Novedades

La Norma ISO 22301 para la Gestión de la Continuidad del Negocio

La Norma ISO 22301 para la Gestión de la Continuidad del Negocio

altLa  Gestión de la Continuidad implica el cumplimiento de una serie de actividades que aseguran que los procesos y/o servicios críticos de una organización estarán disponibles en todo momento. Este tipo de gestión surge debido a que hay organizaciones que requieren demostrar que pueden seguir operando bajo cualquier circunstancia o situación, o bien simplemente asegurar a sus clientes que los servicios que proporcionan siempre estarán disponibles sin importar la gravedad de los incidentes. Anteriormente, las organizaciones podían acceder al estándar británico BS 25999, sin embargo, éste sólo era reconocido en el Reino Unido aunque fuera implementado mundialmente.

A partir de mayo de 2012, el estándar BS 25999 es sustituido por la norma ISO 22301:2012 y se establece como la norma internacional para Gestionar la Continuidad del Negocio. Aquí se plantean una serie de requisitos que al ser cumplidos garantizan que las organizaciones puedan seguir ejecutando sus actividades sin importar los eventos o contratiempos que se presenten en la operación.

La norma ISO 22301:2012 está organizada en 10 secciones, las tres primeras se refieren al Alcance, Referencias, Normativas, y Términos y Definiciones. Las siguientes 7 secciones contienen los requisitos de la norma, los cuales son genéricos y pueden ser aplicables a cualquier tipo de organización.

El primer requisito se refiere al Contexto de la Organización, donde se abordan temas internos y externos que son importantes para los objetivos del negocio y que en determinado momento podría verse comprometido su cumplimiento. Estos temas, de acuerdo a la norma, requieren de una revisión de las actividades de la organización, funciones, productos o servicios,  y el impacto de un incidente que pudiera generar una interrupción, también contempla los vínculos entre la política de continuidad del negocio con otras políticas de la organización, así como reglamentos o leyes a las cuales la compañía esté sujeta a cumplir. En conjunto,  estos temas ayudarán a determinar el alcance del Sistema de Gestión de la Continuidad del Negocio (SGCN) sin olvidar contemplar los riesgos que la organización pueda tolerar o este acostumbrada a afrontar.

Ciclo PDCA para la Gestión de la Continuidad del Negocio

alt

La siguiente sección se refiere al Liderazgo y hace hincapié en que la dirección debe demostrar su compromiso con el SGCN, de tal forma que debe asegurar que éste sea compatible con la dirección estratégica de la organización. También es responsable de establecer y comunicar la política del SGCN, además de proveer los recursos necesarios para el SGCN y asignar las responsabilidades y autoridades para el sistema. Un requisito más se refiere a la Planificación, en la que se determinan los objetivos del SGCN, para los que es necesario considerar que sean consistentes con la Política de Continuidad del Negocio, así como congruentes con los requisitos aplicables, para un determinado número de productos y servicios. Por último, estos objetivos deben ser controlados y actualizados a intervalos que la organización decida.

altPor otro lado, para dar cumplimiento al Sistema es necesario proveer los recursos apropiados, iniciando con personal competente que esté sujeto a programas de capacitación. El recurso humano es uno de los elementos que integran los requisitos relacionados con el Soporte, el cual también comprende los servicios de soporte, actividades de comunicación interna, así como los controles para la documentación derivada de la ejecución de las actividades del SGCN.

Una vez establecida la política y la planeación del SGCN, es necesario que éste comience a operar, dee tal forma que los requisitos para la Operación inician con la realización de un Análisis de Impacto al Negocio (BIA, por sus siglas en inglés), este análisis permite identificar los procesos críticos que soportan a los productos y servicios clave, además de ayudar a identificar las dependencias entre los procesos.

Asimismo, es necesario realizar una Evaluación de Riesgos, bajo un proceso formal y sistemático. La norma también establece como requisito el desarrollo de una estrategia de continuidad de negocio, la cual se forma una vez fijados los requisitos, determinado el BIA y la evaluación de los riesgos, para que permita a la organización protegerse y recuperar las actividades críticas.

La estrategia debe ser debidamente documentada y apoyada por un conjunto de procedimientos de continuidad del negocio, los cuales deben abarcar temas desde, un adecuado protocolo de comunicación (interna y externa), hasta  la descripción de los pasos inmediatos cuando ocurre una interrupción. Por último, esta sección implica la realización de ejercicios y pruebas para asegurar que los procedimientos de continuidad funcionan adecuadamente y logran restablecer los servicios en los plazos planeados.

alt

Ya que el SGCN está implementado la norma tiene como requisito el seguimiento y mejora del sistema. Estas dos últimas secciones ayudan a medir el desempeño de los procesos y procedimientos, así como asegurar que se tomen las acciones necesarias para que las mejoras requeridas sean implementadas. Y ya que la norma es certificable, también implica la realización de auditorías internas con su documentación correspondiente.

Sólo cabe añadir que estas actividades son de gran beneficio para la organización sobre todo si se toman en cuenta, como ya se mencionó, la estrategia de la organización y los requisitos del servicio, de manera que las organizaciones estarán mejor preparadas para responder a las interrupciones no planeadas, además de generar certeza en la entrega de servicios. Sobre todo para organizaciones que operan con un nivel alto de riesgo o en ambientes donde mantener la operación es clave para el crecimiento y desarrollo del negocio.

alt

Alfonso Tercero

Actualmente es Consultor Delivery en Inteli. Es Ingeniero Industrial y de Sistemas por el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM). Tiene más de 10 años de experiencia en proyectos de reingeniería, calidad y mejora continua, así como en procesos de administración del cambio. En Inteli es Consultor para la implementación de procesos de IT Service Management, y también en la implementación del Manual Administrativo de Aplicación General de Tecnologías de Información y Comunicaciones y Seguridad de la Información (MAAGTICSI) para dependencias del Gobierno Federal mexicano.

 

19/09/2012

2 Comments
  • Pingback:Inteli | Para leer
    Posted at 23:44h, 14 julio Responder

    […] La Norma ISO 22301 para la Gestión de la Continuidad del NegocioLa  Gestión de la Continuidad implica el cumplimiento de una serie de actividades que aseguran que los procesos y/o servicios críticos de una organización estarán disponibles en todo momento. Este tipo de gestión surge debido a que hay organizaciones que requieren demostrar que pueden seguir operando bajo cualquier circunstancia o situación, o bien simplemente asegurar a sus clientes que los servicios que proporcionan siempre estarán disponibles sin importar la gravedad de los incidentes. […]

  • alejandrov
    Posted at 08:52h, 29 octubre Responder

    Muy buen post, Alfonso, por lo que comentas la Norma Iso 22301 para la Gestión de la Continuidad del Negocio me recuerda mucho a la Gestión de riesgos ISO 9001, son muy parecidas en cuanto a estructura y objetivos. Enhorabuena por tu análisis.

Post A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.