En un mundo donde los riesgos son cada vez más impredecibles, contar con un sistema de gestión que garantice la continuidad del negocio es crucial. Aquí es donde entra en juego la norma ISO 22301, un estándar internacional que ayuda a las organizaciones a prepararse, responder y recuperarse de interrupciones de manera eficiente. Este artículo ofrece una guía completa sobre esta norma, sus beneficios y cómo implementarla para fortalecer la resiliencia empresarial.

ISO 22301

La ISO 22301 es el estándar internacional para sistemas de gestión de la continuidad del negocio (SGCN). Su objetivo principal es garantizar que las organizaciones puedan operar de manera continua, incluso frente a eventos disruptivos como desastres naturales, ciberataques, pandemias o fallos técnicos.

La norma fue desarrollada por la Organización Internacional de Normalización (ISO), con la intención de proporcionar un marco claro y estructurado que permita a las empresas identificar posibles amenazas, evaluar riesgos y establecer estrategias para mitigar su impacto.

El enfoque principal de la ISO 22301 es la resiliencia organizacional, asegurando que las operaciones críticas puedan continuar incluso en los momentos más difíciles.

Beneficios de implementar ISO 22301

Adoptar la norma ISO 22301 no solo protege a las empresas contra interrupciones, sino que también ofrece múltiples ventajas competitivas.

Mejora de la resiliencia empresarial

La ISO 22301 ayuda a las organizaciones a:

• Identificar riesgos clave: Desde desastres naturales hasta interrupciones tecnológicas.
• Establecer planes de contingencia: Garantizando una respuesta rápida y efectiva.
• Asegurar la continuidad de las operaciones críticas: Minimizar el impacto de las interrupciones en la producción, las finanzas y la reputación.

Cumplimiento normativo y mejora de la reputación

Muchas industrias requieren la implementación de sistemas de continuidad del negocio para cumplir con regulaciones específicas. La certificación ISO 22301:

• Demuestra compromiso con la gestión de riesgos.
• Refuerza la confianza de clientes, socios y partes interesadas.
• Mejora la posición competitiva en el mercado.

Reducción de costos y mejora operativa

La norma no solo previene interrupciones, sino que también optimiza procesos internos:

• Eficiencia operativa: Detectar y corregir debilidades en los sistemas antes de que se conviertan en problemas.
• Ahorro económico: Reducir pérdidas relacionadas con paradas operativas y daños reputacionales.

¿Cómo funciona la norma ISO 22301?

La ISO 22301 proporciona un marco estructurado basado en el ciclo Planificar-Hacer-Verificar-Actuar (PHVA). Este enfoque permite a las organizaciones gestionar la continuidad del negocio de manera sistemática.

Requisitos clave de la norma

Para implementar ISO 22301, las organizaciones deben cumplir con varios requisitos esenciales:

• Análisis de impacto en el negocio (BIA): Identificar procesos críticos y evaluar su impacto en caso de interrupción.
• Evaluación de riesgos: Analizar las amenazas potenciales y establecer medidas de mitigación.
• Plan de continuidad del negocio (BCP): Documentar procedimientos claros para garantizar la operatividad durante y después de una interrupción.
• Pruebas y simulacros: Verificar la eficacia de los planes mediante ejercicios regulares.

Rol de la alta dirección

El compromiso de la alta dirección es fundamental para el éxito de la norma. Esto incluye:

• Proveer recursos necesarios para la implementación.
• Participar activamente en la planificación y supervisión del sistema de gestión.
• Promover una cultura organizacional orientada a la continuidad.

La ISO 22301 es el estándar internacional para sistemas de gestión de la continuidad del negocio (SGCN).
Compartir en X

Implementación de la norma ISO 22301 en una organización

Adoptar ISO 22301 puede parecer un desafío, pero con el enfoque adecuado, se convierte en un proceso manejable y altamente beneficioso.

Pasos para la implementación

1. Evaluación inicial: Realizar un diagnóstico de la situación actual de la empresa en términos de continuidad del negocio.
2. Formación y sensibilización: Capacitar al personal clave en los principios de la norma.
3. Desarrollo del SGCN: Diseñar e implementar políticas, procedimientos y planes de continuidad.
4. Certificación: Contratar un organismo certificador para validar el cumplimiento de los requisitos.

Retos comunes y cómo superarlos

Entre los desafíos más frecuentes se encuentran:

• Resistencia al cambio: Superada mediante programas de comunicación y formación.
• Falta de recursos: Solucionada mediante la priorización de procesos críticos.
• Integración con otros sistemas de gestión: Simplificada al aprovechar normas relacionadas, como ISO 9001 o ISO 27001.

Ejemplos prácticos de continuidad del negocio según la ISO 22301

Empresas de diversos sectores han utilizado la ISO 22301 para fortalecer su resiliencia:

• Caso del sector financiero: Una institución bancaria implementó ISO 22301 para garantizar la disponibilidad continua de sus servicios digitales durante ciberataques, logrando mantener la confianza de sus clientes.
• Caso del sector manufacturero: Un fabricante utilizó la norma para gestionar el impacto de desastres naturales en sus cadenas de suministro, reduciendo significativamente el tiempo de recuperación.

El papel del Software ISO 22301 de ISOTools

Para facilitar la implementación y gestión de un Sistema de Gestión de Continuidad del Negocio (SGCN), ISOTools ofrece un Software ISO 22301 diseñado específicamente para cumplir con los requisitos de la norma.

La ISO 22301 es más que una norma; es una herramienta estratégica para asegurar la continuidad del negocio en un entorno lleno de incertidumbres. Adoptarla no solo protege a las organizaciones frente a interrupciones, sino que también fortalece su capacidad para prosperar en el largo plazo. Con el apoyo de herramientas como el Software de ISOTools, las empresas pueden llevar su gestión de la continuidad del negocio al siguiente nivel, contribuyendo a un futuro más resiliente y sostenible.

Ventajas del Software de ISOTools:

• Automatización de procesos: Simplifica tareas como la evaluación de riesgos y el análisis de impacto en el negocio.
• Seguimiento en tiempo real: Permite monitorear el estado del sistema y generar informes detallados.
• Integración: Compatible con otros sistemas de gestión como ISO 9001 e ISO 27001.

El Software de ISOTools es una herramienta esencial para organizaciones que buscan garantizar la continuidad operativa y cumplir con los estándares internacionales.

ISO Industria Minera

La industria de la minería es catalogada a nivel mundial como una de las actividades más antiguas del mundo. Esta se puede dividir en dos líneas: la extracción de minerales y en extracción de combustibles fósiles. Su aporte a nivel mundial es de aproximadamente un 11,5% del PIB mundial y puede aumentar dependiendo de la producción de materiales en ciertos sectores. Se estima que a nivel mundial existe aproximadamente 130.000 minas en funcionamiento, pero la pregunta es: ¿Qué normas ISO aplican o encajan con esta industria?

Recordemos que las normas ISO fueron diseñadas con el fin de logar simplificar, coordinar y orientar a las organizaciones para lograr que estas sean eficientes y efectivas en el mercado en el cual se desarrollan, adicional busca estandarizar todo tipo de servicios y productos a nivel internacional.  Para la Industria minera no hay diseñada una norma ISO en el sector minero. Sin embargo, como son sistemas integrados de gestión, hay varias normas que impactan directamente en el sector. Además, estas permiten que se ajusten para brindar confianza a sus clientes y proveedores.

Aquí se mostrarán las normas que más impactan en el sector minero. Dentro de la gestión de sus procesos cuentan con un importante papel para brindar confianza en el mercado.

ISO 45001 en minería

La ISO 45001, la cual se encarga de la gestión de la Seguridad y Salud en el Trabajo SST, es la que permite enfocarse en el recurso humano. Su principal objetivo es velar por la integridad de los mismos. De esta manera, se evitan posibles accidentes y se prevén incidentes que ocasionen cualquier tipo de lesión relacionada con la actividad desarrollada.

Para que un sistema de gestión de seguridad y salud en trabajo funcione en una organización del sector minero, se deben tomar acciones que permitan generar oportunidades de mejora. Este debe estar ligado a metodologías, objetivos y controles, entre otros, permitiendo que estas organizaciones tengan una partición directa con su colaborador. De este modo, se generan células internas como el comité paritario, en donde se exponen los diferentes casos y aspectos vulnerables y generar acciones preventivas. Con este sistema de gestión se permite identificar los peligros y evaluación de los riesgos. También permite tener controles frente acceso por parte de terceros y una buena gestión frente contratistas y subcontratistas. Este sistema cuenta con capacitaciones para generar en sus empleados habilidades que generen un entorno laboral seguro.

ISO 14001 en minería

La norma 14001 es la encargada de la gestión ambiental, cuya función principal es la de salvaguardar y preservar su conservación de los impactos que pueda generar la actividad económica minera conforme a sus procesos. Controla la forma en como las empresas del sector diseñan, fabrican, distribuyen y consumen sus productos de manera interna y externa. Aquí se deben tener en cuenta los requisitos legales y todos aquellos que le apliquen. Esta norma es clave para el sector minero ya que va a permitir hacer una gestión limpia de los procesos. Así, se minimizan al máximo los riesgos producidos por el sector y se permite que las partes interesadas sientan confianza frente a los productos o servicios que presta la organización.

ISO 9001 en minería

La ISO 9001 es la norma encargada de la gestión de la calidad, norma principal de donde se despliegan y toman forma las demás normas ISO. En el sector de la minería permite un mejor desempeño en todos los procesos de la organización. Esto traduce que para lograr los objetivos, todos sus procesos opera como un conjunto que permite ser eficaces con sus procedimientos, permitiendo generar a las partes interesadas un producto o servicio de calidad. Esta norma, aunque genera niveles, permite que desde la alta dirección hasta los operadores estén alineados con las estrategias para lograr los objetivos, y se centra en entregar a las partes interesadas solo elementos de calidad.

En conclusión, podemos ver que el sector minero se adapta perfectamente a las normas ISO. Por ejemplo, la Norma ISO 27001 de gestión de la seguridad de la información. Esta se basa en  la integridad, la confidencialidad y la disponibilidad de los datos. Norma ISO 22301 de la gestión de continuidad de negocios, donde identifican fortalezas y amenazas a nivel macro en caso de un daño potencial dentro de la organización y su capacidad de resiliencia frente al evento. La Norma ISO 50001; sistema de gestión de energía encargado de identificar la eficiencia energética entre otras normas. En general, al ser sistemas integrados de gestión, su encaje en el sector minero es de gran ayuda para generar confianza en la organización y lograr la excelencia.

Software ISOTools

El Software ISOTools permite acceder a todos los elementos involucrados en tu Sistema de Gestión desde cualquier dispositivo y lugar, pudiendo guardar información Off line si fuera necesario.

El Software ISOTools es una herramienta dinámica que permite cambios que se adapten a tus requerimientos. Pruébela y comprobará cómo puede optimizar su tiempo.

Sistema integrado de gestión

Las competencias hacen parte de aquellos factores claves de éxito en cualquier sistema integrado de gestión, toda vez que estas influencian el logro de los conocimientos y comportamientos deseados por parte de los trabajadores, lo cual trae consigo el logro de la cultura organizacional requerida.

Ahora bien, podríamos complementar que este sería el escenario y propósito ideal para toda organización; pero, como diseñadores e implementadores de sistemas integrados de gestión sabemos que esto no es tan sencillo como parece, y es por ello que he querido mediante este artículo, resaltar el nivel de importancia que pueden llegar a tener algunas competencias en lo relacionado con integrados de gestión.

Para iniciar consideremos el nivel de relevancia especial con la que cuentan aquellas competencias necesarias de adquirir por parte del personal, como lo pueden ser las relacionadas con: controles establecidos para aquellos peligros con un nivel de riesgo no tolerable para la organización, la generación de impactos ambientales negativos o aquellos con vínculo directo hacia el cumplimiento de requisitos legales.

Lo anterior fue tan solo una mirada general de algunas competencias importantes a considerar dentro de un sistema integrados de gestión, pero quizás no sean las únicas a tener en cuenta, por lo cual, y con el propósito de que no se nos escape nada que a nivel de competencia sea importante, plantearemos una serie de actividades que nos podrán aportar a tal fin.

Dentro de estas actividades a desarrollar podríamos destacar y como un primer punto de entrada la identificación de las competencias requeridas por parte del personal en lo relacionado con integrados de gestión, pero ¿Qué tan importantes pueden llegar a ser estas competencias para un sistema de gestión integrados de gestión? pues bien, para dar respuesta a ello les invito a tener en cuenta algunos aspectos.

No podríamos establecer un patrón generalizado de importancia de competencias a nivel de integrados de gestión para todo tipo de organizaciones, toda vez que esto va en línea con el contexto actual de cada una de ellas; aunque de igual forma lo que si es cierto es que dentro del contexto de cada organización existen competencias mas relevantes que otras o dicho de otra manera que pueden tener un impacto mayor en lo que de sistemas integrados de gestión respecta.

Lo anterior nos lleva a centrarnos no tanto en un listado de posibles competencias mas o menos importantes a nivel de sistemas integrados de gestión, sino a identificar de acuerdo con nuestro contexto empresarial cuales de ellas lo serian y por lo cual deberíamos tener en cuenta aspectos a un nivel estratégico y operativo  como lo pueden ser por ejemplo la alineación y aporte de dichas competencias con: el logro de los objetivos estratégicos de la organización, la disminución de los incidentes laborales, cumplimiento de los requisitos legales, ejecución de las operaciones de los procesos, etc.

Teniendo en cuenta lo descrito anteriormente podríamos iniciar con la identificación de cuales de las competencias que tenemos actualmente establecidas, estarían alineadas con algunos de los aspectos citados anteriormente, toda vez que realizando este ejercicio podríamos obtener una primera reflexión al respecto, la cual consistiría que quizás tenemos establecidas competencias que no se alineen con nuestra realidad actual como organización, así como lo que queremos lograr en este sentido.

A este punto ya obtenemos un listado de competencia con un primer nivel de importancia, ahora bien ¿Cómo podríamos estrechar un poco más este cerco?; para ello realizaremos un ejercicio de priorización tomando como referencia el nivel de impacto que tendría cada una de las competencias identificadas en los siguientes componentes del sistema integrados de gestión.

• Logro de los objetivos estratégicos de las organizaciones.
• Logro de los objetivos en SST y Ambiente.
• Establecimiento e implementación de la política del sistema integrados de gestión.
• Establecimiento y ejecución de los roles, responsabilidades y autoridad.
• Identificación de los peligros en el área de trabajo.
• Identificación de los riesgos y oportunidades en sistemas integrados de gestión.
• Reporte de actos y condiciones inseguras.
• Cumplimiento de los requisitos legales aplicables.
• Participación y consulta de los trabajadores.
• Realización de sus actividades objeto del cargo por el cual fue contratado el empleado.
• Toma de conciencia por parte de los trabajadores.
• Establecimiento de las comunicaciones internas y externas.
• Control de la documentación.
• Controles operacionales.

Con la realización de los ejercicios planteados anteriormente, ya tenemos un escenario de importancia de competencias para el sistema integrados de gestión mucho más claro y a su vez una alineación y contribución con la sostenibilidad y crecimiento de la organización. Cabe anotar que aún cuando los factores a tener en cuenta para el establecimiento de dicha importancia pueden llegar a ser transversal para muchas organizaciones, esto no implica que dicho nivel de prioridad o importancia de la competencia de sus trabajadores a nivel de sistemas integrados de gestión así lo sea.

A modo de conclusión podríamos destacar lo siguiente:

• Las competencias asociadas directamente con los controles establecidos para la prevención del incidentes laborales y ambientales y el cumplimiento de los requisitos legales tienen una importancia relevante dentro del sistema integrados de gestión.
• La importancia de las competencias en sistemas integrados de gestión puede variar de una organización a otra debido al contexto propio de cada una de estas.
• Las competencias en sistemas integrados de gestión deben estar alineadas con la estrategia de la organización y por ende este es un punto de entrada para el establecimiento de la importancia de estas.

Software ISOTools para ISO 22301

La Plataforma Tecnológica de ISOTools permite la integración de diferentes sistemas normalizados de gestión y modelos de excelencia. Es una herramienta diseñada para hacer más efectivo el manejo de la documentación, mejorar la comunicación y disminuir tiempos y costos.

Permite administrar la empresa, integrando todos los procesos de la empresa y permitiendo extrapolar la gestión de la norma ISO a cualquier actividad que genere la organización. Certificarse bajo cualquier sistema de gestión integrado es importante para el éxito de la empresa.

ISOTools es la herramienta perfecta para ayudar al seguimiento de un sistema de gestión, optimizado de la gestión documental, indicadores, etc. ahorrando tiempo gracias a la automatización de procesos.

Sistema de Gestión para la Continuidad del negocio

En la actualidad las organizaciones se enfrentan a escenarios muy cambiantes en los cuales intervienen factores clave, por los que se hace necesario contar con un sistema que permita garantizar la continuidad de las operaciones en las organizaciones, entre estos factores encontramos: una dependencia cada vez mayor de las tecnologías de la información y las comunicaciones, una dependencia mutua entre organización-Proveedor, la interconexión de eventos (lo que ocurre en un lugar del planeta aun cuando este lugar tenga una ubicación remota afecta a todos, ejemplo Wuhan y el Covid-19), competencia fiera en la que estar fuera del negocio puede impactar en gran medida a la organización.

Para garantizar que ante sucesos que interrumpen el desarrollo normal de las actividades en una organización, se puedan llevar a cabo como mínimo las actividades críticas del negocio, en unos tiempos que permitan que los niveles de servicio sean aceptables para los clientes y realizables por la organización, se establece el Sistema de Gestión para la Continuidad del negocio.

Con el fin de estandarizar dicha gestión se crea la norma ISO 22301 Seguridad y Resiliencia: Sistema de gestión de continuidad del negocio. Requisitos, en su versión actual 2019, que cuenta con la estructura de alto nivel para que sea fácilmente armonizable con los demás estándares y facilite la implementación en las organizaciones.

Respecto de las otras normas de la familia ISO, para la definición del sistema, se pueden encontrar similitudes, orientadas claras está hacia la continuidad del negocio, en numerales como: contexto de la organización, necesidades y expectativas de partes interesadas, alcance, liderazgo, objetivos, competencia, información documentada, acciones para abordar riesgos y oportunidades, planificación de cambios, auditoria, revisión por la dirección, mejora continua, entre otros, estas temáticas, han tenido un amplio despliegue e implementación en otros estándares ISO, en cuanto al sistema de Continuidad del negocio se propone un tema importante, en el numeral 8.2  que es: el Análisis de Impacto al negocio (Business Impact Analysis o BIA).

Análisis de Impacto al negocio (Business Impact Analysis o BIA):

En este sentido, se plantea el deber de la organización de establecer y gestionar la metodología que permita la evaluación periódica de los riesgos que se generan por la interrupción de las operaciones, y el impacto de los mismos tanto en condiciones esperadas, como en casos de cambios significativos tanto al interior de la organización como en su contexto, para ello es necesario:

• Establecer y clasificar los impactos importantes relacionados con el contexto de la organización y evaluarlos cuando se presente interrupción de las actividades.
• Determinar las actividades directamente relacionadas con la producción del bien o la prestación del servicio.
• Identificar en que periodos de tiempo no es aceptable para la organización que las operaciones están detenidas.
• A partir de la identificación anterior, establecer las prioridades para reanudar la operación, de tal forma que se garantice una operación mínima aceptada.
• Identificar las actividades prioritarias.
• Establecer los recursos necesarios para poder llevar a cabo las actividades prioritarias.
• Determinar las partes interesadas (proveedores- Socios) de las que depende la realización de las actividades prioritarias.

Se debe también realizar gestión de riesgos relacionados con la interrupción del negocio (Identificar-Analizar y evaluar-establecer planes de acción sobre riesgos prioritarios).

Se deben establecer estrategias para las etapas de antes- Durante y después de que se presente una interrupción, dichas estrategias pueden estar definidas para gestionarse en uno o más planes de acción, esos planes deben lograr que las actividades priorizadas se desarrollen de acuerdo a los tiempos definidos para tal, estén considerados los riesgos que es posible asumir y lo que no, se evalúen los beneficios y costos asociaos a los mismos.

Otro componente importante de abordar y que complementan los planes, son los procedimientos para la continuidad del negocio, para estos dos componentes se deben establecer un esquema que permita una comunicación fluida entre las partes interesadas (Antes-Durante).

Debe estar documentadas las medidas inmediatas, las funciones para su ejecución, los responsables de ejecutar las mismas, los equipos de personas que llevan a cabo estas medidas deben contar con las competencias necesarias, que les permitan evaluar los riesgos e impactos, activar la respuesta, planificar y gestionar las acciones, comunicar a las partes interesadas.

Con el fin de poner a prueba la gestión se debe crear un Programa de Ejercicios que permita determinar si los planes y acciones que se tienen previstas, dan respuesta a las necesidades, o si es necesario replantear las mismas o establecer mejoras respecto de lo planificado.

Software para Sistema de Gestión para la Continuidad del negocio

El software ISOTools permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Continuidad de Negocio

Hoy por hoy, cualquier tipo de eventualidad no planificada, puede ocasionar un gran impacto y ser un riesgo crítico para una organización, más aún en momentos de incertidumbre, como los que están aconteciendo a nivel mundial debido a la pandemia ocasionada por el COVID-19.

Las organizaciones que no estaban preparadas para este tipo de acontecimientos, lamentablemente no tuvieron continuidad, considerando que estas perturbaciones afectan a todo el mercado sin diferenciar el tamaño, tipo o naturaleza de negocio, es vital pensar en la continuidad el negocio, incluso en las condiciones más adversas.

En efecto, la continuidad de negocio dependerá en sí, la organización se encuentra preparada o tiene la suficiente resiliencia de afrontar cualquier tipo de riesgo y amenaza que pueda acontecer en algún periodo de tiempo indeterminado.

Para ello existen los sistemas de gestión de continuidad de negocio como un factor clave de éxito, diseñados específicamente para gestionar y controlar este tipo de eventualidades, entre estas se encuentra la Norma ISO 22301 2019 Seguridad y resiliencia.

¿Qué es la Norma ISO 22301 2019 Seguridad y resiliencia?

Publicada en octubre del año 2019, la Norma ISO 22301 2019 Seguridad y resiliencia, define los requerimientos necesarios para implementar, mantener y mejorar un sistema de gestión que le permita a una organización estar preparada para cualquier tipo de incidencia o eventualidad, poder protegerse, minimizar la probabilidad de que sucedan, poder responder y recuperarse ante cualquier riesgo que genere una interrupción de las operaciones.

Cabe resaltar, que los requerimientos que se especifican en el estándar, son de forma general y están propuestos para que puedan implementarse en cualquier tipo de organización, indiferentemente de su tamaño, tipo y naturaleza, para ello el entorno operacional y la complejidad del sistema de negocio será el determinante del alcance a cabalidad o en parte de los requisitos que contienen la norma.

La Norma ISO 22301 2019 se basa en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA)

Este estándar fue diseñado mediante el ciclo PDCA, con la finalidad de poder implementar, mantener y mejorar continuamente de forma efectiva, el sistema de gestión de Continuidad de Negocio en una organización, además de garantizar su coherencia con algunas de las normas de la familia ISO, referentes al sistema de gestión como lo son; la ISO 9001, ISO 14001, ISO / IEC 20000-1, ISO / IEC 27001 e ISO 28000, facilitando su aplicación.

La Norma ISO 22301 2019 puede aplicarse a cualquier organización

Este estándar puede aplicarse a cualquier tipo de organización, es decir, a organizaciones PYMES, con el objetivo de evaluar e identificar la capacidad que posee la misma, para garantizar la continuidad de negocio y a su vez poder satisfacer las necesidades de sus colaboradores, clientes y personas interesadas, enfocado en lograr los resultados deseados a través de:

• Definir, ejecutar, mantener y optimizar el Sistema de Gestión de Continuidad de Negocio.
• Garantizar la conformidad de la organización con las políticas establecidas en la continuidad de negocio.
• Tener una capacidad aceptable para ofrecer los productos y/o servicios en el momento que ocurra una interrupción inesperada.
• Optimizar la resiliencia de la organización mediante la implementación del Sistema de Gestión de Continuidad de Negocio.
• Importancia en la implementación de la Norma ISO 22301 2019 Seguridad y resiliencia.

El sistema de gestión de Continuidad de Negocio enfoca su importancia en las siguientes estrategias:

• Entender las necesidades organizacionales, por medio de políticas y objetivos que le permitan garantizar la continuidad de negocio.
• Garantizar a la organización a sobrevivir a posibles interrupciones futuras, para poder operar y mantener sus procesos, por medio de la obtención de capacidades y estructuras que le permitan dar una respuesta oportuna a las incidencias.
• Control y seguimiento al desempeño y eficacia del sistema de gestión de Continuidad de Negocio.
• Implementar medidas cualitativas y cuantitativas basadas en la mejora continua del sistema.

Principales beneficios que ofrece la Norma ISO 22301 2019 Seguridad y resiliencia.

Esta norma fue creada con el propósito de garantizar la continuidad de negocio a una organización, para seguir operando de forma oportuna frente a una posible interrupción, por medio de una preparación anticipada, manteniendo y proporcionando los controles necesarios, para una correcta administración de capacidades que permitan una oportuna resiliencia, para lograrlo se necesita lo siguiente:

Desde el punto de vista organizacional

• Se deben apoyar los objetivos estratégicos
• Establecer una ventaja competitiva
• Proteger y mejorar la reputación y credibilidad
• Apoyar y ayudar a la resiliencia de la organización

Desde el punto de vista económico y financiero

• Minimizar la exposición financiera y legal.
• Reducir los costos directos e indirectos asociados a las interrupciones operacionales.

Desde el punto de vista operativo y de procesos

• Optimizar la capacidad para seguir operando de forma eficaz y eficiente, durante una posible interrupción.
• Tener un control proactivo de los riesgos con la mayor efectividad posible.
• Afrontar cualquier tipo de vulnerabilidad operacional.

Desde el punto de vista de todas las partes interesadas

• Promover un sistema de negocio que salvaguarde la vida, la propiedad y el medio ambiente.
• Entender las expectativas de los colaboradores, clientes y partes interesadas.
• Ofrecer la mayor confianza en cuanto a la capacidad que posee la organización, para tener un éxito sostenido a lo largo del tiempo.

Se llama resiliencia a la capacidad que tiene una organización, para poder afrontar de forma efectiva cualquier tipo de eventualidad no planificada y que pueda ocasionar una posible interrupción de sus operaciones, considerando el contexto actual en el que se enfrenta la economía mundial, es necesario que las PYME, cuenten con un sistema de gestión que les permita sobrevivir a estas circunstancias y poder garantizar la continuidad de sus operaciones.

Con la implementación de norma ISO 22301 2019, la organización podrá tener una base sólida, para poder enfrentarse a cualquier eventualidad efectivamente, además de garantizar la capacidad operacional requerida, de ofrecer productos y/o servicios, que cumplan con las expectativas de todas las personas interesadas, a través de un control de riesgos y amenazas asertivo, que ayude a su supervivencia en el entorno económico mundial.

Software para Continuidad de Negocio

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Continuidad de negocio

La continuidad de negocio, en general, comenzó en la década de los 60 en donde se reconoció el desarrollo de un plan de contingencia relacionado con IT. Aunque se empezó a ordenar en procesos a partir de los 70, ya que tiene mucha relación con la evolución de la tecnología y los servicios tecnológicos. Desde los 80 hasta los 90 se utilizó mucho el término de continuidad del negocio, aunque a partir del año 2000 se adopta también el término de resiliencia en las organizaciones.

¿Estamos preparados para afrontar la situación actual?

Puede ser que nos encontremos con dos escenarios diferentes. Primero una organización que ya tuviera implementado el teletrabajo o home office, esta empresa ya contaba con trabajadores que trabajan desde casa en alguna ocasión especial o de forma continuada. Segundo vemos una empresa que no contaba con este servicio para sus trabajadores, pero debido a la situación de emergencia sanitaria se han visto obligadas a dar teletrabajo a sus empleados.

Ante el segundo escenario nos podemos preguntar ¿la empresa está preparada para la gestión de riesgos corporativos que esto atañe? Pues puede ser que no esté preparada pero no le quedará más remedio que prepararse de una forma rápida y eficaz.

Lo primero que debe tener en cuenta es garantizar la seguridad para mantener la continuidad del negocio. De esta forma debe tener en cuenta tres cuestiones diferentes:

Continuidad de negocio

• Seguridad en un entorno que se encuentre bajo control.
• Disponibilidad de la IT y aplicaciones críticas
• Mayor soporte al usuario

Vulnerabilidades de ciberseguridad en el teletrabajo

• Intentos de phishing y malware
• Acceso a la red y autenticación
• Dispositivos WIFI
• Antivirus
• Cifrado de datos
• Cultura y comportamiento

Gobierno de ciberseguridad y comunicaciones

• Mayor coordinación entre áreas de IT, seguridad, legal, cumplimiento y auditoría
• Métodos alternativos de supervisión y control de riesgos
• Planes de respuesta a incidentes evaluados y adecuados al nuevo entorno
• Mejora de los canales de comunicación para informar de los riesgos

Para poder asegurar la continuidad de negocio de la organización y de los procesos críticos que se han ido identificando es necesario establecer cuales van a ser los diferentes abordajes que debemos hacer, según determina un Sistema de Gestión de Continuidad como la norma ISO 22301, para poder cumplir con mi objetivo.

Los procesos se deberían abordar son:

• Gestión de proyectos
• Análisis de riesgos y revisiones
• Análisis de impacto
• Estrategia de recuperación
• Desarrollo del plan
• Ejercicios y testeos
• Gestión de programas

¿Cuáles son las prioridades que debe tener un plan de continuidad de negocio?

Durante la Gestión de Riesgos Corporativos, el plan de continuidad de negocio tendrá ciertas actividades que tengan más prioridad sobre otras, como puede ser:

• Evitar pérdidas de vidas
• Reanudar las operaciones lo antes posible
• Mantener la confianza en la empresa
• Lograr las conexiones con principales clientes y proveedores
• Proteger el medio ambiente

Durante el proceso de continuidad del negocio es muy importante que se conozca la metodología que se va a utilizar a la hora de establecer las diferentes estrategias. Para ello debemos tener en cuenta:

En la parte de la entrada a la organización

• El alcance del proceso BIA
• Los requisitos de entrega de productos y servicios
• Los impactos que se generan a lo largo del tiempo por un fallo durante la entrega de los productos y servicios
• Requisitos legales, reglamentos, etc.

En la parte de lo que sale da organización

• Identificar la relación que existe entre productos y servicios, procesos y actividades
• Identificar las dependencias de otros procesos comerciales
• La evaluación de los impactos que se generan a largo plazo por un fallo en el proceso
• Priorización de procesos
• Analizar la interdependencia de los procesos que entregan productos y servicios a los clientes
• Listado de procesos priorizados que entregan productos y servicios

Seleccionar la estrategia de continuidad del negocio

El análisis BIA es utilizado para establecer la criticidad y los marcos de tiempo de recuperación de los procesos y los recursos que se encuentren asociados, a fin de asegurar la consecución de forma continua de los objetivos.

De forma adicional, el análisis BIA ayuda a establecer todas las dependencias y las relaciones entre procesos, las partes internas y externas, y cualquier conexión de la cadena de suministro.

El proceso de BIA establece como resultado los requisitos de continuidad del negocio. Dichos requisitos permiten que la empresa pueda establecer y seleccionar las estrategias de continuidad de negocio más apropiadas:

• Área de trabajo alternativo
• Acuerdos con proveedores en contingencia
• Acuerdos con proveedores antes de la contingencia
• Opciones de recuperación de las TIC
• Disponibilidad del personal en contingencia
• Equipos y fuentes de materias primas

Por último, vamos a hablar un poco de la resiliencia. La resiliencia es un proceso dinámico que tiene como resultado la adaptación positiva en un contexto de gran adversidad, por esto:

• Tenemos que preparar nuestra resiliencia desde el diseño
• Es necesario que conozcamos el contexto en el que se llevan a cabo nuestros servicios
• La automatización del proceso de gestión del SGCN facilitar el control y gestión de la continuidad de negocio

Software ISOTools para la Continuidad del Negocio

No disponer de este tipo de soluciones, está claro que implica una serie de dificultades que en estos momentos, no podemos permitirnos.

El Software ISOTools para la Continuidad del Negocio le permite reaccionar y poner en marcha de manera inmediata su plan de continuidad del negocio, tal y como ustedes lo tengan diseñado.

Siga cumpliendo con las expectativas de sus clientes y proteja su negocio, con nuestro software.

En serio, ¿se plantea otra solución? Consúltenos sin compromiso.

Entorno VUCA

Hace apenas unos días saltaba la noticia de que algunas de las empresas más importantes del sector tecnológico suspendían su asistencia al Mobile Word Congress de Barcelona. LG, Amazon o Ericsson fueron algunas de las primeras en anunciar su ausencia. Veremos en el siguiente artículo como el fenómeno de la suspensión de uno de los eventos de tecnología móvil más importantes del mundo se debe a que no encontramos en un entorno VUCA.

La consecuencia final, tras estas primeras ausencias de alguno de los grandes del sector, ha sido la suspensión definitiva del Mobile Word Congress a menos de dos semanas del mismo. Sería absurdo pensar que los únicos afectados son los organizadores o las marcas que sí iban a ir, ya que no se pueden pasar por alto a todos los proveedores que llevaban meses trabajando en la celebración de dicho evento.

¿Cuál ha sido el motivo? Parece ser que la amenaza del coronavirus ha sido el principal. Ante el miedo de contagio, algunas de las principales empresas del sector mobile decidieron no asistir. No obstante, parece ser que la ausencia de alguno de los grandes nombres del sector tecnológico a nivel mundial también ha provocado que otros tantos se echen atrás. En definitiva, esta situación se traduce en pérdidas de millones de euros dentro del ecosistema del evento

¿Se podrían haber evitado estas perdidas? ¿Se podrían haber mitigado algunos riesgos? Reflexionemos al respecto.

VUCA: Volatilidad, incertidumbre, complejidad y ambigüedad

El origen de este concepto se encuentra en el contexto militar norteamericano de los años 90. En este momento en el que la Guerra Fría daba sus últimos coletazos se usaba para hacer referencia a la situación de incertidumbre, cambio y ambigüedad que se vivía en el ámbito militar. VUCA son las siglas de los conceptos: volatilidad, incertidumbre (uncertainty en inglés), complejidad y ambigüedad. Veamos a que hace referencia cada uno:

• Volatilidad. Inestabilidad. En términos económicos hace referencia a algo que inestable y oscilante. Por ejemplo, los mercados financieros.
• Incertidumbre. Falta de predictibilidad. Perspectivas de sorpresa y compresión en los eventos.
• Complejidad. Que se compone de elementos diversos, creando situaciones de confusión que rodean a la organización.
• Ambigüedad. Distorsión de la realidad, pudiendo entenderse de diversos modos y creando confusión

Con el paso de los años, y como suele ser frecuente en muchos casos, el concepto VUCA ha pasado a ser utilizado por las organizaciones en el contexto de la estrategia empresarial, haciendo referencia concretamente a la gestión de riesgos.

Para hacer frente a un entorno VUCA, habrá que estar muy al día sobre el entorno en el que se desarrolla un determinado negocio, así como tener una enorme capacidad de predictibilidad. Son tres los efectos que puede provocar este entorno:

• Aparición de riesgos y oportunidades. Este efecto requerirá de una gran capacidad de toma de decisiones, que nos permita localizar, controla y erradicar los riesgos lo antes posible. En el caso de que sea posible, también poder encontrar nuevas oportunidades de desarrollo.
• Inestabilidad. Habrá que demostrar cierta capacidad de resiliencia, para superar circunstancias complejas.
• Incertidumbre en los resultados. Esta puede afectarnos de forma directa o de manera indirecta. Para ello, además de tener cierta tolerancia al fracaso, habrá que saber reaccionar con tiempo.

Un software de gestión de riesgos puede contribuir enormemente a gestionar un entorno VUCA, así como a gestionar la continuidad de negocio en el caso de que sea necesario.

La importancia de los riesgos de salud en las organizaciones

Es más que evidente la importancia que tiene la salud para las organizaciones. De ahí que ocurran este tipo de actos, que llevan a cancelar un evento como el Mobile Word Congress, para evitar la materialización de un riesgo crítico como el contagio del Coronavirus.

Es más que evidente, que para todo responsable de la gestión de la seguridad y salud de los trabajadores, la no asistencia a un evento que pueda contagiar al personal de su compañía con un virus, tiene más beneficios que costes.

Ahora habrá que analizar si ha sido realmente este el motivo fundamental por el que compañías tan importantes han rechazado asistir a un evento de tal repercusión.

Plan de continuidad de negocio según ISO 22301. Una buena herramienta para el desarrollo organizacional en un entorno VUCA

Cualquier organización, independientemente de la actividad que lleve a cabo, se puede ver afectada por una crisis o desastre. Un claro ejemplo lo vemos en el caso de que nos ocupa. Sin prácticamente esperarlo, un virus localizado en China, ha tenido una repercusión directa en un evento de escala mundial celebrado en Barcelona.

Por este motivo, son numerosas las empresas que deciden implementar un Sistema de Gestión de Continuidad del Negocio basado en ISO 22301. El objetivo de este estándar normativo internacional no es otro que minimizar cualquier posibilidad de que tenga lugar un desastre y en caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla la empresa.

Un plan de continuidad del negocio, permite que las organizaciones que lo tienen implantado puedan reducir los impactos de un posible riesgo en el desarrollo de una organización.

Cuando un desastre tiene lugar, es necesario ejecutar actividades paralelamente, lo que supone la generación de un nivel de estrés importante al conjunto de los trabajadores. Para que esta labor sea más liviana, es importante definir papeles críticos que deben considerarse a la hora de establecer las responsabilidades.

Software ISOTools para la gestión, control y mitigación de riesgos en un entorno VUPA

El software para ISO 22301 de ISOTools facilita la implementación, automatización y mantenimiento de un sistema de gestión de riesgo o continuidad de negocio que contribuya a mejorar situaciones de crisis provocadas por agentes externos como los que hemos visto en este caso concreto.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

ISO 22301:2019

Tras un dilatado proceso de revisión técnica por parte de los expertos de la organización internacional de estandarización, el pasado mes de octubre fue publicada la nueva edición del estándar normativo de requisitos para Sistemas de Gestión de Continuidad de Negocios: ISO 22301:2019.

Han pasado unos 7 meses desde que se publicara ISO DIS 22301, el último borrador de la norma, previo a la publicación definitiva de esta. A lo largo de este tiempo, ha sido el comité técnico ISO / TC 292 de Seguridad y resistencia quien se han encargado de depurar los últimos aspectos de la norma, que va ya por su segunda edición.

Principales cambios de ISO 22301:2019

Según ha señalado ISO, así como el propio comité técnico que ha llevado a cabo la revisión, el principal cambio que habría que destacar, es que la propia norma señala que no se están incluyendo requisitos nuevos, sino que estos han sido clarificados. Esto permitirá que puedan ser mejor entendidos y aplicados por las organizaciones.

A modo de resumen, entre los principales cambios de la norma se podrían señalar los siguientes:

• Se han aplicado los requisitos de ISO para los estándares del sistema de gestión, que han evolucionado desde 2012.
• Como se indicaba anteriormente, los requisitos se han clarificado, sin agregar nuevos requisitos;
• Los requisitos específicos de la disciplina de continuidad del negocio ahora están incluidos casi por completo dentro de la Cláusula 8;
• La cláusula 8 se ha reestructurado para proporcionar una comprensión más clara de los requisitos clave;
• Se han modificado varios términos específicos de la disciplina de continuidad del negocio para mejorar la claridad y reflejar el pensamiento actual.

Reestructuración de la clausula 8 en ISO 22301:2019

Esta ha sido la clausula que más cambios ha experimentado en la nueva ISO 22301:2019, quedando con la siguiente estructura:

8.1 Planificación y control operacional
8.2 Análisis de impacto empresarial y evaluación de riesgos

• 8.2.1 General
• 8.2.2 Análisis de impacto empresarial
• 8.2.3 Evaluación de riesgos

8.3 Estrategias y soluciones de continuidad empresarial

• 8.3.1 General
• 8.3.2 Identificación de estrategias y soluciones.
• 8.3.3 Selección de estrategias y soluciones.
• 8.3.4 Requisitos de recursos
• 8.3.5 Implementación de soluciones

8.4 Planes y procedimientos de continuidad comercial

• 8.4.1 General
• 8.4.2 Estructura de respuesta
• 8.4.3 Advertencia y comunicación
• 8.4.4 Planes de continuidad del negocio
• 8.4.5 Recuperación

8.5 Programa de ejercicios
8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.

No se debe de olvidar que la norma ISO 22301:2019 está estructurada según el estándar de alto nivel para las normas de requisitos de sistemas de gestión (HLS) de ISO, por lo que mantiene 10 clausulas al igual que otros estándar normativos como ISO 9001, ISO 45001, ISO 14001 o ISO 27001.

A que organizaciones se puede aplicar ISO 22301:2019

Este documento es aplicable a todos los tipos y tamaños de organizaciones que quieran:

1. Implementar, mantener y mejorar un BCMS;
2. Tratar de garantizar la conformidad con la política de continuidad comercial establecida;
3. Necesitan poder continuar entregando productos y servicios a una capacidad predefinida aceptable durante una interrupción;
4. Buscar mejorar su resiliencia a través de la aplicación efectiva del BCMS.

Este documento puede usarse para evaluar la capacidad de una organización para satisfacer sus propias necesidades y obligaciones de continuidad comercial.

Software para la automatización de ISO 22301:2019

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Continuidad de negocio

Las empresas cada vez se encuentran en un entorno más hostil. No solo desde el punto de vista de la competencia y las exigencias del mercado. La sociedad, la naturaleza o las personas que forman las propias organizaciones pueden dar lugar a problemas que desencadenen en acciones que interrumpan la continuidad de negocio.

Actualmente una organización no puede permitirse sufrir interrupciones importantes en su cadena de producción o línea de negocio. De ahí que disponer de un Sistema de la Continuidad del Negocio (SGCN), basado en un estándar internacional y de prestigio como la norma ISO 22301, se esté convirtiendo en toda una exigencia para las organizaciones.

Ante la amenaza u ocurrencia de cualquier evento negativo o alterador, disponer de un Sistema de Gestión de Continuidad de Negocio bien diseñado y correctamente implantado es una garantía, para la propia empresa y ante terceros (la ISO 22301 es certificable), de que la organización podrá reanudar sus operaciones y servicios en unos tiempos adecuados.

Interrupciones de la continuidad de negocio imprevistas

Un Sistema de Gestión de Continuidad de Negocio implantado de manera correcta, debe poder prever situaciones adversas y cómo actuar ante ellas. Sin embargo, hay situaciones extraordinarias que no se pueden prever. De hecho, algunas apenas se espera que ocurran. Un ejemplo serían aquellas provocadas por problemas sociales: manifestaciones, revueltas, protestas, etc.

A pesar de no poder prever con exactitud el momento en el que sucederá un problema social de esta índole y las consecuencias que tendrá, un sistema de gestión de continuidad de negocio, debe contribuir a seguir las medias necesarias para asegurar el mínimo impacto en nuestra organización e intentar garantizar su continuidad.

Problemas sociales, un riesgo más común de lo que creemos

Los problemas sociales son una tipología de riesgos que no suelen ser contemplados por muchas organizaciones. Cuando hablamos de problemas sociales hacemos referencia a aquellas situaciones en las que debido a una serie de decisiones o actos de terceros, la sociedad o una sector de esta se revela y actúa: manifestaciones, protestas, enfrentamientos sociales o huelgas. Esta serie de actos pueden provocar situaciones de riesgo para la continuidad de negocio como por ejemplo:

• Cortes en vías de comunicación
• Restricción de accesos
• Agresiones a personas no involucradas
• Control de la circulación
• Daños materiales a vehículos e infraestructuras públicas, etc.

Recientemente hemos conocido casos como los disturbios en Chile y otros países de latinoamérica así como las manifestaciones en Cataluña (España) o el fenómeno de los chalecos amarillos en Francia. Independiente del motivo por el que se hayan generado (tema en el que no queremos entrar), se puede afirmar que han provocado una serie de efectos negativos en las organizaciones de la zona. Debido a estos actos han sido muchos los trabajadores que no han podido asistir a sus puestos de trabajo: bien por participar en estos actos o bien por no poder acceder a sus puestos de trabajo debido a los motivos que hemos mencionado actualmente.

Contar con este tipo de riesgos en un Sistema de Gestión de Continuidad de Negocio contribuirá a poder hacer frente a este tipo de problemas asociados sobre todo con la asistencia presencial.

Ventajas de implementar un Sistema de Gestión de continuidad de Negocio en una organización

• Mejora de imagen empresarial: una empresa certificada en una norma ISO ofrece una imagen de seriedad y profesionalidad que muchos clientes valorarán y hará que estos se decidan por trabajar con aquellas empresas que estén certificadas en algún estándar como el de Sistema de Gestión de Continuidad de Negocio.
• Gestión y solidez empresarial: las empresas certificadas en ISO 22301 o que siguen sus indicaciones, demuestran una buena gestión de los riesgos en caso de que sucedan adversidades o incidentes que haya que controlar para garantizar la continuidad del negocio.
• Aumento de ventas: en muchas ocasiones, los organismos públicos, a la hora de lanzar una licitación, establecen como requisito que las empresas postulantes estén certificadas en alguna norma como la ISO 22301.
• Reconocimiento internacional: este aspecto va ligado con el anterior. ISO es un organismo internacional reconocido en gran parte de los países del mundo, por ello, una certificación basada en normas ISO, hará que las empresas confíen más en aquellas certificadas y que se decanten por ellas a la hora de hacer negocios.
• Cumplimento normativo: uno de los motivos que muchas organizaciones eligen para certificarse en alguna norma, en este caso para los Sistemas de Gestión de Continuidad de Negocio, es garantizar que se cumple con la normativa del país y así evitar posibles multas y sanciones económicas.

Software para la gestión de la continuidad de negocio según ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

AMEF

Una metodología para el análisis de riesgos usada con frecuencia por las organizaciones es la que se conoce como AMEF o AMFE: Análisis modal de fallos y efectos. Este método se usa cuando se realiza el diseño de un proceso o un producto y persigue la identificación de todos los posibles problemas que pueden surgir, clasificar la criticidad del riesgo y decidir qué acciones tomar al respecto. Esto que parece tan fácil, puede presentar un importante desafío para la organización.

Muchos Sistemas de Gestión de Continuidad de Negocio (SGCN), sobre todos los implantados por organizaciones del sector industrial, se basan en el Análisis del Modo y Efectos de Fallo (AMEF), que es una herramienta que permite determinar acciones de prevención a partir de la identificación de riesgos en el análisis de potenciales fallas en: productos, servicios, procesos o sistemas, con el fin de establecer los controles adecuados que eviten la ocurrencia de las mismas.

Con el AMEF es posible reconocer o identificar errores o fallas potenciales, principalmente en los procesos de producción, con el propósito de eliminarlos o de minimizar el riesgo asociado a las mismas.

Principales beneficios del AMEF

Los beneficios de la implantación del AMEF en un sistema son:

• Identificar fallas o defectos antes de que estos ocurran.
• Incrementar la confiabilidad de los productos/servicios.
• Conseguir procesos de desarrollo más cortos.
• Documentar los conocimientos sobre los procesos.
• Incrementar la satisfacción del cliente.
• Mantener el Know-How en la compañía.

Además de estudiar e identificar los posibles fallos que puedan comprometer la continuidad de una cadena de producción o de un negocio, mediante el AMEF lo que se hace es clasificar esos riesgos según su importancia.

A partir de ahí, es posible obtener una lista detallada que servirá para priorizar cuáles son los modos de fallo más relevantes que son importante solventar por uno o varios de los siguientes motivos:

• Son los errores más peligrosos para la continuidad de los procesos productivos.
• Pueden resultar muy molestos o perjudiciales para terceros: clientes, proveedores y otros grupos de interés.
• Tienen muchas posibilidades de que se produzcan, es decir, su frecuencia es alta.

Etapas del análisis AMEF

Los pasos para realizar un análisis AMEF son los siguientes:

1. Crear un grupo de trabajo

El primer paso consiste en crear un grupo de trabajo de 4 ó 5 personas que tengan conocimientos sobre el producto, servicio o proceso que se está desarrollando. Lo ideal es que el equipo sea multidisciplinar y que incluya varios perfiles diferentes.

2. Enumerar los posibles fallos

La principal función de este equipo es enumerar todos los posibles fallos que pueden llegar a comprometer la fluidez y el funcionamiento normal de un determinado proceso de producción.

3. Establecer un índice de prioridad

Tras detectar las posibles incidencias detectadas, estas deben ser clasificadas según su importancia. Es posible establecer un modelo de clasificación por niveles de:

• Severidad: A cada incidencia detectada se le asigna un valor entre 1 y 10
• Incidencia: A cada incidencia detectada se le asigna un valor entre 1 y 10
• Detección: A cada incidencia detectada se le asigna un valor entre 1 y 10

*Se puede obtener un valor entre 1y 100 siguiendo la siguiente fórmula: NPR=S*0*D

El objetivo final del análisis AMFE es que tengamos todos los posibles fallos controlados, habiendo actuado para disminuir el NPR de los más graves.

Beneficios de AMEF como metodología para el análisis de riesgos

El empleo de esta metodología es muy sencillo. Una vez que comprendemos cómo llevarla a la práctica y nos ayudará a asignar recursos para la reducción de riesgos y un contexto a la hora de abordar los riesgos, comenzando por los más críticos en primer lugar y así sucesivamente.

Hay que tener muy en cuenta un aspecto: el análisis de riesgos no es Gestión de Riesgos. No hay que olvidar que AMFE es una metodología para el análisis de riesgos que podemos usar, entre otras.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas. Tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

Punto de Recuperación Objetivo

En temas de continuidad de negocio, el término Punto de Recuperación Objetivo, también conocido como RPO, es muy importante. En este artículo profundizaremos sobre ello.

En las organizaciones, la seguridad total no existe. Las acciones preventivas que ayuden a las empresas a estar protegidas y a poder reaccionar ante incidentes de seguridad con prontitud son vitales para minimizar o eliminar por completo cualquier daño que ponga en un compromiso a su correcta actividad.

La clave reside en tener un sistema con la capacidad de respuesta eficaz y ágil ante cualquier contingencia grave, así será posible retomar la desarrollo normal de la organización en tiempos que no afecten a la continuidad del negocio.

En el año 2019, ISO (Organismo Internacional de Estandarización) desarrollo para el ámbito de la continuidad del negocio la norma ISO 22301. En ella se concretan los requerimientos que son necesarios a la hora de realizar la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua del sistema de gestión, con el objetivo de salvaguardar, minimizar la probabilidad del riesgo e incrementar la capacidad de respuesta y recuperación ante incidentes

La norma se elaboró de tal manera que los requisitos establecidos fuesen genéricos, para que todas las organizaciones, sin que influya su actividad, tamaño o naturaleza, pueda recurrir a la norma cuando deseen implementar un sistema de gestión de continuidad del negocio.

Después de esta breve introducción sobre la continuidad del negocio y la importancia que tiene en las organizaciones para estar preparadas ante posibles incidentes. Vamos a comenzar a hablar sobre los Punto de Recuperación Objetivo.

¿Qué es un Punto de Recuperación Objetivo?

Cuando hablamos de Punto de Recuperación Objetivo estamos haciendo referencia a un parámetro de gran relevancia en la elaboración  de un plan de continuidad. En concreto es el tiempo máximo de pérdida de información, por lo tanto hace referencia al volumen de datos que se encuentran en riesgo de pérdida dentro de un tiempo considerado por la organización como tolerable.

Por lo tanto,  cada organización establecerá los puntos de recuperación objetivo que crea convenientes y sobre los que definirá el tiempo considerado tolerable.

A modo de ejemplo podemos destacar una situación en la que una organización sufre un desastre que le provoca la pérdida de todos los datos. Esta organización, preocupada y comprometida con la gestión de riesgos, definió que cada 24 horas en otro servidor externo al que está físicamente en la organización, se realizara copias de seguridad. Con esto ha conseguido que la pérdida máxima de información sea toda la que exceda la copia de estas 24 horas que han definido.

Tiempo Objetivo de Recuperación (RPO)

Software para la Gestión de la Continuidad del Negocio

Es muy importante contar con los medios adecuados para que la organización pueda retomar la actividad tras un desastre de cualquier tipo.

Las organizaciones ven en la implementación del Sistema de Gestión de Continuidad del Negocio según la ISO 22301 una buena oportunidad. De este modo garantizan la minimización de riesgos de interrupción o, en el caso de que se lleven a cabo, facilita que la organización ejecute acciones para retomar la actividad del negocio.

Al igual que otras normas, el mantenimiento y automatización puede verse complicado, por ello, le recomendamos el software de ISOTools Excellence, que no solo le ayudará con la gestión, sino que también le ahorra tiempo y dinero a su empresa.

Continuidad de negocio

En la gestión de la continuidad del negocio, donde el factor tiempo es absolutamente clave, resulta fundamental disponer de un software de automatización para poder llevar a cabo una gestión eficaz y exhaustiva de cualquier tipo de riesgo que pueda poner en peligro el funcionamiento normal y fluido de la organización.

En el caso de catástrofes naturales (inundaciones, atascos, terremotos, epidemias…), acontecidas en la última década, la experiencia ha demostrado que las empresas que han sido capaces de reanudar antes su actividad, con el mínimo de pérdidas posibles, han sido aquellas que tenían implantados sistemas automatizados de recuperación de información y continuidad de negocio.

Otro motivo para implantar este sistema es el de la disponibilidad del personal que tiene que realizar las tareas de recuperación. En situaciones de desastres naturales, es común que el personal no llegue a tiempo a los centros de trabajo bien por quedar atrapada en los atascos, por la indisponibilidad de trasporte público, etc.

Qué debemos de tener en cuenta en la automatización de la gestión de riesgos de cara a la continuidad de negocio

Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de riesgos son:

• Poner en marcha los procesos de identificación automática de los riesgos para la continuidad del negocio a los que está expuesto cada organización.
• Alinear cada riesgo con acciones concretas enmarcadas en un plan de contingencia para eliminar o reducir las pérdidas.
• Poner en marcha un sistema automático del seguimiento del tratamiento de riesgos.
• Realizar simulacros y simulaciones que permitan visualizar los resultados que se podrían obtener con la implantación de las acciones definidas en el plan de contingencia para la continuidad del negocio.
• Se debe tener prevista la posibilidad de fallos en los servidores y aplicaciones informáticas, incluso las que operan en la nube, puesto que por mucho nivel de protección que queramos tener, siempre están sujetas a posibles fallos e indisponibilidades. Por este motivo, el plan de continuidad para las Tecnologías de la Información debe de ser mixto, donde se contemple la copia de seguridad de nuestros servidores virtuales.
• Un buen plan de continuidad, sin duda será imperfecto si no realizamos pruebas de su funcionamiento. Este factor es uno de los más críticos a la hora de enfrentarnos a un sistema que realmente responda cuando lo necesitemos. Las pruebas además de ser planificadas con periodicidades adecuadas, deben contemplar aspectos de fiabilidad en la conmutación a los sistemas de copia de seguridad que nos garanticen la continuidad de los trabajos críticos.
• Es aconsejable plantear una deslocalización de los centros de datos. El primer consejo es establecer una distancia razonable entre la producción y los sitios de recuperación con el fin de mantenerse alejado de los problemas regionales. Sin embargo, muchas pequeñas y medianas empresas poseen un solo centro de datos, por lo que es aconsejable que negocien con sus proveedores de servicios en la nube para disponer de una opción de respaldo en una instalación remota.
• Es fundamental establecer prioridades e implementar una solución económicamente viable, analizando los procesos del negocio en profundidad y estableciendo cuáles son aquellas aplicaciones que necesitan estar disponibles de inmediato y cuáles pueden esperar unas horas.
• Plantearse la continuidad del negocio podría ser considerado como un servicio más dentro de todos los demás que componen la cartera de Servicios TI. Para ello, debemos aprovechar la experiencia en la selección de proveedores de TI, para seleccionar los sistemas que nos ayudarán en la recuperación ante interrupciones del servicio. Finalmente, señalar que un óptimo sistema de tratamiento de riesgos debe permitir el desarrollo del ciclo completo, es decir: identificación, análisis y evaluación de riesgos, así como la integración y futuras actualizaciones con otras normas ISO.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos. De este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001. De forma sencilla gracias a su estructura modular.

Seguridad de la información

La nube o también conocida como cloud, a día de hoy sigue siendo un concepto desconocido para muchos y difuso para otros. Una gran cantidad de usuarios aún desconocen en que consiste este tipo de servicio, sobre todo de cara a aspectos relacionados con la seguridad de la información y la disponibilidad de los datos.

En el ámbito profesional se puede afirmar que cada vez son más las empresas que contratan entornos cloud para administrar sus procesos. A pesar de ello, este tipo de servicios se reciben con cierto recelo al no quedar muy claro dónde van a quedar recogidos los datos y quien los va a gestionar. Algo muy parecido ocurre en el negocio B2C. El cliente final en muchas ocasiones rechaza determinados productos por miedo a que su información se distribuya o sea vendida a terceros. Este aspecto es un problema bastante serio para startup o empresas tecnológicas que trabajan con productos que manejan información en la nube.

Tanto en un caso como en otro, existe un importante problema de comunicación. Si no se lleva a cabo una estrategia de comunicación que demuestre al cliente que sus datos están a salvo, este seguirá desconfiando de este tipo de servicios. Una buena medida es contar con la certificación de la norma ISO 27001 que certifica el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Principales amenazas la seguridad de la información en la nube

No existe mucha diferencia entre las amenazas de seguridad de la información en la nube y la de almacenar dicha información en cualquier otro medio informático más “tradicional”. Si se cuenta con un sistema de gestión de seguridad de la información eficiente, se pueden evitar muchos males. En muchas ocasiones los métodos de hacker y piratas informáticos son efectivos debido a que las empresas no tienen en cuenta factores básicos relacionados con aspectos como las contraseñas débiles, la falta de autenticidad multifactorial y los spams.

Las principales amenazas de seguridad en la nube están relacionadas con:

• Amenazas internas. Relacionadas fundamentalmente con el personal que trabaja en la propia organización. En muchos casos los propios trabajadores, bien por desconocimiento o incluso por represalia han sido la causa de la pérdida o la difusión de información de carácter sensible. Este problema se solucionará estableciendo un control que afecte al personal de la organización. ISO 27002 recoge este aspecto en uno de los 114 controles que establece a la hora de implementar un Sistema de Seguridad de la Información.
• Perdida de datos por amenazas externos. En este aspecto, la propia organización deberá de cuidar muchos aspectos como por ejemplo la propia gestión de contraseñas, así como todos los protocolos que afecten a información delicada relacionada con los datos. Se deberán de establecer cuáles son las amenazas fundamentales y una vez se tengan habrá que aplicar controles para llevar un control estricto de las mismas. Será muy importante contar con auditorías internas de análisis. En estas se podrá comprobar que los controles establecidos son los apropiados y funcionan bien.

Este tipo de acciones se verán beneficiadas si las organizaciones cuentan con un software que les permita automatizar los procesos relacionados con la gestión de la información.

Acciones para mantener la seguridad en los datos de la nube

Normalmente se suele dar un modelo de responsabilidad compartida entre el cliente y la empresa que da el servicio. De esta manera el proveedor se encarga de la infraestructura y su buen funcionamiento, y el cliente (persona física o jurídica) se responsabiliza de la seguridad de la información de las aplicaciones que residen en ese hardware.

Los proveedores de la nube deberán realizar revisiones de logs y hacer auditorías de seguridad de la información. En el caso de trabajar con empresas, conviene que tanto los proveedores de la nube como los trabajadores de la empresa que adquiere los servicios lleven a cabo esas auditorías de una manera regularizada.

Encriptar los datos es una solución a la que recurren muchas compañías que distribuyen este tipo de servicios.

Contar con una certificación en ISO 27001 ayuda a las empresas a implementar sistemas de gestión de seguridad de la información eficientes que contribuirán a detectar y establecer buenos controles ante posibles riesgos de seguridad de la información.

Por supuesto trabajar con un software que permita a una organización gestionar sus activos de la información y automatizar los procesos para su control y mejora, es una decisión que puede contribuir a eliminar muchos riesgos de una manera más efectiva y económica.

Software para ISO 27001 y la gestión de la seguridad de la información

La Plataforma ISOTools facilita la automatización de la ISO 27001. La ISO27001 para los Sistemas de Gestión de la Seguridad de la Información es sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, mantener y mejorar el Sistema Gestión de la Seguridad en la Información. También se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio. La integración se hará de una forma sencilla, gracias a su estructura modular.

Gestión de riesgos climáticos

El impacto del cambio climático en el mundo es ya más que una evidencia. Desde hace décadas teóricos y científicos vienen avisando a la globalidad sobre los efectos ambientales tan drásticos que se van a producir en el planeta si no se hace nada al respecto. Resulta lógico pensar que este fenómeno no solo afectará a la naturaleza. No cabe ninguna duda de que la acción de esta contribuye de forma directa sobre todas las actividades del ser humano. Entre ellas, los negocios.

Tantos riesgos como lugares en el planeta. La gestión de riesgos climáticos debe ser personalizada.

Analizando únicamente un factor, el de la temperatura, se pueden sacar conclusiones de lo más preocupantes. Los científicos prevén que el aumento de la temperatura global afectará de forma directa a la ubicación, diseño, eficiencia, operatividad y marketing de los productos, servicios e infraestructura de cualquier compañía. De hecho, este fenómeno es ya una realidad. Hay países en los que, debido al aumento de las temperaturas máximas diarias, los trabajadores se han visto obligados a recortar su horario de trabajo, evitando así estar expuestos a dolencias y enfermedades causadas por los altos niveles de temperatura. Esto sin duda influye a la productividad.

Este último solo es un factor de los muchos que pueden producirse, dependiendo del lugar en el que cada compañía se encuentre. No existirán los mismos riesgos para una empresa del norte de Europa que para una de centro américa, o del sureste asiático. Cada una estará asociada a unos riesgos propios que tendrán que ser analizados y sobre los que habrá que actuar para poder continuar con la actividad empresarial sin necesidad de interrumpir el negocio.

Lo mismo ocurrirá si analizamos las organizaciones o empresas por su tamaño. Una multinacional que cuente con oficinas en todo el mundo, deberá de contar con un software que le ayude a analizar los riesgos de manera personalizada en cada una de sus sedes o plantas de producción a lo largo del mundo. Ya que cada una será amenazada por una serie de riesgos asociados a los cambios climáticos de su zona.

Por su parte, si la compañía es local, los riesgos probablemente tengan un carácter más común. También se puede dar el caso de que en un mismo lugar se lleve a cabo la producción de productos distintos. Probablemente estos estarán amenazados por diferentes riesgos climáticos.

Cada caso merece su análisis. Lo que sí está claro es que habrá que hacerlo de manera minuciosa y ayudarse de herramientas tecnológicas que contribuyan a automatizar los procesos con el objetivo de no perder demasiado tiempo en gestionar este tipo de cuestiones, calves para el desarrollo y buen funcionamiento de toda compañía.

Las materias primas. Uno de los factores más delicados ante la amenaza del cambio climático

No cabe duda de que la obtención de materias primas será y ya es uno de los aspectos más afectados por el cambio climático: sequías, inundaciones, aumento de los niveles del mar, etc. Todos estos factores que ya provoca el cambio climático son algunas de las causas que provocan mayores problemas a las compañías. Sobre todo, a aquellas que obtienen sus principales productos de la propia naturaleza.

Un buen Sistema de Gestión de Riesgos Climáticos deberá de tener en cuenta todos los factores que pueden interrumpir la continuidad de negocio de una compañía también en este sentido. Para ello deberá establecer controles de riesgos de obtención de materias primas provocados por acciones climáticas y como no, acciones de actuación que contribuyan a minimizar los daños de mayor manera posible.

No solo se trata de la obtención de materias primas. El clima también puede afectar a otros factores como su transformación, su recolección (acción humana) e incluso su distribución logística.

Gestión de la continuidad de negocio por riesgos climáticos con ISO 22301

La norma ISO 22301 Gestión de continuidad de negocio, fue creada para riesgos de todo tipo. ISO 22301 también incluye los riesgos climáticos.

Las compañías que estén certificadas con la norma ISO 22301 podrán garantizar ante sus clientes que los servicios o productos que ofrecen serán afectados lo menos posible ante cualquier riesgo de carácter climático. La empresa ha asumido medidas de contingencia frente a estas eventualidades.

La ISO 22301 actualmente se encuentra en plena fase de revisión. Probablemente la nueva versión que se publique próximamente recogerá mejor todo tipo de cuestiones relacionadas con la gestión de riesgos.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

Plan de contingencia

Existe la posibilidad de que, en un determinado momento, una organización, independientemente de su tamaño, número de trabajadores o de la actividad que realice, pueda verse afectada por una crisis o desastre. Ante este problema, la Organización Internacional de Normalización (ISO) desarrolló la ISO 22301, una norma de carácter internacional de gestión de continuidad de negocio.

Debido a este aspecto que puede suceder en cualquier momento, ya son numerosas las empresas y organizaciones que han decidido ponerse manos a la obra en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio.

El objetivo que persigue esta norma internacional no es otro que minimizar cualquier posibilidad de que tenga lugar un desastre y en caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla la empresa.

El plan de contingencia se enmarca dentro del plan de riesgo de la organización y, siguiendo los requisitos de la norma ISO 22301, se implementa mediante un ciclo de mejora continua basado en un modelo PDCA.

Dicho plan hace referencia  a las principales medidas que se pueden llevar a cabo para que se pueda garantizar la continuidad de negocio, así como las operaciones de una organización desde tres puntos de vista:

• Medios técnicos
• Los medios humanos. Formados por los trabajadores
• Y medios organizativos

Los principales elementos que debe tener un plan de contingencia:

Definición de las situaciones críticas: Es importante definir los activos críticos y la relación de procesos de negocio que afecten a esos activos previamente identificados.

Asignación de responsabilidades: Se deben crear grupos humanos configurados por personal competente como el comité de emergencia, el cual se encargará de ejecutar los procedimientos adecuados en el caso de que se produzca una situación crítica.

Determinar las acciones de respuesta: Esta fase del plan implica tener muy bien definida una hoja de ruta con las siguientes acciones a llevar a cabo:

• Indicadores que marcarán el inicio del plan de contingencia.
• Secuencias de acciones que hay que llevar a cabo en el orden preciso.
• Indicadores que permiten considerar que la situación ha quedado normalizada.
• Determinación de los registros y documentación necesaria para dejar constancia por escrito de las acciones que se han llevado a cabo.

Mantenimiento del plan: Es necesaria la obtención de datos de ejecución del plan con el fin de actualizarse y mejorarse para incrementar su eficiencia en futuras ejecuciones. Un plan de contingencia suficientemente elaborado permite retomar las actividades dentro de unos tiempos de recuperación adecuados, previamente definidos. Esto permite volver a la actividad normal en un tiempo prudencial, antes que se produzcan pérdidas de consideración, una cuestión que no tienen en cuenta ni prevén otros estándares y normas diferentes a la ISO 22301.

Características de los tiempos de recuperación:
✔ Se deben conocer y definir con exactitud antes de elaborar el plan de
contingencia.
✔ Los tiempos de recuperación deben encuadrarse en unos mínimos
aceptables para poder reanudar la actividad dentro de unos márgenes que impidan que la empresa sufra daños económicos o de logística irreparables o muy importantes.

El ciclo PDCA

Como otros muchos planes de gestión, el plan de contingencia también se basa en el conocido ciclo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Este tiene su origen en un análisis de riesgo en la organización mediante el cual, entre otras muchas amenazas, se descubren aquellas que afectan de manera concreta a la continuidad del negocio.

Una vez establecidas las amenazas, se seleccionan las contramedidas más adecuadas para combatirlas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.

El plan deberá ser revisado de forma periódica. Por norma, la revisión se lleva a cabo cuando se realiza un nuevo análisis de riesgo. Normalmente, el plan de contingencias siempre se cuestiona cuando se detecta una amenaza, llevando a cabo la siguiente actuación:

• En el caso de que la amenaza estuviera prevista y las contramedidas fueron eficaces: de esta manera se llevará a cabo la corrección únicamente de aspectos menores del plan para mejorar la eficiencia.
• Si se preveía la amenaza, pero las contramedidas fueron ineficaces: habrá que analizar la causa del fallo proponiendo nuevas contramedidas.
• Si no se preveía la amenaza: se deberá promover un nuevo análisis de riesgos. Puede ser que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el análisis de lo ocurrido en un equipo.

Software para el Plan de contingencia

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.
ISOTools garantiza la continuidad de negocio. Identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, por ejemplo con la ISO 27001 para los Sistemas de Gestión de Seguridad de la Información, ya que el software es totalmente modular.

Sistema de gestión de continuidad de negocio

Hoy en día vivimos en la era del Big Data, cada vez recopilamos más datos con el objetivo de medir, planificar y tomar decisiones basadas en evidencia, entre otras acciones.

Podemos relacionar esta necesidad de obtener información con las normas ISO, ya que, en mayor o menor medida, casi todas buscan ofrecer un beneficio a las organizaciones en distintos campos.

En el caso de un Sistema de Gestión de Continuidad de Negocio, como su propio nombre indica, trata de garantizar la continuidad de su negocio protegiéndolo de diversos acontecimientos que podrían poner en peligro su negocio.

Evidentemente, no podemos decir que un sistema de gestión de continuidad de negocio va a garantizar el éxito de nuestra organización y que vaya a impedir su desaparición. Un sistema de esta índole ayuda a las organizaciones a prepararse ante emergencias, gestionar crisis, mejorar la capacidad de recuperación, mantener reputación ante crisis o por ejemplo asegurar la cadena de suministro.

En el caso de los Sistemas de Gestión de Continuidad de Negocios, estos pueden prever situaciones adversas y cómo actuar ante ellas. Sin embargo, hay situaciones que no se pueden prever como es el caso de los fenómenos naturales, entre ellos huracanes, tsunamis, seísmos…

A pesar de no poder prever con exactitud el momento en el que sucederá el fenómeno natural y las consecuencias que tendrá, el sistema de gestión de continuidad de negocio, nos permitirá a seguir las medias necesarias para asegurar el mínimo impacto en nuestra organización e intentar garantizar su continuidad.

Fenómenos naturales

Como hemos mencionado anteriormente, los fenómenos naturales son uno de los principales problemas para los Sistemas de Gestión de Continuidad de Negocio. Sin ir más lejos, podemos poner como ejemplo el seísmo de magnitud 8 ocurrido en Perú el pasado 26 de mayo.

La fuerza de dicho seísmo hizo que se sintiese en Colombia, Venezuela y Ecuador. A pesar de la magnitud del suceso, los daños personales no fueron tan cuantiosos como se esperaban. Afectó a 48 familias de forma importante y a 53 familias perdieron todas sus posesiones, y lo más importante, una persona perdió la vida.

Como hemos dicho, los daños personales son los más importantes, y por suerte, en esta ocasión fueron menores de lo esperado. Sin embargo, los daños materiales fueron mucho mayores y afectaron a una gran cantidad de empresas. Para muchas de ellas, las consecuencias fueron tales que no podrán continuar con su actividad empresarial. Es por eso que siempre debemos valorar la importancia de un Sistema de Gestión de Continuidad de Negocio. Ya que, con las medidas y acciones apropiadas, podemos garantizar la continuidad de la actividad empresarial o al menos reducir lo máximo posible las consecuencias para la organización.

¿Cuáles son las ventajas de implementar un Sistema de Gestión de continuidad de Negocio?

• Mejora de imagen empresarial: una empresa certificada en una norma ISO ofrece una imagen de seriedad y profesionalidad que muchos clientes valorarán y hará que estos se decidan por trabajar con aquellas empresas que estén certificadas en algún estándar como el de Sistema de Gestión de Continuidad de Negocio.
• Gestión y solidez empresarial: las empresas certificadas en ISO 22301 o que siguen sus indicaciones, demuestran una buena gestión de los riesgos en caso de que sucedan adversidades o incidentes que haya que controlar para garantizar la continuidad del negocio.
• Aumento de ventas: en muchas ocasiones, los organismos públicos, a la hora de lanzar una licitación, establecen como requisito que las empresas postulantes estén certificadas en alguna norma como la ISO 22301.
• Reconocimiento internacional: este aspecto va ligado con el anterior. ISO es un organismo internacional reconocido en gran parte de los países del mundo, por ello, una certificación basada en normas ISO, hará que las empresas confíen más en aquellas certificadas y que se decanten por ellas a la hora de hacer negocios.
• Cumplimento normativo: uno de los motivos que muchas organizaciones eligen para certificarse en alguna norma, en este caso para los Sistemas de Gestión de Continuidad de Negocio, es garantizar que se cumple con la normativa del país y así evitar posibles multas y sanciones económicas.

Software ISOTools

Durante el artículo de hoy, hemos realizado un breve recorrido por diferentes aspectos de un Sistema de Gestión de Continuidad de Negocio. Muchas de las causas que pueden afectar la continuidad de un negocio pueden ser impredecibles y es imposible determinar con exactitud las consecuencias. Por ello, es muy importante que las empresas se decidan a implementar este Sistema para que como mínimo, se minimicen las consecuencias que puedan causar adversidades a la organización. La gestión del sistema podría resultar dificultosa en ocasiones, por ello, le ofrecemos el Software ISOTools, que le facilitará la gestión y le ahorrará tiempo y dinero a medio plazo.

ISO DIS 22301

En el artículo de hoy, seguiremos explicando los puntos más importantes del borrador norma ISO DIS 22301. Hoy nos centramos en el punto 9 de la norma, que hace referencia a la evaluación del desempeño. Este punto de la norma, está a su vez divido en tres bloques, seguimiento, medición, análisis y evaluación, otro de auditoría interna y otro de revisión por parte de la dirección.

Seguimiento, medición, análisis y evaluación

En este primer bloque, la norma indica que la organización deberá determinar:

• Elementos que se deben controlar y medir.
• Cuándo y quién deberá realizar el seguimiento y la medición.
• Los métodos que se deben utilizar para asegurarse de obtener resultados válidos de los seguimientos, mediciones, análisis y evaluaciones realizadas.
• Cuándo y quién deberá analizar y evaluar los resultados del seguimiento y la medición.

Al mismo tiempo, la organización deberá conservar la información documentada como prueba de los resultados obtenidos. Entre algunos de los elementos que se deben controlar se encuentra todo el Sistema de Gestión de Continuidad de Negocio (SGCN), ya que se deberá evaluar la efectividad del mismo.

Como acabamos de comentar, se debe evaluar todo el SGCN. Esto quiere decir, que se debe realizar una evaluación de los procedimientos, capacidades y planes de continuidad de negocio.

La organización debe ser la encargada de evaluar la efectividad y adecuación de sus procedimientos, capacidades y planes de continuidad de negocio. Dichas evaluaciones se deberán realizar a través de revisiones periódicas, análisis, ejercicios, test, informes y evaluaciones de desempeño.

Otro punto que también deberá tener en cuenta es el cumplimiento legal, ya que deberá comprobar que su política de continuidad de negocio y objetivos estén en sintonía con la normativa aplicable.

La norma ISO DIS 22301, nos indica que las evaluaciones se deberán realizar con intervalos de tiempo planeados, después de un incidente, o cuando se produzca un cambio importante.

Auditoría interna

Al igual que las evaluaciones, la organización también deberá realizar auditorías internas planeadas en intervalos de tiempo con el propósito de proporcionar información sobre el SGCN . Además, las auditorías internas también sirven para comprobar que se ajusta a los propios requisitos de su SGCN y los requisitos de la norma en sí y también si se ha implementado y se mantiene de forma efectiva.

Para conseguirlo, la organización deberá cumplir los siguientes requisitos:

• Definir los criterios y alcance de auditoría para cada una que se realice.
• Planear, establecer, implementar y mantener un programa de auditoría incluyendo la frecuencia, métodos, responsabilidades, requisitos del plan e informes. El programa de auditoría deberá considerar la importancia de los resultados obtenidos en auditorías previas.
• Seleccionar los auditores adecuados para conseguir objetividad e imparcialidad en el proceso.
• Asegurar que los resultados obtenidos se transfieran a las partes relevantes de la dirección.
• Mantener la información documentada como prueba de la implementación del programa de auditoría y los resultados de la auditoría.

Revisión por parte de la dirección

La función de la alta dirección en los SGCN consiste en asegurar la continuidad, adecuación y efectividad del mismo. Todo ello en intervalos de tiempo planeados.

Esto indica que la organización debe tener en cuenta:

• El estado de las acciones revisadas anteriormente por la dirección.
• El feedback de las partes interesadas.
• La necesidad de los cambios del SGCN incluyendo la política y objetivos de la organización.
• Información sobre el desempeño de la continuidad de negocio que incluya: acciones correctivas y no conformidades, seguimiento, medida y evaluación de resultados y resultados de auditoría.
• Cambios tanto internos como externos que afecten al SGCN.
• Procedimientos y recursos que la organización podría utilizar para mejorar el desempeño y la efectividad del SGCN.
• Oportunidades para la mejora continua.
• Resultados de ejercicios y test.
• Riesgos que no se tratan en ninguna evaluación de riesgos anterior.
• Lecciones aprendidas de las disrupciones.
• Información de la evaluación de riesgos y del análisis de impacto de negocio.

También los resultados de la revisión de la gestión, deberán incluir las decisiones relacionadas con las oportunidades de mejorar y la posible necesidad de cambios del SGCN para mejorar su eficiencia y efectividad. A todo esto, también debemos añadir:

• Variaciones para el alcance del SGCN.
• Modificación de procedimientos para responder a los aspectos internos y externos que podrían tener impacto en el SGCN.
• Cómo se mide la efectividad de los controles.
• Actualización del análisis de impacto de negocio, evaluación de riesgos, estrategias y soluciones de continuidad de negocio y planes de continuidad de negocio.

Como ocurre en otras normas, la información documentada es un factor muy importante. Por ello, la organización debe conservar la información para que pueda consultarse en cualquier momento. También debe facilitársela a las partes interesadas y tomar acciones apropiadas basándose en los resultados obtenidos.

Software para Continuidad del Negocio

Mantener la información documentada, realizar un seguimiento adecuado, tratar no conformidades, duplicidad de documentos,etc. Esto es solo una pequeña parte de la gran cantidad de tareas que hay que realizar para llevar una correcta gestión de nuestro SGCN basado en la ISO 22301. En muchas ocasiones, estas tareas pueden ser muy laboriosas y requerir una gran cantidad de tiempo. Por ello, le ofrecemos ISOTools Excellence, que le ayudará a automatizar los procesos, disponer de toda la información a golpe de clic, trabajar con las no conformidades… en definitiva, le facilitará y optimizará la gestión de su sistema.

ISO DIS 22301

Antes de comenzar, debemos decir que en el borrador de la norma ISO DIS 22301 se especifica la estructura y los requisitos que se está estableciendo que tenga un Sistema de Gestión de Continuidad de Negocio.

En el artículo de hoy, nos centraremos en uno de los puntos más importantes de la norma. Si quiere ampliar conocimientos en la norma haga clic en el siguiente enlace.

En este caso, hablaremos de los planes y procedimientos de continuidad de negocio según ISO DIS 22301.

De forma general, en el borrador de la norma ISO DIS 22301 encontramos un punto el cual nos indica que, la organización debe implementar y mantener una estructura que permita avisar y comunicar, de forma oportuna, a las partes interesadas relevantes y que también, proporcione planes y procedimientos para administrar la organización durante una interrupción del negocio. Estos planes y procedimientos se pondrán en marcha cuando sea necesario para ejecutar soluciones de continuidad del negocio.

Es cierto que existen diferentes procedimientos que están relacionados con los planes de continuidad de negocio. Sin embargo, los planes según este borrador deben:

• Ser flexibles para responder a las condiciones de cambio interno y externo durante una interrupción de negocio.
• Ser concisos en cuanto a los pasos que se deben seguir durante la interrupción.
• Ser efectivos para minimizar lo máximo posible el impacto derivado de la implementación de las soluciones adecuadas.
• Asignar papeles y responsabilidades por cada tarea.
• Centrarse en el impacto de los incidentes potenciales que pueden llevar a una interrupción del negocio.

Estructura de respuesta

Como hemos visto en el anterior apartado, es muy importante saber qué pasos se deben seguir y quienes deben ser los responsables de cada tarea. Por ello, la organización debe implementar y mantener una estructura compuesta por uno o más equipos que sean responsables de dar respuesta ante la interrupción.

Los roles y responsabilidades de cada equipo y las relaciones entre ellos, debe estar claramente especificadas. Los equipos deben estar preparados para:

• Evaluar la naturaleza y alcance de la interrupción e impacto potencial.
• Poner en marcha planes de acción.
• Activar soluciones de continuidad de negocio.
• Establecer prioridades (teniendo en cuenta que la seguridad de los trabajadores debe ser la principal prioridad)
• Controlar los efectos de la interrupción y la respuesta de la organización.
• Evaluar el impacto contra los umbrales predefinidos que justifican el inicio de la respuesta formal.
• Activar una respuesta apropiada para la continuidad de negocio.
• Comunicarse con las partes interesadas, autoridades y medios de comunicación.

Cada equipo deberá tener:

• Un personal identificado con las responsabilidades, autoridades y competencias necesarias que le permitan desempeñar el papel asignado.
• Procesos documentados para guiar las acciones del equipo. Incluyendo las de activación, ejecución coordinación y comunicación de la respuesta.

Notificación y comunicación

Otro aspecto fundamental son los avisos y comunicaciones. La organización deberá mantener procedimientos para:

• Comunicación interna y externa con las partes interesadas.
• Recibir documentación y responder a las comunicaciones de las partes interesadas.
• Asegurarse de la disponibilidad de los medios de comunicación durante la interrupción.
• Recopilar información de la interrupción y las decisiones tomadas.
• Detalles de la respuesta dada a los medios de comunicación.

Por el momento, el borrador ISO DIS 22301, también considerará:

• La alerta a las partes interesadas a las que afecte la interrupción.
• La apropiada coordinación y comunicación entre las organizaciones responsables.

Planes de continuidad de negocio.

Estos deben proporcionar una guía e información que ayude a responder a los equipos ante una interrupción.

Los planes de continuidad deben contener los siguientes elementos:

• Detalles de acciones que los equipos realizarán para continuar o recuperar actividades prioritarias dentro de una franja de tiempo y para controlar los efectos de la interrupción y la respuesta de la organización.
• Procedimientos que permitan que se entreguen productos o servicios a las partes interesadas con la capacidad disponible en ese momento.
• Detalles para gestionar inmediatamente las consecuencias de una interrupción.

Si ajustamos con más detalle lo que el plan debe contener, encontramos:

• Finalidad, alcance y objetivos.
• Papeles y responsabilidades del equipo.
• Acciones y recursos para implementar las soluciones.
• Requisitos de información.
• Interdependencias internas y externas.
• Requisitos de los recursos.

También es importante recordar que cada plan debe estar disponible y debe poder usarse en cualquier lugar y momento que sea necesario.

Recuperación:

La última fase de la que hablaremos es la de recuperación o restauración. Esta fase nos indica que la organización deberá tener documentados los procedimientos para restaurar las actividades habituales del negocio. Y así sustituir aquellas temporales que se tomaron durante la interrupción.

Software ISOTools

Es muy importante disponer de todos los medios posibles para que nuestro negocio salga adelante. Por eso, la implementación de ISO DIS 22301 es una buena idea para reducir los riesgos de una interrupción o, en el caso de que esta se produzca, nos facilite las acciones que se necesitan realizar para poner en marcha nuestro negocio de inmediato.

Al igual que otras normas, la implementación y mantenimiento puede ser complicada, por ello, le recomendamos el software de ISOTools Excellence, que no solo le ayudará con la gestión, sino que también le ahorra tiempo y dinero a su empresa.

Continuidad de negocio

La continuidad de negocio, como su nombre indica, está presente en todo tipo de negocios, ya sea de manera directa o indirecta. Hace apenas una semana desde que, a través de medios de comunicación y redes sociales, la humanidad recibió la nefasta noticia de que Notre Dame de París estaba en llamas. Aún siguen impresionando las imágenes de la joya del arte gótico ardiendo sin que ya nadie pudiera hacer nada por salvarla.

El origen de dicho desastre patrimonial se sitúa en las obras de rehabilitación que la catedral estaba sufriendo en la aguja que corona su techumbre. En esta zona, recubierta de un aparatoso cuerpo de andamios, parece ser que fue donde se inició el fuego, de cuya causa de origen aún no se tiene certeza. Las primeras investigaciones atribuyen el origen del siniestro a un accidente en las tareas de restauración de la aguja de la catedral que estaba llevando a cabo la empresa contratista que llevaba a cabo la rehabilitación del monumento francés.

Por desgracia son muchos los casos en los que, por diversas causas, tanto naturales como por intervención humana, muchos de nuestros monumentos o zonas de interés turístico se han visto afectados. Debido a esto, dicha perdida o destrucción parcial no solo ha provocado un efecto negativo en el bien en general, sino que ha repercutido negativamente en la zona que rodeaba al mismo. Es decir, en todos los negocios y empresas que se lucran de que los turistas de múltiples destinos mundiales acudan a París para visitar su catedral de Notre Dame, la cual está en la lista de los monumentos más visitados del mundo cada año.

Está claro que en la gran mayoría de los casos no se trata de una compañía en la que todo queda de puertas para dentro. En determinadas casuísticas como la que hemos analizado con anterioridad, son muchos los agentes afectados. Son más de una empresa, asociación o incluso institución pública a quien podría afectar este tipo de efectos tan negativos como el vivido la pasada semana en la capital francesa.

Debido a su espontaneidad, este tipo de problemáticas son difíciles de esperar. Esto no quiere decir que no podamos estar preparados para reaccionar en el caso de que se produzcan. Un Sistema de Gestión de Continuidad de negocio puede ser una herramienta clave en este tipo de situaciones.

Planes de continuidad de negocio en el sector turístico

Hablar de continuidad del negocio es hacer referencia a la capacidad que tiene una determinada organización de sobrevivir a posibles “situaciones negativas” que pueden tener un impacto perjudicial para la misma: desde un virus informático hasta un brote de virus biológico, así como cualquier tipo de peligros o amenaza de la naturaleza como: incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El abanico de situaciones que pueden interrumpir la continuidad en el negocio es tan grande como se quiera, ya que cualquier aspecto podría afectar.

ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de una determinada organización. Fundamentalmente se usa para asegurar a las partes interesadas de que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente.

Esta normativa aporta a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando y comercializando.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:

• Establecer, implantar, mantener y mejorar un Sistema de Gestión de Continuidad de Negocio.
• Demostrar conformidad con la política establecida de la continuidad de negocio de la organización.
• Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente.

Son muchos los monumentos, parajes, bienes o instituciones que gestionan este tipo de bienes los que no cuentan con un plan de continuidad de negocio que les permita continuar con su actividad en el caso de que algún fenómeno la interrumpa. Es evidente que casos de riesgo muy alto (como el que vivimos en París la semana pasada) puede provocar que su actividad se interrumpa. En este caso será el propio plan de continuidad de negocio el que ayudará a la organización a poner en funcionamiento toda una serie de mecanismos que contribuyan a una recuperación y vuelta a la normalidad lo más efectiva, rápida y correctamente posible.

Los mismo puede ocurrir en aquellas empresas que de manera indirecta se ven afectadas por toda esta serie efectos negativos que pueden ocurrir en un determinado bien patrimonial que constituye una de los centros de atracción turística de un determinado lugar. Estos deberán de contar con un plan de continuidad de negocio que les permita sobrevivir a cualquier tipo de situación de riesgo. 

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración de este estándar normativo con otras normas, tales como ISO 9001, ISO 14001 o ISO 45001 entre otras, de forma sencilla gracias a su estructura modular.

ISO DIS 22301

No cabe duda de que la planificación es uno de los aspectos clave de cara a establecer un Sistema de Gestión de Continuidad de Negocio. La gerencia de la organización juega un papel clave dentro de este ámbito, ya que desde una posición estratégica como la que ocupan es desde donde mejor se puede plantear este aspecto.

Según el borrador ISO DIS 22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos, y para implementar las acciones determinadas para enfrentar riesgos y oportunidades mediante:

• El establecimiento de criterios para los procesos.
• Implementar el control de los procesos de acuerdo con los criterios establecidos.
• Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.

La organización deberá efectuar un control de los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando las medidas oportunas para mitigar cualquier efecto adverso, según se considere necesario.

La organización también debe garantizar que los procesos subcontratados y la cadena de suministro estén controlados de manera adecuada.

Análisis de impacto empresarial y evaluación de riesgos

La importancia de una evaluación de riesgos llevada a cabo de manera correcta, junto con un análisis de impacto empresarial, ayuda a la compañía a identificar cuáles son los principales riesgos para sus actividades y recursos más críticos. La información que se obtiene a través de este análisis ayuda a los altos cargos identificar dónde los riesgos superan su capacidad de asunción de riesgo y prepara el terreno para llevar a cabo estrategias y planes de continuidad de negocio para minimizar la probabilidad de que se produzca una interrupción, reduciendo el período de la misma o limitando el impacto en la entrega de los principales productos y servicios de la organización.

Como indica ISO DIS 22301, la organización debe implementar y mantener un proceso para analizar el impacto en el negocio y evaluar riesgos de interrupción que establecen el contexto, definen criterios y evalúan el impacto potencial de una determinada ruptura. Se deberá determinar el orden en que se llevan a cabo el análisis de impacto empresarial y la evaluación de riesgos.

Mediante este análisis se debe identificar y seleccionar las estrategias y soluciones de continuidad del negocio apropiadas. Teniendo en cuenta sus costes asociados para:

1. Responder a las interrupciones a tiempo.
2. Continuar y recuperar las actividades priorizadas y sus recursos requeridos para cumplir con la entrega de productos y servicios en el límite de tiempo acordado.

Para aquellas actividades que tengan prioridad, la organización debe identificar y seleccionar las estrategias y soluciones adecuadas, teniendo en cuenta los objetivos de continuidad del negocio y la cantidad y el tipo de riesgo que la organización puede o no puede tomar, para así:

• Minimizar la probabilidad de interrupción.
• Acortar el período de interrupción.
• Mitigar el impacto de la interrupción en los productos y servicios de la organización.

La organización deberá determinar los recursos necesarios para implementar el negocio seleccionando soluciones de continuidad. Estos tipos de recursos considerados deben incluir, entre otros, los siguientes:

1. Personas
2. Información y datos
3. Infraestructura física, como por ejemplo edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados
4. Equipos y consumibles
5. Sistemas de tecnología de la información y la comunicación (TIC)
6. Transportes
7. Finanzas
8. Socios y proveedores

La organización debe implementar las soluciones de continuidad de negocios seleccionadas para que puedan activarse cuando sea necesario.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO DIS 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración de este estándar normativo con otras normas, tales como ISO 9001, ISO 14001 o ISO 45001 entre otras, de forma sencilla gracias a su estructura modular.

ISO DIS 22301

Según ISO DIS 22301, las organizaciones deberán de contar con recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Continuidad de Negocio.

Un recurso imprescindible de cara a implementar un Sistema de Gestión de Continuidad de Negocio será la competencia de las personas que están implicadas en él.

La organización deberá determinar cuál será la competencia de las personas que llevan a cabo cada una de las tareas. Con esto se pretende controlar como afecta cada tarea al rendimiento del Sistema de Gestión de la continuidad del negocio. También se deberá garantizar que cada una de las personas que realizan una determinada tarea, poseen la experiencia y la educación necesaria para llevarla a cabo de manera competente. Si fuera necesario, se deberán tomar acciones formativas entre aquellas personas que no cuenten con la competencia necesaria y evaluar la efectividad de las acciones que se hayan emprendido. Esta información deberá ser documentada con el fin de recoger las evidencias de la competencia.

Conciencia y comunicación en la organización

Las personas que realicen trabajos bajo el control de la organización deberán conocer:

•  La política de continuidad del negocio.
• Su contribución a la efectividad del Sistema de Gestión de Continuidad de Negocio, incluidos los beneficios de mejorar el rendimiento de continuidad de negocio.
• Las implicaciones de no cumplir con los requisitos del Sistema de Gestión de Continuidad  de Negocio.
• Cual es su rol y responsabilidades antes, durante y después de las interrupciones.

La comunicación también es un aspecto muy importante a tener en cuenta de cara a establecer un Sistema de Gestión de Continuidad de Negocio. Habrá que tener en cuenta tanto la comunicación externa como la interna. Según ISO DIS 22301 habrá que tener en cuenta cinco aspectos fundamentales en relación con la comunicación:

• Que se comunicará
• Cuando se debe comunicar
• Con quien hay que comunicarse
• Como hay que comunicarse
• Y finalmente quien será la persona que se comunicará

Información documentada

El Sistema de Gestión de Continuidad de Negocio incluirá la información requerida para la implantación de dicho sistema, así como aquella que la organización considere esencial para el funcionamiento del mismo.

La organización deberá garantizar que toda la información que se vaya creando será actualizada y documentada de manera apropiada. La documentación de toda la información se realizará de manera apropiada. Cada documento deberá de ser identificado y descrito correctamente y contar con un formato y soporte acordado y homogéneo. Todo documento deberá ser revisado y aprobado de manera adecuada para que cumpla con los requisitos establecidos.

La información documentada deberá de estar a disposición de manera adecuada donde y cuando sea necesario. Aunque la disponibilidad es un requisito muy importante, también habrá que asegurar que dicha información está adecuadamente protegida evitando así su uso indebido o su pérdida de integridad.

Finalmente, ISO DIS 22301 señala que, para el control de la información documentada, la organización deberá abordar las siguientes actividades, según corresponda:

• Distribución, acceso, recuperación y uso de la información.
• Almacenamiento y conservación, incluida la preservación de la legibilidad.
• Control de cambios y actualización de los mismos. Como por ejemplo un cambio de versión
• Retención y disposición de la documentación.

La información documentada de procedencia externa determinada por la organización como necesaria para la planificación y el funcionamiento del Sistema de Gestión de Continuidad de Negocio se identificarán, según corresponda, y se controlarán.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO DIS 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración de este estándar normativo con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

ISO DIS 22301

Planificar es un concepto antagónico a improvisar, y consiste en estar preparado para poder responder a través de acciones efectivas y eficientes (que no son lo mismo) ante situaciones que modifican o alteran a las actuales, pero que tienen alguna probabilidad de ocurrencia nada despreciable. Habrá que establecer una serie de factores como muy probables de poder encadenar un fuerte cambio o al contrario como muy improbables.

Como ya se ha analizado en otras partes de la ISO DIS 22301, los altos cargos de la compañía tienen un papel clave en este tipo de acciones, consideradas de liderazgo, sobre todo de cara a una vertiente estratégica.

La situación actual del mercado, exige a las compañías poder demostrar niveles óptimos de preparación, reacción y recuperación ante cualquier tipo de crisis e incidente. Es clave por tanto contar con un Sistema de Continuidad de Negocio que permita a las organizaciones saber como reaccionar ante situaciones de importantes cambios, tanto a nivel interno como externo.

Como se mencionaba anteriormente, la labor de planificación del sistema debe de correr a cargo de los altos dirigentes de la organización, ya que ellos sabrán o manejarán la información necesaria que se requiere para llevar a cabo esta labor.

No hay nadie mejor que los altos cargos para definir hacia donde debe ir una compañía y cual debe ser su actitud para abordar un determinado nuevo enfoque. Este puede estar provocado por una decisión interna de la propia compañía o bien estar ocasionado por agentes externos que obligarán a adoptar medidas urgentes que adopten la continuidad del negocio.

Acciones para abordar riesgos y oportunidades según ISO DIS 22301

Haciendo referencia a la planificación en ISO DIS 22301, la norma dice que, al planificar un Sistema de Continuidad de Negocio, se debe de conocer tanto la organización como el contexto en el que desarrolla su labor empresarial, así como las necesidades y expectativas de la misma. Una vez sabido esto, podremos determinar los riesgos y oportunidades que deben abordarse para:

• Garantizar que el Sistema de Gestión puede lograr los resultados previstos
• Previene o reduce los efectos deseados
• Logra alcanzar la mejora continua

Así, la organización deberá planificar:

1. a) Acciones para tratar estos riesgos y oportunidades
2. b) Cómo llevar a cabo dichas acciones, con el objetivo de integrarlas e implementarlas y evaluar su efectividad

Objetivos de continuidad de negocio y planificación para alcanzarlos

La ISO DIS 22301, indica que la organización debe establecer objetivos de continuidad del negocio en funciones y niveles relevantes.

De esta manera los objetivos de continuidad del negocio deberán:

1. Ser coherentes con la política de continuidad del negocio
2. Ser medibles siempre y cuando sea posible
3. Tener en cuenta los requisitos aplicables
4. Permitir ser monitoreados de manera continua
5. Ser comunicados a la persona o cargo competente de analizarlos
6. Ser actualizados según se establezca previamente

Se indica que la organización deberá conservar la información documentada sobre los objetivos de continuidad del negocio.

Al planificar cómo lograr sus objetivos de continuidad del negocio, la organización debe determinar:

1. a) Lo que se hará para lograr los objetivos planteados
2. b) Qué recursos serán necesarios para llevar a cabo dichos logros
3. c) Quién será la persona responsable de arrancar y seguir el proceso
4. d) Cuando será completado dicho objetivo, dentro del conograma que se haya establecido para dicho fin
5. e) Y finalmente cómo se evaluarán los resultados obtenidos tras el logro

Modificaciones en el Sistema de Gestión de continuidad de Negocio

Cuando la organización determina la necesidad de cambios en el Sistema de Gestión de Continuidad de Negocio incluidos los identificados como mejoras, los cambios se llevarán a cabo de manera planificada. La organización deberá considerar:

1. a) Cual es el propósito de los cambios y sus posibles consecuencias
2. b) La integridad del Sistema de Gestión de Continuidad de Negocio establecido en el momento
3. c) La disponibilidad de recursos
4. d) La asignación o reasignación de las responsabilidades entre las autoridades

Software para ISO 22301

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), La plataforma tecnológica para la gestión de la excelencia ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools es un software que permitirá simplificar considerablemente las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la simplificación de la ejecución de tareas derivadas de la identificación y gestión de riesgos, reduciendo así los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

ISO DIS 22301

El momento actual por el que pasa el mercado y el mundo en general, exige a las compañías poder demostrar niveles óptimos de preparación, reacción y recuperación ante cualquier tipo de crisis e incidente. Esta situación ha disparado la demanda por parte de las organizaciones de servicios de mentoring en materia de gestión de crisis y continuidad de negocio, con el objetivo de que en un corto tiempo se pueda llevar a cabo una evaluación estratégica del negocio y de sus capacidades de recuperación frete a diversas interrupciones del mismo.

Ante posibles crisis provocadas por situaciones externas o internas en la compañía, se pueden ver comprometidos muchos factores: su personal, sus procesos, sus activos, su información e infraestructura tecnológica, etc. En este caso será la propia dirección quien debe de afrontar esa labor de cohesión y adaptación al cambio con el objetivo de poder continuar sin que el negocio se vea comprometido.

Continuando con el análisis del borrador de la nueva versión de la ISO 22301, en la que se estructuran y se indican los requisitos que se deben llevar a cabo a la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio, nos vamos a centrar en una cuestión clave a la hora de implantar dicha normativa: el liderazgo de la compañía. Un aspecto que se desarrolla a lo largo de los puntos 5 del borrador de la que será la nueva ISO 22301 y que poco a cambiado con respeto a la normativa vigente.

Llevar a cabo una buena labor de liderazgo dará lugar a una buena planificación a la hora de implantar el Sistema de Gestión de Continuidad de Negocio en la organización, por tanto, se trata de una labor clave de cara a enfrentarse a cualquier situación de crisis que pueda comprometer la continuidad de una compañía.

Es evidente que aspirar a implantar un Sistema de Gestión de Continuidad de Negocio no es tarea fácil. Se deben cumplir una serie de requisitos que se adapten a la magnitud y el tipo de impacto que la compañía puede o no superar después de una interrupción. Estos pueden ser de lo más variados: legales, regulatorios, organizativos y de la industria de la empresa, productos y servicios prestados, procesos empleados, tamaño y estructura de la empresa, y los requisitos de las partes interesadas. Para cumplir con todos ellos, la organización es un factor clave.

La alta dirección y su compromiso ante la continuidad de negocio

Según ISO DIS 22301 una de las claves para la certificación de la normativa será el compromiso por parte de la alta dirección. Esta idea no solo se desarrolla en el punto 5 del borrador, el cual analiza detenidamente el asunto, sino que se anticipa en otros puntos previos. Según este, la alta dirección deberá mostrar liderazgo y compromiso con respecto al Sistema de Gestión de Continuidad de Negocio mediante las siguientes acciones:

1. Garantizando que la política y los objetivos de continuidad de negocio estén establecidos y sean compatibles con la dirección estratégica de la organización.
2. Asegurando la integración de los requisitos del Sistema de Gestión de Continuidad de Negocio en los procesos de negocios de la organización.
3. Asegurando que los recursos necesarios para llevar a cabo el Sistema de Gestión de Continuidad de Negocio estén disponibles.
4. Comunicando la importancia de la continuidad comercial efectiva y cumpliendo con los requisitos del Sistema de Gestión de Continuidad de Negocio.
5. Asegurando que el Sistema de Gestión de Continuidad de Negocio logre los resultados previstos.
6. Apoyando al personal para que contribuya a la efectividad del Sistema de Gestión de Continuidad de Negocio.
7. Apoyando otros roles de gestión relevantes con el fin de demostrar su liderazgo y compromiso en sus áreas de responsabilidad
8. Promoviendo la mejora continua

Hay que señalar que poco a cambiado este aspecto desde la publicación de última versión de esta norma en el año 2012.

La política de continuidad de negocio

Esta deberá ser adoptada de modo global en la compañía, de forma que su sistema de gestión no sea un aspecto anecdótico, sino que esté implantado de manera integral, por tanto, deberá:

a) Estar disponible como información documentada

b) Ser comunicada dentro de la organización

c) Estar disponible para las partes interesadas, según corresponda

La alta dirección deberá por tanto implicar al resto de cargos de la compañía, responsabilizándolos de que se cumplan los requisitos que establece el Sistema de Gestión de Continuidad de Negocio y que comuniquen estos requisitos a las personas a su cargo para que también lleven a cabo dicho cumplimiento.

Software ISO 22301

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), La plataforma tecnológica para la gestión de la excelencia ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools es un software que permitirá simplificar considerablemente las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la simplificación de la ejecución de tareas derivadas de la identificación y gestión de riesgos, reduciendo así los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias

ISO DIS 22301

Como bien sabemos el pasado 4 de enero de 2019 fue publicado un nuevo borrador de la norma ISO/DIS 22301, la cual especifica la estructura y los requisitos que se deben tener en cuenta la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio.

En un post anterior ya tuvimos la ocasión de analizar las novedades generales que presenta dicho borrador sobre la pasada edición de año 2012, haciendo especial referencia al punto primero en el que se realiza una introducción de carácter genérico sobre los principales cambios que se introducen y cómo van a ser tratados.

Para conocer estas novedades generales más detenidamente puedes consultar el post haciendo click aquí.

En los puntos segundo y tercero analizan las referencias normativas del borrador (que no las hay) y los principales términos y definiciones respectivamente.

Los términos y definiciones de las normas ISO son aclaraciones que recogen conceptos e ideas para llevar a cabo la gestión de la normativa en sí, lanzando referencias a determinadas partes de la misma en la que se tratan de una manera más completa. En este caso se enumeran hasta 56 términos entre los que se encuentran: la actividad, las diversas continuidades, competencias, verificaciones, revisiones entre otros muchos conceptos…

El punto cuarto trata el aspecto que vamos a analizar: Los requisitos necesarios para establecer el contexto del Sistema de Gestión de Continuidad de Negocio en una organización, junto con las necesidades, requisitos y alcance que debe tener la misma. A lo largo de 4 apartados:

Comprensión de la organización y su contexto

En este primer apartado se especifica que la organización deberá determinar cuáles son los problemas más importante tanto a nivel externo como interno, para así poder analizar si va a ser posible alcanzar los resultados previstos en su Sistema de Gestión de Continuidad de Negocio.

Se especifica que los problemas se van a ver influenciados por varios factores clave de la compañía como: sus objetivos generales, sus productos y servicios y la cantidad y el tipo de riesgo que puede o no puede tomar.

Comprensión de las necesidades y expectativas de las partes interesadas

Al implantar su Sistema de Gestión de Continuidad de Negocio, la organización deberá determinar dos aspectos fundamentales:

1. Cuáles son las partes interesadas de la compañía que son relevantes para el Sistema de Gestión de Continuidad de Negocio.
2. Que requisitos deben tener o cumplir dichas partes interesadas.

Una vez visto esto se deberá pasar a contemplar los requisitos legales y reglamentarios a tener en cuenta, ya que la organización deberá adoptar varios protocolos:

1. Lo primero que debe tener en cuenta es que se habrá que implementar y mantener un procedimiento para identificar, acceder y poder evaluar los requisitos legales necesarios. También se tendrán que analizar los requisitos regulatorios relacionados con la continuidad de sus productos y servicios, procesos y actividades y recursos, así como los intereses de las partes interesadas más relevantes.
2. También se tendrán que garantizar que estos requisitos legales, reglamentarios y de cualquier otra índole se tengan en cuenta en el Sistema de Gestión de Continuidad de Negocio.
3. Finalmente señalar la importancia de mantener toda esta información y mantenerla actualizada.

Determinación del alcance del Sistema de Gestión de la Continuidad de Negocio.

Con esta determinación se podrán establecer tanto los límites el alcance como el alcance del Sistema de Gestión de Negocio, teniendo en cuenta varios aspectos tratados anteriormente:

1. Las problemáticas a nivel externo e interno que se mencionaban en el apartado primero de este cuarto punto.
2. Los requisitos legales y reglamentarios que recoge el apartado segundo, que se deben tener en cuenta para comprender las necesidades y expectativas de las partes interesadas.

Toda esta información deberá estar disponible como información documentada del propio Sistema de la Continuidad de Negocio.

Finalmente se señala que la organización deberá llevar a cabo una mejora continua del Sistema de Gestión de la Continuidad de Negocio, documentando y dejando.

Software ISO 22301

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar) , La plataforma tecnológica para la gestión de la excelencia ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools es un software que permitirá simplificar considerablemente las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.

Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la simplificación de la ejecución de tareas derivadas de la identificación y gestión de riesgos, reduciendo así los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

ISO DIS 22301

La norma ISO DIS 22301 especifica la estructura y los requisitos que se deben tener en cuenta la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio.

Una empresa debe desarrollar una continuidad de negocio que sea apropiada para la magnitud y el tipo de impacto que puede o no aceptar después de una interrupción. Los resultados de mantener un Sistema de Gestión de Continuidad de Negocio se encuentran formados por los requisitos legales, regulatorios, organizativos y de la industria de la empresa, productos y servicios prestados, procesos empleados, tamaño y estructura de la empresa, y los requisitos de las partes interesadas.

Un Sistema de Gestión de Continuidad de Negocio, según la ISO DIS 22301, enfatiza con la importancia de:

• Comprender todas las necesidades que presenta la organización y la necesidad de establecer políticas de continuidad del negocio.
• Operar y mantener procesos, capacidades y estructuras de respuesta para asegurarse de que la empresa sobrevivirá a las interrupciones, esto se realiza monitorizando y revisando el desempeño y efectividad del Sistema de Gestión de Continuidad de Negocio.
• Mejora continua basada en medidas cualitativas y cuantitativas.

Un Sistema de Gestión de Continuidad de Negocio, como cualquier otro sistema de gestión, incluye los siguientes componentes:

• Una política
• Personas competentes con responsabilidades definidas
• Procesos de gestión relacionados con la política, la planificación, implementación y operación, evaluación del desempeño, revisión por la dirección, mejora continua.
• Información documentada que respalde el control operacional y permita la evaluación del desempeño.

Beneficios de un Sistema de Gestión de Continuidad de Negocio

El Sistema de Gestión de Continuidad de Negocio se utiliza para preparar, proporcionar y mantener controles y capacidades para la gestión de la organización.

En pocas palabras, es la capacidad que tiene una empresa para continuar operando durante las interrupciones. Para conseguir esto, es importante ver a la empresa:

• Desde una perspectiva empresarial apoyando los objetivos estratégicos, creando una ventaja competitiva, proteger y mejorar la reputación y credibilidad, y contribuir a la resiliencia organizacional.
• Desde una perspectiva financiera hacer que los socios confíen en su éxito, minimizar la exposición legal y financiera, y reducir los costos que generan las interrupciones.
• Desde la perspectiva de las partes interesadas proteger la vida, la propiedad y el medio ambiental, y considerar las expectativas de las partes interesadas.
• Desde una perspectiva de procesos internos mejorando la capacidad de seguir siendo eficaz durante las interrupciones, demostrar el control proactivo de los riesgos con eficacia y eficiencia, y abordar las vulnerabilidades operativas.

El modelo Planificar-Hacer-Verificar-Actuar (PHVA)

En el borrador ISO DIS 22301 aplica el modelo “Planificar, Hacer, Verificar y Actuar” en la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de la efectividad de un Sistema de Gestión de Continuidad de Negocio en la empresa.

Esto garantiza un grado de coherencia con otros estándares cómo puede ser la norma ISO 9001, ISO 14001, etc.

Componentes de PHVA en el borrador ISO DIS 22301

En el modelo PHVA:

El apartado 4 es parte de la planificación. Se introducen todos los requisitos necesarios para establecer el contexto del Sistema de Gestión de Continuidad de Negocio en la organización, además de las necesidades, requisitos y alcance.

El apartado 5 es parte de la planificación. Se resumen todos los requisitos específicos del rol de la alta dirección en el Sistema de Gestión de Continuidad de Negocio, y como el liderazgo articula sus expectativas mediante la política.

El apartado 6 es parte de la planificación. Describe todos los requisitos en relación con el establecimiento de estrategias objetivos y principios para el Sistema de Gestión de Continuidad de Negocio en su conjunto.

El apartado 7 es parte de la planificación. Es compatible con las operaciones del Sistema de Gestión de Continuidad de Negocio en lo que respecta a establecer competencias y la comunicación, según sea necesario, con las partes interesadas, al tiempo que documenta, controla, mantiene y retiene la información documentada requerida.

El apartado 8 es parte de hacer. Define las necesidades de continuidad del negocio, determina cómo abordarlas y desarrolla todos los procedimientos para gestionar a la empresa durante una interrupción.

El apartado 9 es parte de verificar. Resume todos los requisitos necesarios para medir negocios, el desempeño de la continuidad, el cumplimiento del Sistema de Gestión de Continuidad de Negocio y la revisión de la administración.

El apartado 10 es parte de actuar. Identifica y actúa sobre la no conformidad en el Sistema de Gestión de Continuidad de Negocio y la mejora continua mediante la acción correctiva.

Software ISO 22301

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.  Con ISOTools es posible gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

Gestión de continuidad del negocio

La norma ISO 22301 es una norma internacional de gestión de continuidad de negocio. Establece los principios y terminología de continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando.

Por esto, ya son numerosas las empresas que deciden trabajar en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio. En este caso, vamos a hablar del Sistema de Gestión de Continuidad del Negocio o SGCN basado en la norma ISO 22301.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:

• Establecer, implantar, mantener y mejorar un SGCN.
• Demostrar conformidad con la política establecida de la continuidad de negocio de la organización.
• Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente.

Cambios de la revisión

Es la primera ISO basada en una estructura de alto nivel (HLS) por lo que se constituye con una base sólida alineada con diferentes normas de Sistemas de Gestión. Se publicó inicialmente en 2012, y desde entonces se ha convertido en un punto de referencia internacional para la continuidad empresarial. Supone la clave para superar cualquier crisis.

En enero de 2019 se publicó la norma ISO DIS 22301: 2019, un borrador de la nueva versión, y aunque no es la versión final y puede haber cambios, sí que da una idea clara de lo que espera:

• Sin cambios estructurales importantes. Esto evita problemas en la transición para las empresas que ya dispongan de la certificación ISO 22301: 2012.
• Definiciones más consistentes y lógicas. Ya que la anterior versión mantenía la estructura de alto nivel, no es necesario reeditar todo, por lo que la nueva edición se centra en la claridad. Creando definiciones más consistentes y un texto lógico.
• Reducción del número de requisitos. En la Sección 4.1 de la versión 2012, se prescribe lo que una empresa deber realizar. La nueva versión establece la necesidad de definir y determinar problemas externos e internos de una empresa y su contexto. Aunque no dice que elementos tener en cuenta, ni incluye requisitos a documentar para este proceso. De igual modo ocurre en la Sección 7.4 sobre comunicación.
• Alta dirección centrada en lo necesario. En ambas versiones se requiere una administración superior comprometida con la política de BCM. Aunque en la versión anterior se requería una participación activamente en el ejercicio y todas las etapas, la nueva versión, se enfoca en lo realmente necesario para mantener el sistema de gestión de la seguridad de datos. Esto modifica la Sección 5.2 en la participación de la alta dirección.
• Cambios en el BCMS. Una nueva Sección 6.3 requiere que la empresa realice cambios planificados al BCMS. Este requisito es nuevo, pero se preveía su inclusión.
• Obligatoriedad al definir categorías de impacto. En la Sección 8.3 se ha cambiado el nombre a Estrategia y Soluciones de continuidad de negocios, en lugar del antiguo Estrategia de Continuidad de Negocios. Esto muestra el aumento del interés, encontrar soluciones para posibles impactos o riesgos, en lugar de centrarse en garantizar la continuidad.
• Nivel de impacto para no reanudar una actividad. En la antigua versión, se definía la cantidad y tipos de riesgos que una empresa es capaz de perseguir, en la nueva versión lo importante no es el riesgo que se esté dispuesto asumir, sino el nivel de impacto que este riesgo pueda provocar en actividades y el impacto que se genere para reanudar o no la actividad.

Beneficios de implementar la norma

Por destacar algunos beneficios brevemente se podrían comentar;

• Capacidad para continuar al trabajo a pesar de una interrupción.
• Protege la reputación de la organización frente a riesgos.
• Cumple y responde frente a los requisitos legislativos.
• Reduce el margen de interrupción de la actividad.
• Crea una avanzada ventaja frente a su competencia.

Este enero de 2019 se publicó el borrador de la nueva revisión, que seguramente se publicará en otoño de 2019 como ISO 22301: 2019. Se abrirá un periodo de tres años para migrar a la nueva versión, perdiendo así su validez en 2022 todos aquellos certificados de la versión 2012.

Software para la Gestión de continuidad del negocio

Para simplificar las tareas derivadas de la implementación del estándar ISO22301 para los Sistemas de Gestión para la continuidad de negocio, se recomienda el uso del Software ISOTools. Capaz de gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.