// Seguridad y Resiliencia del Negocio

Normativa ISO 22301

Ciberataques, pandemias, grandes nevadas, fallos informáticos, desabastecimiento de proveedores etc. ¿Suena familiar?  Toda organización, con independencia de su tamaño, sector o complejidad, necesita estar preparada para gestionar y responder adecuadamente ante desastres e interrupciones de su actividad de negocio.

Denominamos continuidad de negocio a la capacidad de una organización para garantizar la prestación de sus productos o servicios, a un nivel aceptable y predefinido, después de un incidente disruptivo.

Índice de contenidos

Qué es la Normativa ISO 22301

La ISO 22301 es el Estándar reconocido internacionalmente que determina los requisitos para implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Continuidad de Negocio (SGCN), que garantice la continuidad de las actividades y la recuperación de los procesos de negocio ante un evento disruptivo, mejorando la capacidad de resiliencia y minimizando las consecuencias de dichos eventos

Importancia de la Norma ISO 22301

La norma ISO 22301 sirve como marco sobre el cual construir un Sistema de Gestión de Continuidad de Negocio (conocido como SGCN), que permita a las organizaciones estar preparadas para seguir operando durante las disrupciones de negocio. Los requisitos de la norma están destinados para ser aplicados y adaptados a todo tipo de organizaciones, con independencia del tipo, tamaño, sector y naturaleza de la organización

importancia-iso22301
// ISO 22301

Estructura de la Normativa ISO 22301

1. Objeto y campo de aplicación
2. Normas para consulta
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Apoyo
8. Operación
9. Evaluación
10. Mejora

Qué relación tiene con la BS 25999-2

La norma ISO 22301 tiene su origen en el estándar británico BS 25999-2, publicada en 2007 era la primera norma certificable y auditable vinculada a la gestión de continuidad del negocio. Pronto se convirtió en el estándar de referencia para la implementación de Sistemas de Gestión de Continuidad de Negocio hasta que finalmente  fue reemplazada por ISO 22301 en 2012.

Requisitos de la ISO 22301 sobre la Continuidad del Negocio

De entre todos los requisitos de la norma podemos destacar los siguientes aspectos clave, fundamentales para lograr una adecuada gestión de la continuidad en la organización:

Evaluación del contexto y situación de la Organización

Estudio de situación de partida y grado de madurez de la organización en cuanto a continuidad de negocio. Incluyendo el análisis de aspectos como; tamaño y tipología de servicios ofrecidos, requisitos legales, roles y responsabilidades, necesidades y expectativas de la dirección y terceros etc.

Desarrollo de la Política de Continuidad

Documento que consagra los propósitos y compromisos de la Organización con la continuidad de negocio, estableciendo los objetivos y principios que se persiguen. La Política sirve de marco global y guía del SGCN, y por ello debe ser aprobada, comunicada y revisada periódicamente.

 

Ejecución del Análisis de impacto en el negocio (BIA)

Proceso de evaluación de las actividades de la Organización y los efectos que una interrupción en dichas actividades podría tener sobre ella. Este proceso es un pilar básico ya que permite identificar las actividades críticas, sus dependencias y recursos requeridos para operar en un nivel mínimo aceptable.

 

Implementar un proceso de evaluación de riesgos de continuidad

Identificación, análisis y evaluación de las principales vulnerabilidades y amenazas que podrían afectar a la continuidad de las actividades de la Organización, así como las salvaguardas actuales, con el objetivo diseñar planes correctivos para reducir las riesgos actuales de continuidad más críticos.

 

Determinación de escenarios de desastre y estrategias de recuperación

Identificación de escenarios de desastre y selección de estrategias de continuidad para las actividades críticas de la Organización, incluyendo los tiempos de actuación y recursos necesarios para cumplir los objetivos temporales y de capacidad determinados.

Desarrollo de Planes de Continuidad de Negocio (PCN)

Procedimientos documentados que guían a la Organización, su personal y equipos de respuesta, en la detección, escalado y declaración de crisis, así como en la respuesta y reanudación de las operaciones, de manera coordinada y planificada, a un nivel predefinido tras la disrupción.

 

Programa de pruebas y entrenamiento

Procedimientos que contemplan las pautas para probar y medir la efectividad de los planes, permitiendo verificar que las actividades más críticas puedan ser recuperadas según lo planificado, de forma segura y efectiva por parte del personal entrenado previamente.

 

Plan de mantenimiento y mejora

Definición de los procedimiento de mantenimiento, revisión y mejora continua donde se establecen las actividades de monitorización que permiten al SGCN estar actualizado con respecto a cambios del negocio, nuevas amenazas, desviaciones de cumplimiento, mejoras o correcciones etc.

 

Qué empresas deberían certificarse en ISO 22301

ciberseguridad aeroespacial

Todas las empresas y organizaciones, públicas o privadas, con independencia de su tipo, tamaño y sector, que necesiten ser capaces de continuar con la entrega de productos y/o servicios, rápidamente y con una capacidad aceptable durante una disrupción que pudiera paralizar su operativa.

Beneficios para las empresas de cumplir con la ISO 22031

Entre los muchos beneficios que aporta cumplir con la norma, podemos destacar que, en caso de un evento que paralice la operativa de una organización, contar con un SGCN acorde a la ISO 22301, la organización dispone de las siguientes ventajas:

Evitar improvisaciones, actuar según planes y estrategia prestablecida.

Minimizar el período de interrupción de procesos, servicios y sistemas.

Controlar impactos financieros, legales, operativos y de imagen.

Planificar recursos y establecer prioridades y objetivos realistas.

Construir resiliencia organizacional para una respuesta efectiva.

Preparar al personal y garantir mantenimiento de los planes.

Qué empresas deberían aplicarla

Una vez implementado el Sistema de Gestión de Continuidad de Negocio, es posible certificarlo con la finalidad de tener un sello de conformidad, garantía de su óptima implementación, funcionamiento y mantenimiento.

Para ello es necesario superar una auditoria externa de cumplimiento con una Entidad autorizada.

Contar con la certificación ISO 22301 permite controlar y promover la mejora continua del Sistema de Gestión, otorgándole no solo credibilidad a los resultados previstos, sino también a las necesidades y objetivos de la estrategia organizacional. De forma consecuente, la organización contará con un beneficio reputacional y de imagen frente a los clientes, proveedores y demás partes interesadas.