I Summit de ISOTools

ISOTools, parte del Grupo ESG Innova, celebra el jueves 30 de marzo de 2023 su I Summit con motivo de celebrar sus primeros 25 años liderando la transformación digital de las organizaciones en todo el mundo. Como parte de este I Summit, que contará con la intervención de panelistas de primer nivel, encontramos una ponencia acerca de las conocidas tres líneas de defensa de la organización. Esta conferencia está a cargo de Carlos Rozen, Socio de BDO en Argentina con casi 25 años de experiencia, y de Katerine Villegas, Product Owner de ISOTools Compliance en ESG Innova y se celebrará dentro del programa I Summit ISOTools a las 17:00 hora de Madrid, España. Puedes consultar la correspondencia con el horario de tu país e inscribirte haciendo clic aquí.

La implementación de las tres líneas de defensa es clave para cualquier organización que desee minimizar los riesgos, aportando seguridad y sostenibilidad a todas las partes interesadas. Para conseguirlo hay que establecer una estrategia ganadora para la gestión de riesgos y el control de procesos, pensando en cada una de estas tres líneas de defensa.

Tres líneas de defensa:

• Primera línea de defensa: compuesta por los equipos operativos y de gestión de riesgos que tienen responsabilidad directa en la identificación, evaluación y gestión de los riesgos del día a día de la organización. Estos equipos son responsables de tomar medidas para prevenir, detectar y corregir los riesgos y deficiencias que puedan afectar a la organización.
• Segunda línea de defensa: compuesta por los equipos de gestión de riesgos y cumplimiento normativo, que supervisan y monitorean la gestión de riesgos de la primera línea. Su función principal es asesorar y apoyar a la primera línea, y también actúan como una función de control independiente para garantizar que la gestión de riesgos sea efectiva y adecuada.
• Tercera línea de defensa: compuesta por el equipo de auditoría interna, que es independiente de la primera y segunda línea y está encargado de evaluar la eficacia y eficiencia de los controles internos establecidos por la organización. La auditoría interna actúa como una función de control independiente y proporciona informes y recomendaciones a la alta dirección y al consejo de administración.

Para llegar a contar con estas tres líneas de defensa también será imprescindible contar con la estructura organizacional acorde y un sistema de control interno que permita el buen funcionamiento de la misma a lo largo del tiempo.

Estructura organizativa para las tres líneas de defensa:

La estructura organizativa y la dotación de personal de las tres líneas de defensa deben estar alineadas para garantizar que cada función sea responsable de su área de supervisión correspondiente, así como de informar a la dirección adecuada. Esto implicará contar con los profesionales adecuados en cada una de las líneas de defensa, así como de los mecanismos de control y gestión que resultarán en una protección eficaz de la organización ante cualquier tipo de riesgo. Estos también se deberán apoyar por un control interno efectivo que realmente se encargue de que todo marche según lo previsto y enfocado a la consecución de objetivos.

Los ponentes:

A cargo de esta ponencia sobre la estructura organizativa para conseguir las tres líneas de defensa, estarán:

Carlos Rozen: Experto en Compliance y consultor de dirección, innovación, transformación digital y nuevas tecnologías. Socio de BDO en Argentina con casi 25 años de experiencia.

Katerine Villegas: Product Owner ISOTools Compliance en ESG Innova. Asesoría Jurídica & Compliance, experta en Derecho Comercial y esquemas corporativos sobre Sistemas de Anticorrupción, Antisoborno y programas de Compliance.

¿Te parece interesante? Pues no te pierdas este ciclo de conferencias el próximo 30 de marzo. ¡Inscríbete! 

Inventario de activos SGSI

Para poder identificar adecuadamente los activos de seguridad de la información, lo primero que debemos tener claro es que son los activos de información, estos se conocen como los recursos que utilizan los sistemas de gestión de seguridad informática para hacer posible el cumplimiento de los objetivos en la organización.

El inventario de activos satisface uno de los elementos más significativos del sistema de gestión de la seguridad de la información. Entre los cuales se encuentran los elementos físicos, software, documentos, servicios, personas, instalaciones, hardware, todos aquellos activos que generan valor en la organización.

La importancia de la realización de los inventarios de activos en seguridad informática es tener la trazabilidad de los activos, tener en el radar aquellos activos en estado crítico y aplicarles a estos los controles de riesgo que permitan tenerlos “bajo control”, no tenerlos controlados puede representar un riego para los procesos ya que estos se encuentran directamente asociados a la actividad de la organización.

Se debe tener en cuenta que los activos es un requerimiento necesario para dar cumplimiento con la norma ISO27001. Adicional se debe tener en cuenta que las organizaciones que dentro del desarrollo de sus procesos tiene proyectos de seguridad informática deben tener el respaldo ya que no solo se benefician a sí mismos, sino que generan confianza a sus stakeholders.

Agilizar la ejecución de inventario de activos de seguridad informática

El aporte de la alta dirección permitirá agilizar para la ejecución de los inventarios de seguridad informática, el cual se puede realizar de la siguiente manera:

Recoger activos por área: Para realizar esta acción hay varias opciones que permitirán realizar esta tarea con éxitos. La primera es agendar reuniones programadas con las diferentes áreas, para una reunión previa, informando la actividad a realizar, con el fin que se puedan recopilar toda la información del inventario. Se debe presentar en esta reunión, la plantilla en la cual se registrarán los datos de los activos.

Una idea de plantilla para identificación de los activos en donde el usuario pueda registrar la información contiene el nombre del activo, la descripción del mismo, código si cuenta con uno, responsable del activo, valoración, cualitativa o cuantitativa, estos como algunos criterios relevantes dentro del levantamiento.

Recopilación de la Información y clasificación: Cada área debe registrar los activos y realizar la clasificación del mismo con información relevante como tipo de activo, sea este físico o digital, el lugar donde se almacena.

Ponderación: Para realizar la ponderación de los activos del inventario se deben tener en cuenta los criterios de la seguridad informática que son la Confidencialidad, el cual especifica que la información sea accesible de forma única a las personas que se encuentra autorizadas. Integridad el cual hace referencia a la información que se encuentra almacenada en los dispositivos que no ha sido manipulada por terceros de manera malintencionada. Esto da fiabilidad que la información no será modificada por personas no autorizadas y Disponibilidad, que hace referencia a la información que debe estar disponible siempre para las personas autorizadas para accederla y tratarla, y además puede recuperarse en caso de que ocurra un incidente de seguridad que cause su pérdida o corrupción. Es decir; permite que la información esté disponible cuando sea necesario.

Cada uno de estos criterios debe ser ponderado conforme como se califiquen estos activos en la organización y se califiquen por cada dueño de proceso, por ejemplo; nivel Alto (3), medio (2) y bajo (1), esto con el fin de darle un valor a cada activo y conocer el grado de vulnerabilidad de sus activos, los cuales serán clasificado en una matriz de riesgos, pasaran por un tratamiento, controles y ser llevados a un mapa de calor para mantener controlado estos activos.

En conclusión, en una organización que se encuentre certificada en ISO 27001 o desea hacerlo, es indispensable sino obligatorio, contar con un inventario de activos que permitan ser controlados y que brinde confianza a sus colaboradores. En vista de los posibles errores humanos que puedan ser cometidos, se cuentan con softwares que se permiten controlar esta operación con módulos que, guardan el registro de los inventarios, son configurables sus plantillas, cuentan con módulos de riesgos, en fin, un sin número de elementos que van a permitir a contar con sistemas de seguridad informática, robustos y confiables.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

Cumplimiento legal Seguridad de la Información

Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los reglamentos y legislaciones en materia de seguridad de la información. Observar el entramado legal propicia una actitud transparente de la organización frente a diferentes partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad de la información (SGSI), da un marco de referencia para verificar el cumplimiento de las regulaciones en materia de SI, apoya el mejor desempeño de la organización, entre otros.

Además, los ciudadanos cada día son más conscientes de la necesidad de preservar la confidencialidad, integridad y disponibilidad de la información, por ello esperan que las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología. También esperan consumir productos y servicios que provengan de organizaciones capaces de cumplir con la ley.

Para lograr el cumplimiento de los requisitos legales requerimos activar un proceso que comprende de varios pasos:

• Identificar los requisitos legales: necesitamos contar con una metodología establecida para poder identificar cada requisito. Es importante investigar las leyes y regulaciones emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales.
• Establecer controles: ¿ya los directivos y/o responsables identificaron toda la legislación aplicable a sus organizaciones, para cumplir con los requisitos de su tipo de negocio? ¡Perfecto! Ahora es pertinente que se definan controles puntuales y se fijen responsabilidades individuales para cumplir estos requisitos.
• Documentar controles: los controles aplicables a los procesos, productos y servicios de la organización ameritan ser plasmados como información documentada. Hay que tener en cuenta que los requisitos pueden generar riesgos (cuando no sabemos cómo abordarlos o no se abordan oportunamente) y oportunidades (cuando se incorporan los requisitos legales a la línea de negocios como elementos diferenciadores) para la organización.
• Incluir y determinar en el alcance del SGSI los aspectos legales de las actividades, productos y servicios que debemos controlar.
• Demostrar capacidad y voluntad para cumplir los requisitos legales ante clientes internos y externos y partes interesadas.
• Mejora continua.

Requisitos de diferentes tipos

Los requisitos legales se usan como entradas de proceso y su seguimiento se considera una salida de proceso. Por eso es imperativo tener en cuenta los cambios que se produzcan en la organización, en cuanto a procesos, productos y servicios, y las legislaciones que se modifiquen o entren en vigor. Con esto no nos referimos únicamente a la Constitución del país en que la empresa mantenga operaciones, Código Penal, leyes, normas y decretos. También cuentan las licencias u autorizaciones, orientaciones, órdenes, reglas, sentencias de cortes de justicia o tribunales administrativos, requisitos de las partes interesadas relacionados con sus propios SGSI y que deberíamos cumplir o adoptar, acuerdos con comunidades y organismos públicos o clientes, requisitos de socios o accionistas, principios o códigos de cumplimiento voluntarios, obligaciones contractuales, normas atinentes a la industria y/u organización.

En Latinoamérica es moneda corriente el desfase entre las leyes en materia de seguridad de la información y el uso y manejo de información. Por lo tanto, hay delitos que no son reconocidos como tal y no son sancionados. En ese sentido, es posible suscribir protocolos propios e implementar estándares internacionales como la norma ISO/IEC 27001. Es aconsejable, además, mantenerse atentos ante la promulgación de decretos y la creación de disposiciones emitidas por reguladores.

Otros aspectos por considerar

A la hora de pensar en el cumplimiento legal no podemos omitir la existencia de condiciones anormales y situaciones de emergencia, como las que supuso el SARS COVID. Tras la pandemia surgieron normativas para regular, entre otras cosas, el teletrabajo y el acceso a los datos sensibles. Incluso hubo debates éticos sobre qué tan conveniente era divulgar al círculo cercano cuando una persona resultara contagiada.

En otro orden de ideas, destacamos la relevancia de la gestión de los procesos de SI internos y la identificación de aspectos de SI. Sin ello el cumplimiento legal no estaría completo, puesto que muchos de los requisitos están relacionados con aspectos de la seguridad de la información. Todos los requisitos deben ser tomados en cuenta cuando se establezca, implemente, mantenga y mejore continuamente el SGSI. Por último, consideramos que es imprescindible que desde la alta dirección se manifieste la firme voluntad de cumplir con los requisitos de SI en materia legal y recomendamos la estandarización, pues esta respalda los requisitos legales.

Software ISO 27001

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Sistema de Gestión para la Continuidad del negocio

En la actualidad las organizaciones se enfrentan a escenarios muy cambiantes en los cuales intervienen factores clave, por los que se hace necesario contar con un sistema que permita garantizar la continuidad de las operaciones en las organizaciones, entre estos factores encontramos: una dependencia cada vez mayor de las tecnologías de la información y las comunicaciones, una dependencia mutua entre organización-Proveedor, la interconexión de eventos (lo que ocurre en un lugar del planeta aun cuando este lugar tenga una ubicación remota afecta a todos, ejemplo Wuhan y el Covid-19), competencia fiera en la que estar fuera del negocio puede impactar en gran medida a la organización.

Para garantizar que ante sucesos que interrumpen el desarrollo normal de las actividades en una organización, se puedan llevar a cabo como mínimo las actividades críticas del negocio, en unos tiempos que permitan que los niveles de servicio sean aceptables para los clientes y realizables por la organización, se establece el Sistema de Gestión para la Continuidad del negocio.

Con el fin de estandarizar dicha gestión se crea la norma ISO 22301 Seguridad y Resiliencia: Sistema de gestión de continuidad del negocio. Requisitos, en su versión actual 2019, que cuenta con la estructura de alto nivel para que sea fácilmente armonizable con los demás estándares y facilite la implementación en las organizaciones.

Respecto de las otras normas de la familia ISO, para la definición del sistema, se pueden encontrar similitudes, orientadas claras está hacia la continuidad del negocio, en numerales como: contexto de la organización, necesidades y expectativas de partes interesadas, alcance, liderazgo, objetivos, competencia, información documentada, acciones para abordar riesgos y oportunidades, planificación de cambios, auditoria, revisión por la dirección, mejora continua, entre otros, estas temáticas, han tenido un amplio despliegue e implementación en otros estándares ISO, en cuanto al sistema de Continuidad del negocio se propone un tema importante, en el numeral 8.2  que es: el Análisis de Impacto al negocio (Business Impact Analysis o BIA).

Análisis de Impacto al negocio (Business Impact Analysis o BIA):

En este sentido, se plantea el deber de la organización de establecer y gestionar la metodología que permita la evaluación periódica de los riesgos que se generan por la interrupción de las operaciones, y el impacto de los mismos tanto en condiciones esperadas, como en casos de cambios significativos tanto al interior de la organización como en su contexto, para ello es necesario:

• Establecer y clasificar los impactos importantes relacionados con el contexto de la organización y evaluarlos cuando se presente interrupción de las actividades.
• Determinar las actividades directamente relacionadas con la producción del bien o la prestación del servicio.
• Identificar en que periodos de tiempo no es aceptable para la organización que las operaciones están detenidas.
• A partir de la identificación anterior, establecer las prioridades para reanudar la operación, de tal forma que se garantice una operación mínima aceptada.
• Identificar las actividades prioritarias.
• Establecer los recursos necesarios para poder llevar a cabo las actividades prioritarias.
• Determinar las partes interesadas (proveedores- Socios) de las que depende la realización de las actividades prioritarias.

Se debe también realizar gestión de riesgos relacionados con la interrupción del negocio (Identificar-Analizar y evaluar-establecer planes de acción sobre riesgos prioritarios).

Se deben establecer estrategias para las etapas de antes- Durante y después de que se presente una interrupción, dichas estrategias pueden estar definidas para gestionarse en uno o más planes de acción, esos planes deben lograr que las actividades priorizadas se desarrollen de acuerdo a los tiempos definidos para tal, estén considerados los riesgos que es posible asumir y lo que no, se evalúen los beneficios y costos asociaos a los mismos.

Otro componente importante de abordar y que complementan los planes, son los procedimientos para la continuidad del negocio, para estos dos componentes se deben establecer un esquema que permita una comunicación fluida entre las partes interesadas (Antes-Durante).

Debe estar documentadas las medidas inmediatas, las funciones para su ejecución, los responsables de ejecutar las mismas, los equipos de personas que llevan a cabo estas medidas deben contar con las competencias necesarias, que les permitan evaluar los riesgos e impactos, activar la respuesta, planificar y gestionar las acciones, comunicar a las partes interesadas.

Con el fin de poner a prueba la gestión se debe crear un Programa de Ejercicios que permita determinar si los planes y acciones que se tienen previstas, dan respuesta a las necesidades, o si es necesario replantear las mismas o establecer mejoras respecto de lo planificado.

Software para Sistema de Gestión para la Continuidad del negocio

El software ISOTools permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Continuidad de Negocio

Hoy por hoy, cualquier tipo de eventualidad no planificada, puede ocasionar un gran impacto y ser un riesgo crítico para una organización, más aún en momentos de incertidumbre, como los que están aconteciendo a nivel mundial debido a la pandemia ocasionada por el COVID-19.

Las organizaciones que no estaban preparadas para este tipo de acontecimientos, lamentablemente no tuvieron continuidad, considerando que estas perturbaciones afectan a todo el mercado sin diferenciar el tamaño, tipo o naturaleza de negocio, es vital pensar en la continuidad el negocio, incluso en las condiciones más adversas.

En efecto, la continuidad de negocio dependerá en sí, la organización se encuentra preparada o tiene la suficiente resiliencia de afrontar cualquier tipo de riesgo y amenaza que pueda acontecer en algún periodo de tiempo indeterminado.

Para ello existen los sistemas de gestión de continuidad de negocio como un factor clave de éxito, diseñados específicamente para gestionar y controlar este tipo de eventualidades, entre estas se encuentra la Norma ISO 22301 2019 Seguridad y resiliencia.

¿Qué es la Norma ISO 22301 2019 Seguridad y resiliencia?

Publicada en octubre del año 2019, la Norma ISO 22301 2019 Seguridad y resiliencia, define los requerimientos necesarios para implementar, mantener y mejorar un sistema de gestión que le permita a una organización estar preparada para cualquier tipo de incidencia o eventualidad, poder protegerse, minimizar la probabilidad de que sucedan, poder responder y recuperarse ante cualquier riesgo que genere una interrupción de las operaciones.

Cabe resaltar, que los requerimientos que se especifican en el estándar, son de forma general y están propuestos para que puedan implementarse en cualquier tipo de organización, indiferentemente de su tamaño, tipo y naturaleza, para ello el entorno operacional y la complejidad del sistema de negocio será el determinante del alcance a cabalidad o en parte de los requisitos que contienen la norma.

La Norma ISO 22301 2019 se basa en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA)

Este estándar fue diseñado mediante el ciclo PDCA, con la finalidad de poder implementar, mantener y mejorar continuamente de forma efectiva, el sistema de gestión de Continuidad de Negocio en una organización, además de garantizar su coherencia con algunas de las normas de la familia ISO, referentes al sistema de gestión como lo son; la ISO 9001, ISO 14001, ISO / IEC 20000-1, ISO / IEC 27001 e ISO 28000, facilitando su aplicación.

La Norma ISO 22301 2019 puede aplicarse a cualquier organización

Este estándar puede aplicarse a cualquier tipo de organización, es decir, a organizaciones PYMES, con el objetivo de evaluar e identificar la capacidad que posee la misma, para garantizar la continuidad de negocio y a su vez poder satisfacer las necesidades de sus colaboradores, clientes y personas interesadas, enfocado en lograr los resultados deseados a través de:

• Definir, ejecutar, mantener y optimizar el Sistema de Gestión de Continuidad de Negocio.
• Garantizar la conformidad de la organización con las políticas establecidas en la continuidad de negocio.
• Tener una capacidad aceptable para ofrecer los productos y/o servicios en el momento que ocurra una interrupción inesperada.
• Optimizar la resiliencia de la organización mediante la implementación del Sistema de Gestión de Continuidad de Negocio.
• Importancia en la implementación de la Norma ISO 22301 2019 Seguridad y resiliencia.

El sistema de gestión de Continuidad de Negocio enfoca su importancia en las siguientes estrategias:

• Entender las necesidades organizacionales, por medio de políticas y objetivos que le permitan garantizar la continuidad de negocio.
• Garantizar a la organización a sobrevivir a posibles interrupciones futuras, para poder operar y mantener sus procesos, por medio de la obtención de capacidades y estructuras que le permitan dar una respuesta oportuna a las incidencias.
• Control y seguimiento al desempeño y eficacia del sistema de gestión de Continuidad de Negocio.
• Implementar medidas cualitativas y cuantitativas basadas en la mejora continua del sistema.

Principales beneficios que ofrece la Norma ISO 22301 2019 Seguridad y resiliencia.

Esta norma fue creada con el propósito de garantizar la continuidad de negocio a una organización, para seguir operando de forma oportuna frente a una posible interrupción, por medio de una preparación anticipada, manteniendo y proporcionando los controles necesarios, para una correcta administración de capacidades que permitan una oportuna resiliencia, para lograrlo se necesita lo siguiente:

Desde el punto de vista organizacional

• Se deben apoyar los objetivos estratégicos
• Establecer una ventaja competitiva
• Proteger y mejorar la reputación y credibilidad
• Apoyar y ayudar a la resiliencia de la organización

Desde el punto de vista económico y financiero

• Minimizar la exposición financiera y legal.
• Reducir los costos directos e indirectos asociados a las interrupciones operacionales.

Desde el punto de vista operativo y de procesos

• Optimizar la capacidad para seguir operando de forma eficaz y eficiente, durante una posible interrupción.
• Tener un control proactivo de los riesgos con la mayor efectividad posible.
• Afrontar cualquier tipo de vulnerabilidad operacional.

Desde el punto de vista de todas las partes interesadas

• Promover un sistema de negocio que salvaguarde la vida, la propiedad y el medio ambiente.
• Entender las expectativas de los colaboradores, clientes y partes interesadas.
• Ofrecer la mayor confianza en cuanto a la capacidad que posee la organización, para tener un éxito sostenido a lo largo del tiempo.

Se llama resiliencia a la capacidad que tiene una organización, para poder afrontar de forma efectiva cualquier tipo de eventualidad no planificada y que pueda ocasionar una posible interrupción de sus operaciones, considerando el contexto actual en el que se enfrenta la economía mundial, es necesario que las PYME, cuenten con un sistema de gestión que les permita sobrevivir a estas circunstancias y poder garantizar la continuidad de sus operaciones.

Con la implementación de norma ISO 22301 2019, la organización podrá tener una base sólida, para poder enfrentarse a cualquier eventualidad efectivamente, además de garantizar la capacidad operacional requerida, de ofrecer productos y/o servicios, que cumplan con las expectativas de todas las personas interesadas, a través de un control de riesgos y amenazas asertivo, que ayude a su supervivencia en el entorno económico mundial.

Software para Continuidad de Negocio

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

HSE

Al momento de pensar en continuidad del negocio tal vez pensemos en qué es lo que se debe hacer para que mi empresa siga funcionando si algo malo pasa y sí, es exactamente eso lo que se busca a través de estos modelos.

Generalmente cuando se diseñan estrategias o se implementan modelos para ello, se piensa en términos del objeto principal del negocio y de cómo está operando actualmente.

• ¿Qué pasa si fallan mis equipos electrónicos, o pierdo la información?
• ¿Qué pasa si pierdo clientes por no tener un producto de servicio de calidad?
• ¿Qué pasa si la economía afecta mis finanzas?

Estas y más preguntas se plantean al momento de definir un plan de continuidad del negocio; pero y el Sistema de Gestión HSE, ¿Cómo aporta a que, en caso de que algo malo suceda, la organización pueda seguir vigente?

A partir de la implementación de los planes de emergencias y contingencias de la organización, la disciplina HSE ha iniciado su aporte en la continuidad del negocio. No es el único aporte, pero si uno de los más importantes, y lo iremos viendo a lo largo de este artículo.

El plan de emergencias y contingencias: Elemento clave en la continuidad del negocio

El plan de emergencias y contingencias establece los lineamientos y controles a tener en cuenta en caso de que una emergencia de origen natural, antrópica o de origen social, se manifieste. Punto importante dentro de la continuidad del negocio ya que una emergencia de este tipo, materializada, puede llevar al cierre de la organización.

Para definir las estrategias o controles a implementar en caso de que la emergencia se materialice, es decir, la definición del plan de emergencias, es necesario llevar a cabo una serie de pasos.

• Realizar la identificación de dichas amenazas, incluyendo las áreas afectadas y cantidad de procesos afectados
• Definir una metodología que permita su valoración con el fin de determinar qué tan probable es que ocurra (dependiendo de variables cómo ubicación de la organización, zona geográfica, antecedentes, etc.), y si ocurre, que tan grave es su consecuencia o impacto, por ejemplo, en las personas, instalaciones o producto/servicio
• Priorizar las amenazas con mayor impacto en la organización con el fin de priorizar los controles a implementar.
• Determinar los controles a implementar para mitigar la emergencia en caso de que se materialice incluyendo procedimientos documentados.
• Capacitar a todos los actores a los que afectará la materialización de la emergencia ( Afectados y personal que atiende la emergencia).
• Realizar pruebas a los controles definidos para mitigar las emergencias, tratando de recrear lo mejor posible la emergencia.
• Evaluar la eficacia de los controles implementados y desarrollar planes de acción que permitan mejorarlos.
• Generar planes de acción conjuntos con el entorno en el que se encuentra la organización, con el fin de ampliar los rangos de acción y controlar con una mejor eficacia la emergencia

La clave del éxito o fracaso de los planes de emergencias y su aporte en la continuidad del negocio, está en verificar la eficacia de los controles establecidos, por lo que realizar la mayor cantidad de pruebas, es fundamental para el éxito.

Los planes de emergencias y contingencias deben contener dentro de sus estrategias, elementos no solo para responder ante la emergencia en sí. Debe contener además estrategias que le permitan a la organización seguir funcionando en caso de que la emergencia impacte a la organización al punto de no permitir seguir funcionando normalmente.

Para la definición de las estrategias del plan de emergencias, es necesario involucrar a la mayor cantidad de personas que puedan ayudar a definirlas. Es necesario también alinear el plan de emergencias con las demás estrategias definidas por la organización dentro de su modelo de continuidad de negocio.

Aportes adicionales de la gestión HSE a la continuidad del negocio

Cada vez, en cada país, se viene implementando legislación nacional e internacional que hace que la disciplina HSE tome más relevancia dentro de las organizaciones.

El incumplimiento de esta legislación por parte de las empresas, puede poner en riesgo su reputación, lo que pone en riesgo a su vez la continuidad del negocio.

Y no solo el incumplimiento de la legislación HSE puede producir un impacto en el Good Will de la organización; las multas por el incumplimiento pueden inclusive llevarla a su cierre total.

Los altos costos que pueden llegar a generar las incapacidades resultantes de los accidentes de trabajo, o las indemnizaciones derivadas de las enfermedades de tipo laboral, pueden llevar también a poner en riesgo la continuidad del negocio.

Generalmente la disciplina HSE no suele ser tenida en cuenta en la estrategia para la definición de los modelos de continuidad del negocio, pero como podemos ver, puede llegar a ser uno de los elementos clave del modelo a implementar.

Un Sistema de Gestión HSE correctamente planificado, implementado y desarrollado, puede llegar inclusive a salvar a la organización, llegado el caso. Es importante entonces, como responsables de HSE, tomar la batuta y darle la importancia a la disciplina dentro de las estrategias de continuidad de negocio.

Software ISOTools para la Continuidad del Negocio

No disponer de este tipo de soluciones, está claro que implica una serie de dificultades que en estos momentos, no podemos permitirnos.

El Software ISOTools para la Continuidad del Negocio le permite reaccionar y poner en marcha de manera inmediata su plan de continuidad del negocio, tal y como ustedes lo tengan diseñado.

Siga cumpliendo con las expectativas de sus clientes y proteja su negocio, con nuestro software.

En serio, ¿se plantea otra solución? Consúltenos sin compromiso.