Elementos del plan de contingencia según ISO 22301

Plan de contingencia

Existe la posibilidad de que, en un determinado momento, una organización, independientemente de su tamaño, número de trabajadores o de la actividad que realice, pueda verse afectada por una crisis o desastre. Ante este problema, la Organización Internacional de Normalización (ISO) desarrolló la ISO 22301, una norma de carácter internacional de gestión de continuidad de negocio.

Debido a este aspecto que puede suceder en cualquier momento, ya son numerosas las empresas y organizaciones que han decidido ponerse manos a la obra en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio.

El objetivo que persigue esta norma internacional no es otro que minimizar cualquier posibilidad de que tenga lugar un desastre y en caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla la empresa.

El plan de contingencia se enmarca dentro del plan de riesgo de la organización y, siguiendo los requisitos de la norma ISO 22301, se implementa mediante un ciclo de mejora continua basado en un modelo PDCA.

Dicho plan hace referencia  a las principales medidas que se pueden llevar a cabo para que se pueda garantizar la continuidad de negocio, así como las operaciones de una organización desde tres puntos de vista:

• Medios técnicos
• Los medios humanos. Formados por los trabajadores
• Y medios organizativos

Los principales elementos que debe tener un plan de contingencia:

Definición de las situaciones críticas: Es importante definir los activos críticos y la relación de procesos de negocio que afecten a esos activos previamente identificados.

Asignación de responsabilidades: Se deben crear grupos humanos configurados por personal competente como el comité de emergencia, el cual se encargará de ejecutar los procedimientos adecuados en el caso de que se produzca una situación crítica.

Determinar las acciones de respuesta: Esta fase del plan implica tener muy bien definida una hoja de ruta con las siguientes acciones a llevar a cabo:

• Indicadores que marcarán el inicio del plan de contingencia.
• Secuencias de acciones que hay que llevar a cabo en el orden preciso.
• Indicadores que permiten considerar que la situación ha quedado normalizada.
• Determinación de los registros y documentación necesaria para dejar constancia por escrito de las acciones que se han llevado a cabo.

Mantenimiento del plan: Es necesaria la obtención de datos de ejecución del plan con el fin de actualizarse y mejorarse para incrementar su eficiencia en futuras ejecuciones. Un plan de contingencia suficientemente elaborado permite retomar las actividades dentro de unos tiempos de recuperación adecuados, previamente definidos. Esto permite volver a la actividad normal en un tiempo prudencial, antes que se produzcan pérdidas de consideración, una cuestión que no tienen en cuenta ni prevén otros estándares y normas diferentes a la ISO 22301.

Características de los tiempos de recuperación:
✔ Se deben conocer y definir con exactitud antes de elaborar el plan de
contingencia.
✔ Los tiempos de recuperación deben encuadrarse en unos mínimos
aceptables para poder reanudar la actividad dentro de unos márgenes que impidan que la empresa sufra daños económicos o de logística irreparables o muy importantes.

El ciclo PDCA

Como otros muchos planes de gestión, el plan de contingencia también se basa en el conocido ciclo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Este tiene su origen en un análisis de riesgo en la organización mediante el cual, entre otras muchas amenazas, se descubren aquellas que afectan de manera concreta a la continuidad del negocio.

Una vez establecidas las amenazas, se seleccionan las contramedidas más adecuadas para combatirlas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.

El plan deberá ser revisado de forma periódica. Por norma, la revisión se lleva a cabo cuando se realiza un nuevo análisis de riesgo. Normalmente, el plan de contingencias siempre se cuestiona cuando se detecta una amenaza, llevando a cabo la siguiente actuación:

• En el caso de que la amenaza estuviera prevista y las contramedidas fueron eficaces: de esta manera se llevará a cabo la corrección únicamente de aspectos menores del plan para mejorar la eficiencia.
• Si se preveía la amenaza, pero las contramedidas fueron ineficaces: habrá que analizar la causa del fallo proponiendo nuevas contramedidas.
• Si no se preveía la amenaza: se deberá promover un nuevo análisis de riesgos. Puede ser que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el análisis de lo ocurrido en un equipo.

Software para el Plan de contingencia

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.
ISOTools garantiza la continuidad de negocio. Identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, por ejemplo con la ISO 27001 para los Sistemas de Gestión de Seguridad de la Información, ya que el software es totalmente modular.