ISO 22301:2012

El reciente huracán Sandy en EEUU me ha vuelto a recordar la importancia de que empresas e instituciones públicas dispongan de un Plan de Continuidad del Negocio, para dar continuidad a sus procesos más críticos tras una interrupción no planificada derivada de un desastre natural, actos provocados por el terrorismo, accidentes técnicos o problemas ambientales. Ejemplo de este tipo de desastres lo hemos tenido en España, como el incendio del edificio Windsor, o el derrumbe de las Torres Gemelas en EEUU, en ambos casos muchas de las empresas alojadas en estos edificios han tenido que “cerrar”, ya que tras la catástrofe no pudieron continuar con el negocio en otro lugar físico distinto, en cambio, otras empresas pudieron continuar sus procesos de negocio debido a que tenían un Plan de Continuidad del Negocio perfectamente definido y mantenido.

Por ello quiero dar la entrada a la reciente publicada ISO 22301:2012 denominada “Societal security. Business continuity management systems. Requirements” Esta ISO hace referencia a un Sistema de Gestión de Continuidad del Negocio desarrollado por ISO, sustituyendo a partir de este mes de Noviembre al estándar británico BS 25999, por tanto ya no es posible certificarse en BS 25999-2 y todas aquellas empresas certificadas en el estándar británico deberán actualizarse a la ISO 22301 antes de Mayo del 2014.

Alguna de las principales diferencias y mejoras que incorpora la nueva ISO 22301 con respecto a BS 25999 son las siguientes:

• Se tienen en cuenta todas las Partes interesadas, es decir, en el Sistema de Gestión se tiene en cuenta a los Proveedores, Accionistas, Acreedores, Clientes, etc, sustituyendo el término de skateholder de BS 25999.
• La Dirección de la organización deberá estar más comprometida con el Sistema de Gestión, por tanto hay requerimientos específicos para la alta gerencia, estos requerimientos dejarán sus correspondientes evidencias que demuestren su compromiso con el Sistema de Gestión.
• La importancia de designar los recursos necesario y adecuados para el Sistema de Gestión, realizando un análisis de las competencias del personal.
• En el apartado de Concienciación se hace hincapié en no pensar en “A mi no me va a pasar ...”
• Se deben tratar los riesgos adecuadamente mediante el análisis de impacto en el negocio (BIA) y evaluación de riesgos.
• Pensar que continuidad del negocio no solo es tecnología, ya que hay que analizar otro tipo de riesgos como financieros, de mercado, regulatorios, etc.
• El Plan de Continuidad del Negocio no puede ser general o muy detallado.
• Es de suma importancia planificar adecuadamente las pruebas.
• Cumplir y no saltarse las medidas establecidas y nunca olvidarlas.

En cambio, para todas aquellas empresas que no quieran seguir el estándar ISO 22301 pero que se preocupen por la continuidad de su negocio, podemos definir las siguientes fases necesarias para llevar a cabo un adecuado Plan de Continuidad del Negocio:

• Diseñar un plan y establecer una política de Continuidad del Negocio.
• Conocer los procesos de negocio de la organización y realizar un análisis de riesgos.
• Implementar las medidas preventivas necesarias.
• Definir las estrategias de recuperación.
• Desarrollar e implementar el Plan de Continuidad del Negocio.
• Mantener el Plan de Continuidad del Negocio.

Por tanto, aquí dejo la entrada de hoy donde hemos realizado un breve recorrido por la nueva ISO 22301, y donde hemos definido las principales fases que debe seguir una empresa para implantar un Plan de Continuidad del Negocio, cuyo fin no sea la certificación del plan bajo el estándar ISO.