ISO DIS 22301: Planificación y control operacional

ISO DIS 22301

No cabe duda de que la planificación es uno de los aspectos clave de cara a establecer un Sistema de Gestión de Continuidad de Negocio. La gerencia de la organización juega un papel clave dentro de este ámbito, ya que desde una posición estratégica como la que ocupan es desde donde mejor se puede plantear este aspecto.

Según el borrador ISO DIS 22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos, y para implementar las acciones determinadas para enfrentar riesgos y oportunidades mediante:

• El establecimiento de criterios para los procesos.
• Implementar el control de los procesos de acuerdo con los criterios establecidos.
• Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.

La organización deberá efectuar un control de los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando las medidas oportunas para mitigar cualquier efecto adverso, según se considere necesario.

La organización también debe garantizar que los procesos subcontratados y la cadena de suministro estén controlados de manera adecuada.

Análisis de impacto empresarial y evaluación de riesgos

La importancia de una evaluación de riesgos llevada a cabo de manera correcta, junto con un análisis de impacto empresarial, ayuda a la compañía a identificar cuáles son los principales riesgos para sus actividades y recursos más críticos. La información que se obtiene a través de este análisis ayuda a los altos cargos identificar dónde los riesgos superan su capacidad de asunción de riesgo y prepara el terreno para llevar a cabo estrategias y planes de continuidad de negocio para minimizar la probabilidad de que se produzca una interrupción, reduciendo el período de la misma o limitando el impacto en la entrega de los principales productos y servicios de la organización.

Como indica ISO DIS 22301, la organización debe implementar y mantener un proceso para analizar el impacto en el negocio y evaluar riesgos de interrupción que establecen el contexto, definen criterios y evalúan el impacto potencial de una determinada ruptura. Se deberá determinar el orden en que se llevan a cabo el análisis de impacto empresarial y la evaluación de riesgos.

Mediante este análisis se debe identificar y seleccionar las estrategias y soluciones de continuidad del negocio apropiadas. Teniendo en cuenta sus costes asociados para:

1. Responder a las interrupciones a tiempo.
2. Continuar y recuperar las actividades priorizadas y sus recursos requeridos para cumplir con la entrega de productos y servicios en el límite de tiempo acordado.

Para aquellas actividades que tengan prioridad, la organización debe identificar y seleccionar las estrategias y soluciones adecuadas, teniendo en cuenta los objetivos de continuidad del negocio y la cantidad y el tipo de riesgo que la organización puede o no puede tomar, para así:

• Minimizar la probabilidad de interrupción.
• Acortar el período de interrupción.
• Mitigar el impacto de la interrupción en los productos y servicios de la organización.

La organización deberá determinar los recursos necesarios para implementar el negocio seleccionando soluciones de continuidad. Estos tipos de recursos considerados deben incluir, entre otros, los siguientes:

1. Personas
2. Información y datos
3. Infraestructura física, como por ejemplo edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados
4. Equipos y consumibles
5. Sistemas de tecnología de la información y la comunicación (TIC)
6. Transportes
7. Finanzas
8. Socios y proveedores

La organización debe implementar las soluciones de continuidad de negocios seleccionadas para que puedan activarse cuando sea necesario.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO DIS 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración de este estándar normativo con otras normas, tales como ISO 9001, ISO 14001 o ISO 45001 entre otras, de forma sencilla gracias a su estructura modular.