RRHH
TECNOLOGÍA
Normativa ISO 22301
La norma ISO 22301 especifica requisitos para planificar, establecer, implantar, operar, monitorizar, revisar, mantener y mejorar continuamente un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, cuando estos ocurren.
La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:
- Establecer, implantar, mantener y mejorar un SGCN.
- Asegurar conformidad con la política establecida de la continuidad de negocio de la organización.
- Demostrar conformidad a los demás.
- Buscar certificación/registro de su SGCN por un organismo externo de certificación.
- Realizar una autodeterminación y auto declaración de conformidad con esta norma internacional.
Determinar temas internos y externos que son relevantes para el propósito de la organización y que afectan su habilidad de alcanzar los resultados esperados de su SGCN, tales como:
- Las actividades de la organización, sus funciones, servicios, productos, sociedades, cadenas de suministros, relaciones con las partes interesadas y el impacto potencial relacionado con un incidente que genere una interrupción.
- Vínculos entre la política de continuidad de negocio y los objetivos de la organización y otras políticas, incluyendo, la estrategia de gestión de riesgos globales.
- El apetito por el riesgo de la organización.
- Las necesidades y expectativas de las partes interesadas relevantes.
- Leyes, regulaciones y otros requisitos aplicables, a los cuales la organización está suscrita.
Identificar el alcance del SGCN, tomando en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo y cualquier obligación reglamentaria, contractual o de sus partes interesadas, también forma parte de esta cláusula.
Siguiendo la nueva estructura de la Guía ISO 83, la norma ISO 22301 está organizada en las siguientes cláusulas principales explicadas a continuación.
Cláusula 4. Contexto de la organización.
Esta cláusula requiere determinar temas internos y externos que son relevantes para el propósito de la organización y que afectan su habilidad de alcanzar los resultados esperados de su SGCN.
Tales como:
- Las actividades de la organización, sus funciones, servicios, productos, sociedades, cadenas de suministros, relaciones con las partes interesadas y el impacto potencial relacionado con un incidente que genere una interrupción.
- Vínculos entre la política de continuidad de negocio y los objetivos de la organización y otras políticas, incluyendo, la estrategia de gestión de riesgos globales.
- El apetito por el riesgo de la organización.
- Las necesidades y expectativas de las partes interesadas relevantes.
- Leyes, regulaciones y otros requisitos aplicables, a los cuales la organización está suscrita.
Se ha puesto de manifiesto que este último punto, de requerimientos legales y reguladores, son los más determinantes para la organización, cuando decide implementar un SGCN. La BS 25999 – 2 no lo cubría de forma tan explícita, y asumía este requerimiento en el contexto de la norma del Reino Unido.
Identificar el alcance del SGCN, tomando en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo y cualquier obligación reglamentaria, contractual o de sus partes interesadas, también forma parte de esta cláusula.
Cláusula 5. Liderazgo.
La Alta Dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual distintos miembros del personal estén completamente involucrados y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.
La Dirección es responsable de:
- Asegurar que el SGCN es compatible con la dirección estratégica de la organización.
- Integrar los requisitos del SGCN en los procesos de negocios de la organización.
- Proveer los recursos necesarios para el SGCN.
- Comunicar la importancia de la gestión de continuidad de negocio eficaz.
- Asegurar que el SGCN alcanza sus resultados esperados.
- Dirigir y apoyar la mejora continua.
- Establecer y comunicar la política de continuidad de negocio.
- Asegurar que los objetivos y planes del SGCN se establecen.
- Asegurar que las responsabilidades y autoridades, para las funciones relevantes, se asignen.
Por tanto, se refuerza respecto de la BS 25999 -2 la necesidad del compromiso por parte de la Dirección para establecer, controlar y revisar el SGCN.
Cláusula 6. Planificación.
Esta es una etapa crítica en la que se establecen objetivos estratégicos y principios para la orientación del SGCN en su totalidad. Los objetivos del SGCN son una expresión del propósito de la organización para el tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las necesidades de la organización.
Los objetivos de la continuidad de negocio deben:
- Ser consistentes con la política de continuidad de negocio.
- Tomar en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización alcance sus objetivos.
- Ser medibles.
- Tomar en cuenta requisitos aplicables.
- Ser controlados y actualizados, según sea apropiado.
Esta sección requiere la organización para hacer frente a las amenazas, es decir, que la organización defina claramente objetivos del SGCN contacto con planes (proyectos) para alcanzarlos.
Se trata de entender la cultura interna y externa del entorno en el que opera la organización y las posibles barreras que impiden que nuestro SGCN pueda ser eficaz. Se relaciona con la Cláusula 4.1, Comprensión de la organización y su contexto, y la Cláusula 4.2, Comprender las necesidades y expectativas de las partes interesadas.
Estos objetivos deben vincular de nuevo a la política del SGCN y debe ser medible. Al establecer los objetivos deben ser coherentes con el nivel mínimo de productos y servicios que sean aceptables para la organización con el fin de alcanzar sus objetivos de negocio. Estos productos y servicios mínimos, serán aquellos determinados en el alcance del SGCN.
La organización también debe determinar quién será el responsable de cumplimiento de los objetivos, lo que se hará y en qué plazo de tiempo, qué recursos se requieren y cómo se evaluarán los resultados.
Cláusula 7. Soporte.
La cláusula 7 se describe el apoyo necesario para establecer, implementar y mantener un SGCN eficaz. La gestión diaria de un SGCN, se basa en el uso de recursos apropiados para cada actividad. Estos recursos incluyen personal competente en base a formaciones y servicios de soporte, toma de conciencia y comunicación pertinentes (y demostrables), esto debe ser apoyado por información documentada adecuadamente gestionada. La competencia, se refiere tanto a la operación de los SGCN como al desempeño después de una contingencia. BS 25999-2 requiere un análisis de necesidades formativas que se llevarán a cabo para determinar la brecha entre las competencias necesarias para cumplir roles apropiados SGCN y las capacidades de los asignados a los papeles.
ISO 22301 no exige específicamente este tipo de análisis, pero requiere establecer medios para asegurar que tales personas sean competentes, sobre la base de la educación, formación y experiencia. Las comunicaciones, tanto internas como externas, deben ser consideradas en esta área, incluyendo su formato, contenido y el momento oportuno de estas comunicaciones. Los requisitos para la creación, actualización y control de la información documentada, también se especifican en esta cláusula.
Cláusula 8. Operación.
Después de la planificación del SGCN, la organización debe ponerlo en funcionamiento. Esta cláusula incluye:
- Análisis de impacto en el negocio (Business Impact Analysis-BIA): esta actividad permite que una organización identifique los procesos críticos que apoyan a sus productos y servicios claves, las interdependencias entre procesos y recursos requeridos para operar los procesos en un nivel mínimamente aceptable.
- Evaluación de riesgos: la norma ISO 22301 propone referirse a la norma ISO 31000 para implantar el proceso. La meta de este requisito es establecer, implantar y mantener un proceso formal documentado de valoración de riesgos que identifique, analice y evalúe sistemáticamente el riesgo de incidentes que generen interrupciones en la organización.
- Estrategia de continuidad de negocio: una vez que los requisitos se han establecido a través del análisis de impacto en el negocio y la evaluación de riesgos, las estrategias pueden ser desarrolladas para identificar disposiciones que permitan que la organización proteja y recupere actividades críticas, basadas en la tolerancia de riesgo organizacional y dentro de objetivos de tiempo de recuperación definidos. La experiencia y las buenas prácticas indican claramente, que las previsiones tempranas de una estrategia global de GCN, aseguran que las actividades de GCN estén alineadas y apoyen la estrategia global de negocios de la organización. La estrategia de continuidad de negocios debe ser un componente integral de la estrategia corporativa de la institución.
- Procedimientos de continuidad de negocio (Cláusula 8.4.5.): la organización debe documentar los procedimientos (incluyendo las disposiciones necesarias) para asegurar la continuidad de las actividades y la gestión de un incidente que genere una interrupción. Los procedimientos deben:
- Establecer un protocolo adecuado de comunicaciones internas y externas.
- Ser específicos en relación a los pasos inmediatos a ser tomados durante una interrupción.
- Ser flexibles para responder a amenazas no anticipadas y a condiciones internas y externas cambiantes.
- Enfocarse en el impacto de eventos que puedan potencialmente interrumpir operaciones.
- Ser desarrollados bajo hipótesis establecidas y análisis de interdependencias.
- Ser efectivos en minimizar las consecuencias a través de la implantación de estrategias de mitigación adecuadas.
- Ejercicios y pruebas (Cláusula 8.5): Para asegurar que los procedimientos de continuidad de negocio son consistentes con sus objetivos de continuidad de negocio, las organizaciones deben hacer pruebas regularmente. Los ejercicios y las pruebas son procesos de validación de planes y procedimientos de la continuidad de negocio para asegurar que las estrategias seleccionadas son capaces de proveer resultados de respuesta y recuperación dentro de plazos acordados con la gerencia.
Cláusula 9. Evaluación del desempeño.
Una vez que el SGCN se ha implementado, la norma ISO 22301 requiere permanente seguimiento del sistema, así como revisiones periódicas para mejorar su operación:
- Seguimiento de la medida en la cual la política, objetivos y metas de continuidad de negocio son cumplidos.
- Medición del desempeño de los procesos, procedimientos y funciones que protegen las actividades priorizadas.
- Seguimiento de la conformidad con esta norma y con los objetivos de la continuidad de negocio.
- Seguimiento histórico de evidencia de desempeño deficiente del SGCN.
- Realización de auditorías internas a intervalos planificados.
- Evaluación de todo lo anterior en las revisiones por la Dirección, a intervalos planificados.
Cláusula 10. Mejora.
La mejora continua puede ser definida como todas las acciones, realizadas a lo largo de la organización, para aumentar la eficacia (cumplir objetivos) y la eficiencia (proporción costo/beneficio óptimo) de los procesos y controles de seguridad para brindar más beneficios a la organización y a sus partes interesadas. Una organización puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad de negocio, los objetivos, los resultados de auditorías, el análisis de eventos controlados, los indicadores, las acciones correctivas y preventivas y la revisión por la Dirección.
Comentarios