Continuidad de Negocio. ISO 22301:2012

Inicio / Continuidad de Negocio. ISO 22301:2012

Continuidad de Negocio

ISO 22301:2012 especifica los requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un Sistema de Gestión de la Continuidad del Negocio. Los requisitos especificados en la norma ISO 22301:2012 son genéricos y se pretende que sean aplicables a todas las organizaciones, o sus partes, independientemente del tipo, tamaño y naturaleza de la organización.

La norma desarrolla los requisitos a cumplir por un SGCN o BCMS (siglas en inglés de Sistema de Gestión de la Continuidad del Negocio) en cada uno de los ámbitos de la organización: alcance, liderazgo, responsabilidad de la dirección, planificación, soporte, designación de recursos, operación, evaluación y mejora continua.

Esta norma es relativamente nueva, ya que se publicó el pasado 15 de mayo. Es una evolución de la norma BS 25999-2:2077, norma británica que establece los requisitos para un Sistema de Gestión de la Continuidad (BCM) y de la UNE 71599-1:2000, norma española basada en las directrices de la anterior. La ISO 22391 va más allá aportando información práctica y soluciones enfocadas a la BCMS con el objetivo de ayudar a las empresas a estar preparadas frente a un incidente de manera que este tenga el menor impacto posible en su actividad.

Grandes accidentes como los atentados de las Torres Gemelas en Nueva York o el incendio de la Torre Windsor en Madrid hicieron que empresas llegaran a desaparecer o quedaran gravemente afectadas, ya que la mayoría conservaban sus principales activos de información en el mismo espacio físico y no contaban con medidas que previeran sucesos de tal magnitud y gravedad.

No es necesario que nuestras oficinas se incendien para que la actividad de nuestra empresa se vea gravemente afectada. Si nos roban el servidor o se estropea, no sabemos ni si es posible continuar con la actividad normal de la empresa, si vamos a poder recuperarla o en cuánto tiempo podemos volver a la actividad normal.

Los requisitos especificados en la norma ISO 22301:2012 son genéricos y se pretende que sean aplicables a todas las organizaciones, o sus partes, independientemente del tipo, tamaño y naturaleza de la organización. La extensión de la aplicación de estos requisitos depende del entorno operativo, de la organización y la complejidad.

La BCMS es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información. La BCM establece mecanismos y medidas con el objeto de garantizar que se mantiene la actividad de las empresas en caso de incidentes que pongan la actividad en peligro.

¿Cuáles son los aspectos principales a tener en cuenta en un BCMS?

Reaccionar a la interrupción de actividades del negocio y protegiendo sus procesos críticos.
Reducir, a niveles aceptables, la interrupción causada por los desastres y fallos de seguridad a través de una combinación de controles preventivos y de recuperación.
Identificar los procesos críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad relacionados tales como operaciones, proveedores de personal, materiales, transporte e instalaciones.
Analizar las consecuencias de los desastres, fallos, para implementar planes de contingencia y asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos.
Integrar la seguridad de la información dentro del plan general de continuidad del negocio y del resto de procesos de gestión.

ISOTools pone a disposición de las organizaciones todas las herramientas necesarias para la implementación de estos tipos de sistemas mediante la plataforma tecnológica líder en la gestión de la calidad y la implantación de modelos estratégicos, gestión por procesos y de personas.