Continuidad de negocio e ISO 22301 con Tony Drewitt

'A manager's guide to ISO 22301' es un libro austero y riguroso que explica los conceptos fundamentales de Business Continuity Management bajo la luz y guía de la norma ISO 22301, pero sin pretender ser un manual para certificarse en la misma.
El libro se estructura en 13 capítulos:

• 'Introducing Business Continuity Management:' fija conceptos como lo que es Business Continuity y qué es un Business Continuity System, qué relación existe entre continuidad de negocio y recuperación ante desastres o qué es una política de continuidad de negocio.


• 'Overview of the BCM Process :' explica las principales fases que componen el proceso de gestión de la continuidad de negocio.


• 'Business Impact Analysis and Risk Assessment:' Se concentra ya en uno de los elementos fundamentales de la continuidad de negocio, a saber, el análisis de impacto en el negocio y la valoración de riesgos. Proporciona definiciones pero también ofrece una identificación de impactos, unas escalas de valoración, una descripción de cómo establecer los objetivos de tiempo de recuperación o unas ideas sobre recuperación ante desastres. Es uno de los capítulos más largos e importantes del libro.


• 'Business Continuity Strategy:' a despecho en cierto modo del título, se concentra mucho en los aspectos de recuperación ante desastres TI.


• 'Business Continuity Procedures:' Entra en detalles procedimentales y profundiza por ejemplo en la definición de equipos y roles, la activación de la respuesta de continuidad, etc. Se trata de otro capítulo relativamente extenso y crucial.


• 'Exercising and Testing:' Se enfoca, aunque con brevedad, en cómo poner a prueba de forma proactiva el plan mediante ejercicios.


• 'Performance Evaluation:' Comenta mecanismos de monitorización y medida así como de auditoría para mantener viva la calidad del plan.


• 'Improvement:' Capítulo brevísmo para hablar de la mejora y de la subsanación de no-conformidades con la norma


• 'BCM Culture:' De nuevo, muy brevemente, nos habla de cómo hacer a la organización consciente de la continuidad de negocio y cómo hacer que los planes sean efectivos.


• 'Document Management and Control:' Comenta detalles sobre la gestión de la documentación, que ve como muy parecida a la gestión de la documentación relacionada con otras normas ISO.


• 'Reporting and Assurance:' Muy rápidamente nos habla del gobierno, del aseguramiento en lo relativo a proveedores y la realización de diligencias previas.


• 'Certification:' Explica someramente el procesos de certificación y las partes que debe tener el plan para que sea acorde a la norma.


• 'Standards and Codes of Practice:' Presenta brevemente otros estándares y códigos de buenas prácticas que pueden resultar de interés.

El libro ofrece además, en varios apéndices, ejemplos como una política de continuidad, un registro de riesgos, un equipo de gestión de crisis o plantillas de documentos.
Se trata de un libro aséptico, correcto y ordenado, con una clara vocación de, simplemente, informar y ese objetivo lo cumple con acierto.
Eso sí, se trata de un libro sólo para aquellos lectores realmente interesados en la materia. Para otros lectores resultará probablemente árido y sin interés.
Tony Drewitt
(Fuente: Traducción y ligera elaboración propia de su perfil en LinkedIn.)