Planes y procedimientos de continuidad de negocio según ISO DIS 22301

ISO DIS 22301

Antes de comenzar, debemos decir que en el borrador de la norma ISO DIS 22301 se especifica la estructura y los requisitos que se está estableciendo que tenga un Sistema de Gestión de Continuidad de Negocio.

En el artículo de hoy, nos centraremos en uno de los puntos más importantes de la norma. Si quiere ampliar conocimientos en la norma haga clic en el siguiente enlace.

En este caso, hablaremos de los planes y procedimientos de continuidad de negocio según ISO DIS 22301.

De forma general, en el borrador de la norma ISO DIS 22301 encontramos un punto el cual nos indica que, la organización debe implementar y mantener una estructura que permita avisar y comunicar, de forma oportuna, a las partes interesadas relevantes y que también, proporcione planes y procedimientos para administrar la organización durante una interrupción del negocio. Estos planes y procedimientos se pondrán en marcha cuando sea necesario para ejecutar soluciones de continuidad del negocio.

Es cierto que existen diferentes procedimientos que están relacionados con los planes de continuidad de negocio. Sin embargo, los planes según este borrador deben:

• Ser flexibles para responder a las condiciones de cambio interno y externo durante una interrupción de negocio.
• Ser concisos en cuanto a los pasos que se deben seguir durante la interrupción.
• Ser efectivos para minimizar lo máximo posible el impacto derivado de la implementación de las soluciones adecuadas.
• Asignar papeles y responsabilidades por cada tarea.
• Centrarse en el impacto de los incidentes potenciales que pueden llevar a una interrupción del negocio.

Estructura de respuesta

Como hemos visto en el anterior apartado, es muy importante saber qué pasos se deben seguir y quienes deben ser los responsables de cada tarea. Por ello, la organización debe implementar y mantener una estructura compuesta por uno o más equipos que sean responsables de dar respuesta ante la interrupción.

Los roles y responsabilidades de cada equipo y las relaciones entre ellos, debe estar claramente especificadas. Los equipos deben estar preparados para:

• Evaluar la naturaleza y alcance de la interrupción e impacto potencial.
• Poner en marcha planes de acción.
• Activar soluciones de continuidad de negocio.
• Establecer prioridades (teniendo en cuenta que la seguridad de los trabajadores debe ser la principal prioridad)
• Controlar los efectos de la interrupción y la respuesta de la organización.
• Evaluar el impacto contra los umbrales predefinidos que justifican el inicio de la respuesta formal.
• Activar una respuesta apropiada para la continuidad de negocio.
• Comunicarse con las partes interesadas, autoridades y medios de comunicación.

Cada equipo deberá tener:

• Un personal identificado con las responsabilidades, autoridades y competencias necesarias que le permitan desempeñar el papel asignado.
• Procesos documentados para guiar las acciones del equipo. Incluyendo las de activación, ejecución coordinación y comunicación de la respuesta.

Notificación y comunicación

Otro aspecto fundamental son los avisos y comunicaciones. La organización deberá mantener procedimientos para:

• Comunicación interna y externa con las partes interesadas.
• Recibir documentación y responder a las comunicaciones de las partes interesadas.
• Asegurarse de la disponibilidad de los medios de comunicación durante la interrupción.
• Recopilar información de la interrupción y las decisiones tomadas.
• Detalles de la respuesta dada a los medios de comunicación.

Por el momento, el borrador ISO DIS 22301, también considerará:

• La alerta a las partes interesadas a las que afecte la interrupción.
• La apropiada coordinación y comunicación entre las organizaciones responsables.

Planes de continuidad de negocio.

Estos deben proporcionar una guía e información que ayude a responder a los equipos ante una interrupción.

Los planes de continuidad deben contener los siguientes elementos:

• Detalles de acciones que los equipos realizarán para continuar o recuperar actividades prioritarias dentro de una franja de tiempo y para controlar los efectos de la interrupción y la respuesta de la organización.
• Procedimientos que permitan que se entreguen productos o servicios a las partes interesadas con la capacidad disponible en ese momento.
• Detalles para gestionar inmediatamente las consecuencias de una interrupción.

Si ajustamos con más detalle lo que el plan debe contener, encontramos:

• Finalidad, alcance y objetivos.
• Papeles y responsabilidades del equipo.
• Acciones y recursos para implementar las soluciones.
• Requisitos de información.
• Interdependencias internas y externas.
• Requisitos de los recursos.

También es importante recordar que cada plan debe estar disponible y debe poder usarse en cualquier lugar y momento que sea necesario.

Recuperación:

La última fase de la que hablaremos es la de recuperación o restauración. Esta fase nos indica que la organización deberá tener documentados los procedimientos para restaurar las actividades habituales del negocio. Y así sustituir aquellas temporales que se tomaron durante la interrupción.

Software ISOTools

Es muy importante disponer de todos los medios posibles para que nuestro negocio salga adelante. Por eso, la implementación de ISO DIS 22301 es una buena idea para reducir los riesgos de una interrupción o, en el caso de que esta se produzca, nos facilite las acciones que se necesitan realizar para poner en marcha nuestro negocio de inmediato.

Al igual que otras normas, la implementación y mantenimiento puede ser complicada, por ello, le recomendamos el software de ISOTools Excellence, que no solo le ayudará con la gestión, sino que también le ahorra tiempo y dinero a su empresa.