Clausulas claves de la ISO 22301 (Continuidad de Negocio)

Este artículo es una continuación de una entrega anterior, donde vimos la importancia de un sistema de gestión de continuidad de negocio (SGCN), además de los aspectos generales de la ISO 22301. En esta ocasión exploraremos las clausulas más importantes en esta norma, las cuales son:

• Cláusula 4: Contexto de la organización
• Cláusula 5: Liderazgo
• Cláusula 6: Planificación
• Cláusula 7: Apoyo
• Cláusula 8: Operación
• Cláusula 9: Evaluación del desempeño
• Cláusula 10: Mejora continua

Cláusula 4: Contexto de la organización

Determinar los asuntos internos y externos que son relevantes para su propósito y que afectan su capacidad para lograr los resultados esperados de sus SGCN como:

• actividades de la organización, funciones, servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas, y el impacto potencial relacionado a un incidente perturbador;
• vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas, incluida su estrategia global de gestión de riesgos;
• el apetito de riesgo de la organización;
• las necesidades y expectativas de las partes interesadas pertinentes;
• requisitos legales, reglamentarios y de otro tipo aplicables a los que la organización suscriba.

Identificar el alcance del SGCN, teniendo en cuenta los objetivos estratégicos de la organización, los productos y servicios clave, tolerancia al riesgo y las obligaciones reglamentarias, contractuales o de los interesados es también parte de la presente cláusula.

Cláusula 5: Liderazgo

La alta dirección debe demostrar un compromiso continuo con los SGCN. A través de su liderazgo y acciones, la administración puede crear un ambiente en el que los diferentes actores participen plenamente y en el que el sistema de gestión puede funcionar con eficacia y en sinergia con los objetivos de la organización. Ellos son responsables de:

• garantizar el SGCN es compatible con la dirección estratégica de la organización;
• la integración de los requisitos SGCN en los procesos de negocio de la organización;
• proporcionar los recursos necesarios para el SGCN;
• comunicar la importancia de la gestión eficaz de la continuidad del negocio;
• asegurar que el SGCN logra sus resultados esperados;
• dirigir y apoyar la mejora continua;
• establecer y comunicar una política de continuidad del negocio;
• asegurar que se establecen los objetivos y planes de SGCN;
• asegurar que las responsabilidades y autoridades para las funciones correspondientes se asignan.

Cláusula 6: Planificación

Esta es una etapa crítica en relación con el establecimiento de los objetivos estratégicos y los principios rectores del SGCN en su conjunto. Los objetivos de un SGCN son la expresión de la intención de la organización para tratar los riesgos identificados y / o para cumplir con los requisitos de las necesidades organizativas. Los objetivos de continuidad del negocio deben:

• ser coherente con la política de continuidad del negocio;
• tener en cuenta el nivel mínimo de los productos y servicios que sea aceptable para la organización para lograr sus objetivos;
• ser medibles;
• tener en cuenta los requisitos aplicables;
• Ser seguidos y actualizados, según corresponda.

Cláusula 7: Soporte

La gestión del día a día de un sistema de gestión de continuidad de negocio eficaz se basa en el uso de los recursos adecuados para cada tarea. Estos incluyen personal competente con formación adecuada (y demostrable) y servicios de apoyo, sensibilización y comunicación. Esto debe ir apoyada con datos documentados adecuadamente gestionado.

Las comunicaciones internas y externas de la organización deben ser consideradas en esta área, incluyendo el formato, el contenido y el ritmo adecuado de este tipo de comunicaciones.

Los requisitos para la creación, actualización y control de la información documentada también se especifican en la presente cláusula.

Cláusula 8: Operación

Después de planificar el SGCN, una organización debe ponerlo en funcionamiento. Esta cláusula incluye:

• Análisis de impacto en el negocio (BIA): Esta actividad permite a la organización identificar los procesos críticos que apoyan sus principales productos y servicios, las interdependencias entre los procesos y los recursos necesarios para el funcionamiento de los procesos en un nivel mínimamente aceptable.
• Evaluación de riesgos: las ISO 22301 propone hacer referencia a la norma ISO 31000 para implementar ese proceso. El objetivo de este requisito es establecer, implementar y mantener un proceso de evaluación de riesgos formal documentado que identifica de forma sistemática, analiza y evalúa el riesgo de incidentes perturbadores a la organización.
• Estrategia de continuidad del negocio: Después de requisitos se han establecido a través del BIA y la evaluación de riesgos, se pueden desarrollar estrategias para identificar mecanismos que permitan a la organización proteger y recuperar las actividades críticas sobre la base de la tolerancia al riesgo organizacional y dentro de los objetivos de tiempo de recuperación definidos. La experiencia y las buenas prácticas indican claramente que la disposición inicial de una estrategia global de BCM de la organización asegurará el cumplimiento de las actividades. La estrategia de continuidad del negocio debe ser un componente integral de la estrategia corporativa de la institución.
• Procedimientos de continuidad de negocio: La organización debe documentar los procedimientos (incluidos los acuerdos necesarios) para garantizar la continuidad de las actividades y la gestión de un incidente perturbador. Los procedimientos tienen que:
  • establecer un protocolo de comunicación interna y externa adecuada;
  • ser específico con respecto a las medidas inmediatas que se deben tomar durante una interrupción;
  • ser flexible para responder a las amenazas inesperadas y cambiantes condiciones internas y externas;
  • centrarse en el impacto de los eventos que podrían interrumpir las operaciones;
  • se desarrolló en base a supuestos establecidos y el análisis de las interdependencias, y;
  • ser eficaz en la reducción de las consecuencias a través de la implementación de estrategias de mitigación apropiadas.
• Ejercicios y pruebas: Para asegurarse de que los procedimientos de continuidad de negocio son consistentes con sus objetivos, la organización tendrá que comprobarlos con regularidad. Se debe hacer la verificación de los procesos de validación de los planes y procedimientos de continuidad de negocio para asegurar que las estrategias seleccionadas son capaces de proporcionar la respuesta y la recuperación dentro de los plazos acordados por la dirección.

Cláusula 9: Evaluación del desempeño

Una vez que el SGCN se ejecuta, la ISO 22301 requiere un monitoreo permanente del sistema, así como revisiones periódicas para mejorar su funcionamiento:

• seguimiento de la política de continuidad de negocio de la organización,
• Cumplimiento de objetivos y metas;
• medir el desempeño de los procesos, procedimientos y funciones que protegen las actividades prioritarias;
• vigilar el cumplimiento de esta norma y los objetivos de continuidad del negocio;
• supervisar la evidencia histórica del rendimiento SGCN deficientes mediante la realización de auditorías internas a intervalos planificados, y
• evaluación de toda la gestión a intervalos planificados.

Cláusula 10: Mejora continua

La mejora continua se puede definir como todas las acciones emprendidas en toda la organización para aumentar la eficacia (alcanzar objetivos) y la eficiencia (una relación coste / beneficio óptima) de los procesos y controles de seguridad para traer mayores beneficios a la organización y sus grupos de interés. Una organización puede mejorar continuamente la eficacia del sistema de gestión a través del uso de la política de continuidad de negocio, objetivos, resultados de las auditorías, el análisis de los sucesos supervisados, indicadores, acciones correctivas y preventivas y la revisión por la dirección.