ISO 22301 Aspectos básicos de un Sistema de Gestión para la Continuidad del negocio

Sistema de Gestión para la Continuidad del negocio

En la actualidad las organizaciones se enfrentan a escenarios muy cambiantes en los cuales intervienen factores clave, por los que se hace necesario contar con un sistema que permita garantizar la continuidad de las operaciones en las organizaciones, entre estos factores encontramos: una dependencia cada vez mayor de las tecnologías de la información y las comunicaciones, una dependencia mutua entre organización-Proveedor, la interconexión de eventos (lo que ocurre en un lugar del planeta aun cuando este lugar tenga una ubicación remota afecta a todos, ejemplo Wuhan y el Covid-19), competencia fiera en la que estar fuera del negocio puede impactar en gran medida a la organización.

Para garantizar que ante sucesos que interrumpen el desarrollo normal de las actividades en una organización, se puedan llevar a cabo como mínimo las actividades críticas del negocio, en unos tiempos que permitan que los niveles de servicio sean aceptables para los clientes y realizables por la organización, se establece el Sistema de Gestión para la Continuidad del negocio.

Con el fin de estandarizar dicha gestión se crea la norma ISO 22301 Seguridad y Resiliencia: Sistema de gestión de continuidad del negocio. Requisitos, en su versión actual 2019, que cuenta con la estructura de alto nivel para que sea fácilmente armonizable con los demás estándares y facilite la implementación en las organizaciones.

Respecto de las otras normas de la familia ISO, para la definición del sistema, se pueden encontrar similitudes, orientadas claras está hacia la continuidad del negocio, en numerales como: contexto de la organización, necesidades y expectativas de partes interesadas, alcance, liderazgo, objetivos, competencia, información documentada, acciones para abordar riesgos y oportunidades, planificación de cambios, auditoria, revisión por la dirección, mejora continua, entre otros, estas temáticas, han tenido un amplio despliegue e implementación en otros estándares ISO, en cuanto al sistema de Continuidad del negocio se propone un tema importante, en el numeral 8.2  que es: el Análisis de Impacto al negocio (Business Impact Analysis o BIA).

Análisis de Impacto al negocio (Business Impact Analysis o BIA):

En este sentido, se plantea el deber de la organización de establecer y gestionar la metodología que permita la evaluación periódica de los riesgos que se generan por la interrupción de las operaciones, y el impacto de los mismos tanto en condiciones esperadas, como en casos de cambios significativos tanto al interior de la organización como en su contexto, para ello es necesario:

• Establecer y clasificar los impactos importantes relacionados con el contexto de la organización y evaluarlos cuando se presente interrupción de las actividades.
• Determinar las actividades directamente relacionadas con la producción del bien o la prestación del servicio.
• Identificar en que periodos de tiempo no es aceptable para la organización que las operaciones están detenidas.
• A partir de la identificación anterior, establecer las prioridades para reanudar la operación, de tal forma que se garantice una operación mínima aceptada.
• Identificar las actividades prioritarias.
• Establecer los recursos necesarios para poder llevar a cabo las actividades prioritarias.
• Determinar las partes interesadas (proveedores- Socios) de las que depende la realización de las actividades prioritarias.

Se debe también realizar gestión de los riesgos relacionados con la interrupción del negocio (Identificar-Analizar y evaluar-establecer planes de acción sobre riesgos prioritarios).

Se deben establecer estrategias para las etapas de antes- Durante y después de que se presente una interrupción, dichas estrategias pueden estar definidas para gestionarse en uno o más planes de acción, esos planes deben lograr que las actividades priorizadas se desarrollen de acuerdo a los tiempos definidos para tal, estén considerados los riesgos que es posible asumir y lo que no, se evalúen los beneficios y costos asociaos a los mismos.

Otro componente importante de abordar y que complementan los planes, son los procedimientos para la continuidad del negocio, para estos dos componentes se deben establecer un esquema que permita una comunicación fluida entre las partes interesadas (Antes-Durante).

Debe estar documentadas las medidas inmediatas, las funciones para su ejecución, los responsables de ejecutar las mismas, los equipos de personas que llevan a cabo estas medidas deben contar con las competencias necesarias, que les permitan evaluar los riesgos e impactos, activar la respuesta, planificar y gestionar las acciones, comunicar a las partes interesadas.

Con el fin de poner a prueba la gestión se debe crear un Programa de Ejercicios que permita determinar si los planes y acciones que se tienen previstas, dan respuesta a las necesidades, o si es necesario replantear las mismas o establecer mejoras respecto de lo planificado.

Software para Sistema de Gestión para la Continuidad del negocio

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.