se pueden mencionar a los siguientes:
- Plan de comunicación de crisis: documento que describe los procedimientos y comunicados de prensa que
las organizaciones deben preparar para responder ante un incidente de manera correcta. Este plan debe estar
coordinado con los otros planes de la organización para asegurar que sólo comunicados previamente revisados y
aprobados sean divulgados y que solamente el personal autorizado, designado con anterioridad, sea el responsable de responder a las diferentes inquietudes que se generen y de diseminar los reportes de estado a los empleados y al público en general. - Planes de evacuación por edificio/sitio de operación: estos planes contienen los procedimientos que deben seguir los ocupantes de una instalación en el evento en que una situación se convierta en una amenaza potencial a la salud y a la seguridad del personal, al ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. Estos planes son normalmente desarrollados a nivel de instalación o sitio de operación, específicos a la localización geográfica y al diseño estructural de la construcción.
- Plan de respuesta a ciber incidentes: este plan establece los procedimientos para responder a los ataques en el
ciberespacio contra los sistemas de información de una organización. Estos planes son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes tales como: acceso no autorizado a un sistema o información, negación del servicio, cambios no autorizados a hardware, software, entre otros. - Planes de contingencia: planes de contingencia que representan un amplio espectro de actividades enfocadas a sostener y a recuperar los servicios críticos de TI después de una emergencia en un tiempo mínimo. Es posible en algunos casos contar con múltiples planes de contingencia, uno por cada componente, sistema o servicio crítico. Los planes de contingencia son de rápida activación y pueden asumir un tiempo objetivo de recuperación muy cercano a cero. Los planes de contingencia son típicos en los canales de comunicaciones, de tal manera que ante la falla de uno de estos canales, otro, entrará en operación muy rápidamente y en muchos casos de manera automatizada.
¿CUÁNDO IMPLEMENTAR UN PLAN DE CONTINUIDAD DE NEGOCIO ISO 22301?
Según lo que se ha tratado, la pregunta que naturalmente surge es:
¿Cuándo una empresa debería implementar un plan de continuidad de negocio ISO 22301?
A modo de orientación, la propia Norma ISO 22301 define que su campo de aplicación es para aquellas organizaciones que:
- Procuren asegurar la conformidad con las políticas de continuidad de negocio establecidas;
- Deseen desarrollar la capacidad de continuar ofreciendo sus productos y servicios en una aceptable capacidad predefinida durante una interrupción;
- Procuren mejorar su resiliencia.
Desde luego, estos lineamientos tienen distintos alcances y significados en cada organización, y por lo tanto no resulta adecuado buscar una única respuesta a la pregunta de cuándo implementar un PCN ISO 22301.
Así, para llegar a responder de manera adecuada este interrogante, se debe efectuar un análisis de la organización que permita reflexionar acerca de las capacidades de la misma para, ante una disrupción, continuar con el giro del negocio
entregando los productos y servicios que de ella se esperan.
Este análisis de la empresa debería incluir respuestas a preguntas tales como:
- ¿La empresa está sujeta a obligaciones legales o contractuales que se relacionen con la continuidad del negocio?
- ¿Qué esperarían los clientes en caso de que se experimente un incidente o disrupción?
- ¿Qué hacen los competidores en materia de la planificación de la continuidad de negocio?
- Si una disrupción impactara la disponibilidad de cualquier recurso clave, ¿Cuál sería el tiempo máximo de inactividad aceptable para las operaciones y después qué pasaría?
- ¿La empresa se encuentra preparada para comunicarse en situación de crisis con su junta directiva, trabajadores, proveedores, contratistas y clientes?
Mediante nuestra página web puedes acceder a un CUESTIONARIO ADMINISTRATIVO PLAN CONTINUIDAD DE NEGOCIO el cual te permitirá elaborar el análisis de la organización de modo de poder establecer si la misma requiere implementar un plan de continuidad de negocio ISO 22301.
Puedes descargar el cuestionario en FORMA GRATUITA completando nuestro formulario:
¿Por qué es importante ISO 22301 para una organización?
Los lineamientos establecidos en la Norma ISO 22301 constituyen una eficiente forma de mantener la seguridad, afianzando la gobernanza corporativa, el cumplimiento legal y protegiendo la imagen y reputación empresarial, creando un clima de confianza con los empleados, proveedores, partes interesadas y clientes.
La continuidad de negocio forma parte de la gestión general del riesgo dentro de una organización, por lo que tiene áreas y aspectos comunes con la gestión de la seguridad de la información.
La norma ISO 22301 permite a las organizaciones:
-
- Asegurar la continuidad de negocio y de la comercialización de productos y servicios.
-
- Identificar aquellos procesos críticos y ver su impacto en la continuidad.
-
- Fortalecer la capacidad de recuperación, la protección de los empleados y la reputación de la marca.
-
- Reducir costos al disminuir el impacto de los posibles incidentes e interrupciones.
-
- Brindar las respuestas necesarias a tiempo ante las posibles interrupciones.
-
- Generar más coordinación entre equipos.
BENEFICIOS DE IMPLEMENTAR LA NORMA ISO 22301
Entre los beneficios asociados a la implementación de la Norma ISO 22301, se destacan los enumerados a continuación:
- Generar la cultura de continuidad de negocio dentro de la compañía.
- Brindar confianza a todas las partes interesadas de la organización como clientes, proveedores, la comunidad en general y empleados acerca de la adopción de medidas internacionales que garantizan el buen funcionamiento del negocio.
- Establecer indicadores medibles que permitirán alcanzar los objetivos propuestos.
- Identificar de mejor manera los riesgos y oportunidades a los que se enfrenta la organización.
- Reducción de costos.
- Protección de todos los activos.
- Evitar propagar una crisis y mala reputación.
- Permite la coordinación entre los empleados y otras partes interesadas.
- Contar con las respuestas adecuadas al momento de enfrentar una crisis.
- Tener la capacidad para recuperarse rápidamente.
- Contribuye a mejorar la reputación.
- Valor agregado frente a la competencia.
IMPLEMENTACIÓN DE ISO 22301 – GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Con la finalidad de lograr una adecuada adecuada implementación de ISO 22301, que le permita a la organización contar con un plan de recuperación operativo que funcione de acuerdo con las expectativas, es conveniente tomar en consideración los siguientes aspectos:
- Promover el compromiso y el apoyo de la alta dirección.
- Involucrar a toda la empresa con una buena comunicación interna.
- Obtener comentarios de clientes y proveedores sobre los procesos actuales de gestión de la continuidad del negocio.
- Establecer un equipo de implementación para obtener los mejores resultados.
- Planificar y compartir roles, responsabilidades y plazos.
- Adaptar los principios básicos de la norma ISO 22301 al negocio de la organización.
- Definir un presupuesto para poder desarrollar y mejorar los planes de continuidad.
- Establecer procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio.
- Realizar simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.
PASOS PARA GESTIONAR LA CONTINUIDAD DE NEGOCIO
El proceso para la Gestión de la Continuidad de Negocio incluye seis pasos:
- Elaboración del programa: en este primer paso se ha de diseñar el programa de gestión de la continuidad de negocio, considerando el tamaño y la propia complejidad de la organización.
- Comprensión de la organización: en esta etapa, se recaba la información para priorizar las actividades, diferenciando aquellas que son claves de las que son de apoyo, así como los recursos requeridos por las mismas. Se analiza el impacto del negocio y se evalúan los riesgos.
- Definición de las estrategias para la gestión de la continuidad de negocio: mediante esta fase se determinan las actividades de negocios claves por las que la organización puede recuperar su servicio dentro de un determinado plazo tras una interrupción.
- Elaboración y ejecución de respuesta: aquí se desarrollarán las respuestas necesarias ante las situaciones de emergencia.
- Puesta en práctica: mediante este paso se pone de relieve el grado en que las estrategias y planes son adecuados al propósito perseguido.
- Incorporar la Continuidad de Negocio en la cultura de la organización: este paso es sumamente importante, pues se ha de conseguir que la Continuidad de Negocio sea parte de los valores de todos los miembros de la organización, creando confianza en la capacidad de la organización de hacer frente a las interrupciones.
Bibliografía:
- ISO 22301:2019 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos (2019)
- ¿Qué es un plan de continuidad de negocio? – Por José Luis Alfinger, CEO de Vinci Empresarial, empresa de consultoría en sistemas de gestión de continuidad de negocio con base en la Norma ISO 22301 (2021).
- Metodología para la Gestión de la Continuidad del Negocio – Rodrigo Ferrer V. (2015)
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.
Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.