Home Certificación Normas ISO 22301

Guía implementación ISO 22301

Beneficios de la certificación

En los últimos tiempos se ha demostrado que la capacidad de una empresa para gestionar los eventos disruptivos se está convirtiendo en algo fundamental para su supervivencia. La variedad de amenazas que pueden causar interrupciones en el negocio es cada vez mayor. Desde los ciberataques y las pandemias mundiales hasta las catástrofes naturales, una organización necesita un conjunto de herramientas para gestionarse en tiempos inciertos.

En el pasado, la planificación de la continuidad del negocio solía estar reservada a las infraestructuras nacionales críticas y a las grandes empresas. Hoy en día, la continuidad del negocio es una cuestión que afecta a prácticamente todas las organizaciones en algún grado. Un sistema de gestión de la continuidad de la actividad correctamente implantado debe adaptarse al tamaño y la complejidad de la organización, por lo que es adecuado tanto para las PYME como para las grandes empresas.

El objetivo principal de un sistema de gestión de la continuidad del negocio es permitir la mitigación de una interrupción. Dependiendo de la organización, los beneficios que se obtengan servirán para apoyar sus objetivos, ya sea para salvar vidas en un hospital o para reducir el impacto financiero en una empresa manufacturera.

RESISTENCIA VISIBLE

Un sistema de gestión de continuidad de negocio (SGCN) demuestra a los clientes actuales y potenciales que la organización está preparada para hacer frente a las perturbaciones. Esto es especialmente importante en los sectores en los que la interrupción puede tener un impacto significativo en la vida de las personas, así como impactos financieros; incluyendo el gobierno, la salud, las finanzas, la defensa, los servicios sociales.
 
VENTAJA COMPETITIVA

Ser capaz de seguir operando durante o poco después de una interrupción da a una empresa una ventaja competitiva. A corto plazo puede ser capaz de ganar negocios de los competidores que no pueden operar o lo hacen con una capacidad disminuida. A largo plazo, una empresa puede generar beneficios de reputación que atraerán a los clientes, así como beneficiarse de una mayor capacidad financiera.

Además, un sistema de gestión de la continuidad del negocio ayuda a una organización a presentarse a licitaciones o concursos con mayor eficacia.
 
PROTEGER EL VALOR DE LA ORGANIZACIÓN

Un SGCN ayuda a mitigar el impacto negativo de un evento perturbador. En la práctica, esto puede ahorrar a la organización cantidades significativas de dinero, tiempo e impacto en la reputación.

TRANQUILIDAD

El futuro es incierto. Un SGCN eficazmente implantado da a una organización la confianza para seguir adelante sabiendo que puede gestionar una interrupción. Esta tranquilidad se extiende a toda la organización, desde los equipos de operaciones de personal hasta los miembros de la junta directiva.
 
MEJORAR LA CIBERSEGURIDAD Y LA RESISTENCIA ANTE FALLOS INFORMÁTICOS

La ciberseguridad y la planificación de desastres informáticos ocupan un lugar destacado en la agenda de muchas organizaciones. Un plan de continuidad del negocio ayuda a una empresa a gestionar el impacto de la interrupción de las TI. Esto puede ser por una acción maliciosa o por un fallo de la infraestructura. Los criptovirus, los ataques DDoS y los fallos en los centros de datos pueden crear una interrupción profunda y duradera en todas las funciones de una organización.

Las certificaciones de ciberseguridad, como la ISO 27001 y Cyber Essentials, no abordan plenamente los problemas de continuidad en caso de interrupción. La ISO 27001 intenta abordar la continuidad dentro de la propia función de TI, pero no se extiende al resto de la organización. La ISO 22301 proporciona un marco para abordar el impacto organizativo más amplio de un fallo de TI. Como resultado, un sistema de gestión de la continuidad del negocio (ISO 22301) es muy adecuado para ser integrado con un sistema de gestión de la seguridad de la información ISO 27001.

VISIÓN DE ALTO NIVEL

Un Sistema de Gestión de la Continuidad de Negocio funciona con principios similares a los de otros sistemas de gestión. El sistema se basa en el modelo Planificar-Hacer-Verificar-Actuar.

  • Determine las necesidades de la organización y comprenda la razón de ser de los planes de continuidad de la actividad:

    • Lo que es importante para continuar en caso de interrupción

    • ¿Por qué es importante y para quién?

    • ¿Qué nivel de perturbación están dispuestos a aceptar la organización y sus partes interesadas?

  • Establecer un marco para lograr la mitigación de la perturbación. Esto puede incluir:

    • Procesos

    • Capacidades

    • Estructuras de respuesta

  • Comprobar el rendimiento y la eficacia del sistema mediante la supervisión. En la práctica, esto implicará la comprobación de los planes de BC a través de diversos medios.

  • Mejorar el sistema sobre la base de las medidas establecidas, revisar la justificación de los planes de continuidad de la actividad y su adecuación a lo que se ha aplicado.

Uno de los retos prácticos del SGCN es que entra en acción con poca frecuencia. Mientras que los sistemas de gestión de la calidad se implantan en el día a día de la empresa, los sistemas de continuidad de la actividad sólo entran en acción cuando se produce una interrupción. Esto significa que hay que hacer más hincapié en:

  • Pruebas o simulacros del plan de continuidad del negocio.

  • Mantener y actualizar las capacidades organizativas para apoyar la continuidad de la actividad.

Revisiones periódicas del sistema, sus procesos y su razón de ser para garantizar que se mantiene alineado con una organización cambiante.

Principios clave de la continuidad del negocio

La continuidad de la actividad se basa en una serie de principios clave que deben aplicarse sistemáticamente a un sistema de continuidad de la actividad para que sea eficaz.

RESPONSIBILIDAD

La alta dirección y el consejo de administración de una organización son responsables de la continuidad del negocio, y esta responsabilidad debe ser entendida y aceptada. La gestión de la continuidad del negocio debe ser un componente integral de la gestión global de riesgos.

En caso de interrupción, la ausencia de responsabilidades, autoridades y funciones claramente definidas puede hacer que un plan de continuidad de la actividad sea ineficaz.

OBJETIVOS CLAROS

Una organización debe contar con objetivos claros de continuidad de negocio que reflejen la naturaleza de sus actividades y su impacto en las partes interesadas. Esto apoya la priorización y la asignación de recursos al proceso de continuidad de la actividad. Estos objetivos deben definir claramente los niveles de continuidad previstos y los tiempos de continuidad.

EVALUACIÓN DEL IMPACTO Y DEL RIESGO

La norma de continuidad de negocio se diferencia de otras en que se centra en el "qué pasaría si". La capacidad de identificar y planificar los posibles impactos y riesgos para la empresa es la clave de un sistema eficaz de continuidad de la actividad.

COMUNICACIÓN

Las organizaciones deben incluir en sus planes de continuidad del negocio cómo y cuándo se comunicarán dentro de sus organizaciones, con los clientes y con las partes interesadas (como los reguladores o los proveedores).

PRUEBA

El sistema de gestión de la continuidad de negocio debe probarse periódicamente para evaluar su eficacia e introducir los cambios necesarios.

Pensamiento/auditoría basado en el riesgo

Las auditorías son un enfoque sistemático, basado en pruebas, del proceso de evaluación de su Sistema de Gestión de la Continuidad del Negocio. Se realizan interna y externamente para verificar la eficacia del SGCN. Las auditorías son un brillante ejemplo de cómo se adopta el pensamiento basado en el riesgo dentro de la Gestión de la Continuidad del Negocio.

AUDITORÍAS DE PRIMERA PARTE - AUDITORÍAS INTERNAS

Las auditorías internas son una gran oportunidad para aprender dentro de su organización. Proporcionan tiempo para centrarse en un proceso o departamento concreto con el fin de evaluar realmente su rendimiento. El objetivo de una auditoría interna es garantizar el cumplimiento de las políticas, los procedimientos y los procesos determinados por usted, la organización, y confirmar la conformidad con los requisitos de la norma ISO 22301.

PLANIFICACIÓN DE LA AUDITORÍA

Elaborar un calendario de auditorías puede parecer un ejercicio complicado. Dependiendo de la escala y la complejidad de sus operaciones, puede programar auditorías internas desde cada mes hasta una vez al año. Hay más detalles sobre esto en la sección 9 - evaluación del rendimiento.

MENTALIDAD BASADA EN EL RIESGO

La mejor manera de considerar la frecuencia de las auditorías es examinar los riesgos que conlleva el proceso o el área de negocio que se va a auditar. Cualquier proceso de alto riesgo, ya sea porque tiene un alto potencial para salir mal o porque las consecuencias serían graves si saliera mal, debe ser auditado con más frecuencia que un proceso de bajo riesgo.
La forma de evaluar el riesgo depende exclusivamente de usted. La norma ISO 22301 no dicta ningún método concreto de evaluación o gestión de riesgos.

2ª PARTE - AUDITORÍAS EXTERNAS

Las auditorías de segunda parte suelen ser llevadas a cabo por los clientes o por otros en su nombre, o usted puede realizarlas a sus proveedores externos. Las auditorías de segunda parte también pueden ser realizadas por los reguladores o cualquier otra parte externa que tenga un interés formal en una organización.

Puede que tenga poco control sobre el momento y la frecuencia de estas auditorías, pero el establecimiento de su propio SGCN le asegurará que está bien preparado para su llegada.

3ª PARTE - AUDITORÍAS DE CERTIFICACIÓN

Las auditorías de terceros las realizan organismos externos, normalmente organismos de certificación acreditados por UKAS, como NQA.
El organismo de certificación evaluará la conformidad con la norma ISO 22301:2019. Esto implica que un representante del organismo de certificación visite la organización y evalúe el sistema pertinente y sus procesos. El mantenimiento de la certificación también implica reevaluaciones periódicas.

La certificación demuestra a los clientes su compromiso con la calidad.

LA CERTIFICACIÓN GARANTIZA

  • Una evaluación periódica para controlar y mejorar continuamente los procesos.

  • Credibilidad de que el sistema puede alcanzar los resultados previstos.

  • Una reducción del riesgo y la incertidumbre y aumentar las oportunidades de mercado.

  • Coherencia en los resultados diseñados para satisfacer las expectativas de las partes interesadas.

Pensamiento/auditorías basadas en procesos

Un proceso es la transformación de entradas en salidas, que tiene lugar como una serie de pasos o actividades que dan como resultado el objetivo o los objetivos previstos. A menudo, el resultado de un proceso se convierte en una entrada para otro proceso posterior. Muy pocos procesos funcionan de forma aislada.

El pensamiento basado en procesos es fundamental para la planificación de la continuidad de la actividad. Para lograr los objetivos de continuidad de la actividad, una organización tiene que crear planes de continuidad de la actividad que se basen en procesos. Abarcan múltiples procesos y funciones organizativas.

En la práctica, esto significa que un sistema de continuidad de negocio debe considerar el proceso de extremo a extremo a través de la organización e incorporar las funciones de apoyo pertinentes para lograr sus objetivos.

Un sistema de continuidad de la actividad que se aplique sólo a un departamento no es probable que logre objetivos de continuidad válidos. El siguiente diagrama ilustra cómo una organización podría considerar la priorización de sus objetivos de continuidad de negocio a través de su estrategia de continuidad de negocio. En el ejemplo siguiente, una organización que suministra equipos sanitarios críticos da prioridad a su actividad de servicio y a las funciones de apoyo clave después de un acontecimiento perturbador importante.

Las 10 cláusulas de la norma ISO 22301:2019

La norma ISO 22301 se compone de 10 secciones, conocidas como cláusulas. Al igual que con la mayoría de las demás normas de sistemas de gestión ISO, los requisitos de la norma ISO 22301 que deben cumplirse se especifican en las cláusulas 4.0 - 10.0. Al igual que en la norma ISO 27001, la organización debe cumplir con todos los requisitos de las cláusulas 4.0 - 10.0; no puede declarar que una o más cláusulas no le son aplicables.

El diagrama proporciona un flujo ilustrativo de los conceptos de la norma:

Sección 1: Alcance

La sección de alcance de la norma ISO 22301 establece:

  • el objetivo de la norma

  • los tipos de organizaciones a los que se aplica

  • las secciones de la norma (denominadas cláusulas) que contienen los requisitos que debe cumplir una organización para que se certifique que es "conforme" con ella (es decir, que cumple).

La norma ISO 22301 está diseñada para ser aplicable a cualquier tipo de organización. Independientemente del tamaño, la complejidad, el sector industrial, la finalidad o la madurez, cualquier organización puede implantar y mantener un SGC que cumpla la norma ISO 22301.

Sección 2: Referencias normativas

En las normas ISO, la sección de referencias normativas enumera cualquier otra norma que contenga información adicional que sea relevante para determinar si una organización cumple o no con la norma en cuestión. En la norma ISO 22301 solo se enumera un documento: ISO 22300, Security and Resilience - Vocabulary.
 
Algunos de los términos utilizados o de los requisitos detallados en la norma ISO 22301 se explican con más detalle en la norma ISO 22300. La referencia a la norma ISO 22300 es muy útil para ayudarle a entender mejor un requisito o a identificar la mejor manera de cumplirlo.

CONSEJO - Los auditores externos esperarán que usted haya tenido en cuenta la información contenida en la norma ISO 22300 en el desarrollo e implementación de su SGCN.

Sección 3: Términos y definiciones

En la norma ISO 22301 se recogen 31 términos y definiciones y se hace referencia a la versión más actual de la norma ISO 22300 Security and Resilience -Vocabulary. La versión actual de este documento contiene 277 definiciones de términos que se utilizan en la norma ISO 22301.

Además de los términos explicados en la sección "Principios clave y terminología" anterior, los términos más importantes utilizados en la norma ISO 22301 son:

Continuidad del negocio: capacidad de una organización para continuar con la entrega de productos o servicios a niveles predefinidos aceptables tras una interrupción.

Gestión de la continuidad del negocio: proceso de gestión integral que identifica las amenazas potenciales para una organización y el impacto que esas amenazas, si se materializan, pueden causar en las operaciones del negocio, y proporciona un marco para construir la resistencia de la organización con la capacidad de una respuesta eficaz que salvaguarde los intereses de las partes interesadas clave, la reputación, la marca y las actividades de creación de valor.

Plan de continuidad del negocio: procedimientos documentados que guían a una organización para responder, recuperar, reanudar y restablecer un nivel de funcionamiento predefinido tras una interrupción.

Análisis del impacto en el negocio: proceso de análisis de las actividades y del efecto que puede tener en ellas una interrupción del negocio.

Equipo de gestión de crisis: grupo de funcionalidad individual responsable de dirigir el desarrollo y la ejecución del plan de respuesta y continuidad operativa, de declarar una interrupción operativa o una situación de crisis de emergencia, y de proporcionar dirección durante el proceso de recuperación, tanto antes como después del incidente perturbador.

Interrupción: acontecimiento, ya sea previsto (por ejemplo, una huelga laboral o un huracán) o imprevisto (por ejemplo, un apagón o un terremoto), que causa una desviación negativa no planificada de la entrega prevista de productos o servicios de acuerdo con los objetivos de una organización.

Invocación: acto por el que se declara la necesidad de poner en marcha los mecanismos de continuidad de la actividad de una organización para seguir suministrando productos o servicios clave.

Periodo máximo de interrupción tolerable: tiempo que tardaría en ser inaceptable el impacto adverso que puede surgir como resultado de no suministrar un producto/servicio o realizar una actividad.

Objetivo mínimo de continuidad del negocio: nivel mínimo de servicios y/o productos que es aceptable para que una organización logre sus objetivos de negocio durante una interrupción.

Objetivo del punto de recuperación: punto hasta el que se restablece la información utilizada por una actividad para que ésta pueda funcionar al reanudarse.

Objetivo de tiempo de recuperación: periodo de tiempo tras un incidente en el que se reanuda un producto o servicio o una actividad o se recuperan los recursos.

Cuando redacte la documentación de su Sistema de Gestión de la Continuidad de Negocio, no es necesario que utilice estos términos exactos. Sin embargo, ayuda a aclarar el significado y la intención si puede definir los términos que ha utilizado. Puede ser útil incluir un glosario en la documentación del sistema.

Sección 4: Contexto de la organización

El propósito de un SGCN es permitir que una organización responda eficazmente a un incidente perturbador y continúe con la entrega de productos y servicios clave a un nivel predefinido, hasta la reanudación de las operaciones normales.

CONTEXTO INTERNO

A continuación se exponen ejemplos de las áreas que deben tenerse en cuenta a la hora de evaluar las cuestiones internas que pueden influir en el SGCN:

  • Madurez: ¿es usted una empresa emergente ágil con un lienzo en blanco sobre el que trabajar, o una institución de más de 30 años con procesos bien establecidos y planes de contingencia?

  • Cultura organizativa: ¿su organización es relajada en cuanto a cómo, cuándo y dónde trabaja la gente, o extremadamente reglamentada?

  • Dependencias: ¿cuáles son las dependencias internas que necesita para responder eficazmente al incidente perturbador (servicios informáticos, energía, equipos)?

  • Gestión: ¿existen canales y procesos de comunicación claros desde los principales responsables de la organización hasta el resto de la misma?

  • Tamaño de los recursos: ¿trabaja con una cantidad limitada de recursos, personal y equipos?

  • Madurez de los recursos: ¿los recursos disponibles (empleados/contratistas) tienen conocimientos, están totalmente formados, son fiables y constantes, o el personal es inexperto y cambia constantemente?

  • Coherencia: ¿tiene procesos uniformes en toda la organización o una multitud de prácticas operativas diferentes con poca coherencia?

  • Equipo: ¿necesita un equipo especial?

CONTEXTO EXTERNO

Los siguientes son ejemplos de las áreas que pueden ser consideradas al evaluar las cuestiones externas que pueden tener relación con el SGCN:

  • Propietario: ¿necesita aprobación para mejorar la seguridad física?

  • Proveedores: ¿son sus proveedores capaces de suministrarle a tiempo?

  • Organismos reguladores/de ejecución: ¿hay algún requisito normativo o reglamentario que deba tener en cuenta al desarrollar su SGCN? ¿Necesita informarles de que ha recurrido a sus planes de continuidad de negocio?

  • Economía/política: ¿las fluctuaciones monetarias afectan a su organización?

  • Dependencias: ¿cuáles son las dependencias externas que necesita para responder eficazmente al incidente perturbador (servicios informáticos, suministros, energía, equipos)?

  • Consideraciones medioambientales: ¿hay algún problema medioambiental que pueda afectar a su SGC?

  • Clientes: ¿qué impacto tendrá la invocación de su SGCN en sus clientes? ¿Necesita informarles de que ha invocado su plan de continuidad de negocio?

  • Accionistas: ¿están muy preocupados por la capacidad de su organización para responder a un incidente perturbador?

PARTES INTERESADAS

Una parte interesada es cualquier persona que pueda verse afectada por la invocación de su plan de continuidad de negocio Las partes interesadas quedarán claras a través del proceso de análisis exhaustivo de los problemas internos y externos. Es probable que incluya a los accionistas, los propietarios, los reguladores, los clientes, los empleados, los proveedores y puede extenderse al público en general y al medio ambiente, dependiendo de la naturaleza de su empresa.

No hay que tratar de entender o satisfacer todas sus necesidades, pero sí hay que determinar cuáles de sus necesidades y expectativas son relevantes para su SGCN.

LEGAL Y REGLAMENTARIO

Identifique y mantenga al día cualquier requisito legal y reglamentario relacionado con la continuidad de sus productos y servicios, actividades y recursos al implantar y mantener su SGCN.

  • Documentación: documente sus requisitos legales, reglamentarios y de otro tipo, así como su enfoque para cumplirlos.

ALCANCE DEL SISTEMA DE GESTIÓN

Para cumplir con la norma ISO 22301, debe documentar el alcance de su SGCN. Los alcances documentados suelen describir:

  • los límites del lugar o lugares físicos incluidos (o no incluidos)

  • los grupos de empleados internos y externos incluidos (o no incluidos)

  • los procesos, actividades, productos o servicios internos y externos incluidos (o no incluidos)

  • interfaces clave en los límites del ámbito de aplicación.

Si desea priorizar los recursos mediante la creación de un SGCN que no cubra toda su organización o sus actividades, la selección de un alcance limitado a la gestión de los intereses de las partes interesadas clave es un enfoque pragmático. Para ello, se pueden incluir sólo centros, activos, procesos, productos y unidades de negocio o departamentos específicos.

CONSEJO - Documente o mantenga un archivo de toda la información recopilada en su análisis del contexto de su organización y de las partes interesadas, como por ejemplo

  • Discusiones con un representante de alto nivel de la organización.

  • Actas de reuniones o planes de negocio

  • Un documento específico que identifique los problemas internos/externos y las partes interesadas, así como sus necesidades y expectativas, por ejemplo, un análisis DAFO, un estudio PESTLE o una evaluación de riesgos empresariales de alto nivel.

Sección 5: Liderazgo

COMPROMISO DE LIDERAZGO

En este contexto, el liderazgo significa la participación activa en el establecimiento de la dirección del SGC, la promoción de su aplicación, la puesta de relieve de su importancia y la disponibilidad de los recursos adecuados.

  • garantizar que la política y los objetivos de continuidad de la actividad estén establecidos y alineados con la dirección estratégica de la organización.

  • garantizar la integración de los requisitos del SGCN en las prácticas empresariales de la organización.

  • garantizar que el SGCN cuente con los recursos adecuados.

  • comunicar la importancia de la continuidad de la actividad y el cumplimiento de los requisitos del SGCN.

  • Garantizar que el SGCN logre los resultados previstos.

  • dirigir y apoyar a las personas para que contribuyan a la eficacia del SGCN.

  • promover la mejora continua.

  • Apoyar otras funciones directivas para demostrar su liderazgo y compromiso.

La norma ISO 22301 concede gran importancia al compromiso activo de la alta dirección en el SGC, partiendo de la base de que el compromiso de la alta dirección es crucial para garantizar la implantación efectiva, el mantenimiento y la mejora continua de un SGC eficaz por parte de todo el grupo de empleados.

POLÍTICA DE CONTINUIDAD DE NEGOCIO

Una responsabilidad vital de la dirección es establecer y documentar una Política de Continuidad de Negocio que esté alineada con la dirección estratégica de la organización. Los requisitos del SGCN deben integrarse en los procesos empresariales y contar con los recursos adecuados.

La política deberá:

  • ser apropiada para el propósito de la organización

  • proporcionar un marco para establecer los objetivos de continuidad de la actividad

  • incluir el compromiso de cumplir los requisitos aplicables

  • incluir el compromiso de mejorar continuamente el SGC

  • comunicarse con la organización

  • estar a disposición de las partes interesadas, según proceda.

La Política de Continuidad de Negocio puede referirse a, o incluir sub-políticas que cubran, procesos y actividades clave que son importantes para la provisión continua de productos y servicios clave en caso de un incidente disruptivo y la recuperación de las operaciones normales. Para demostrar la importancia de la Política de Continuidad de Negocio, ésta debe ser autorizada por la Alta Dirección.

CONSEJO - Para asegurarse de que su política de continuidad de negocio está bien comunicada y disponible para las partes interesadas, es una buena idea:

  • incluirla en los paquetes de iniciación y en las presentaciones para los nuevos empleados y contratistas

  • coloque la declaración clave en los tablones de anuncios internos, en las intranets y en el sitio web de su organización.

  • hacer que su cumplimiento y/o apoyo sea un requisito contractual para los empleados, contratistas y proveedores críticos.

FUNCIONES Y RESPONSABILIDADES

Se establecerán, asignarán y comunicarán dentro de la organización las funciones y responsabilidades en materia de continuidad de las actividades.

Se asignará la responsabilidad de:

  • garantizar que el SGCN se ajusta a los requisitos de la norma

  • informar sobre el rendimiento del SGCN a la alta dirección.

Para que la continuidad de la actividad forme parte de las actividades cotidianas, hay que definir, comprender y comunicar las responsabilidades y obligaciones de todo el personal en materia de continuidad de la actividad.

DEMOSTRAR EL LIDERAZGO A UN AUDITOR

La alta dirección es el grupo de personas que establecen la dirección estratégica de una organización y aprueban las asignaciones de recursos a la organización o área de negocio dentro del ámbito de su SGCN. Dependiendo del tamaño y de cómo esté estructurada su organización, estas personas pueden ser o no el equipo directivo del día a día.

Un auditor suele poner a prueba el compromiso de liderazgo entrevistando a uno o más miembros de su alta dirección y evaluando su nivel de implicación y participación en el:

  • evaluación de riesgos y oportunidades

  • establecimiento y comunicación de políticas

  • fijación y comunicación de objetivos

  • revisión y comunicación del rendimiento del sistema

  • Asignación de recursos, obligaciones y responsabilidades adecuadas.

SUGERENCIA - Antes de su auditoría externa, identifique quién de su alta dirección se reunirá con el auditor externo y prepárelo para la entrevista con un repaso de las preguntas que probablemente le harán.

Sección 6: Planificación

Al planificar su SGCN, una organización debe tener en cuenta los riesgos y oportunidades identificados al determinar el contexto de la organización y el alcance del SGCN. La organización debe determinar qué riesgos y oportunidades deben abordarse para:

  • garantizar que el SGCN pueda alcanzar los resultados previstos

  • prevenir o reducir los efectos no deseados

  • conseguir una mejora continua

ABORDAR EL RIESGO Y LAS OPORTUNIDADES

Una organización debe establecer una metodología para evaluar los riesgos y las oportunidades que repercuten en la capacidad del SGCN para lograr sus resultados previstos y determinar la acción necesaria para abordar el riesgo y las oportunidades.

Una organización deberá:

  • identificar las acciones para abordar los riesgos y las oportunidades

  • aplicar las acciones identificadas

  • evaluar la eficacia de estas acciones.

OBJETIVOS DE CONTINUIDAD DE LA ACTIVIDAD (Y PLANIFICACIÓN PARA ALCANZARLOS)

Los objetos de continuidad de la actividad deben establecerse en las funciones y niveles pertinentes de una organización; los objetivos pueden ser a nivel organizativo o departamental.

Los objetivos deben ser:

  • Coherentes con la política de continuidad de las actividades.

  • Ser medibles.

  • Tener en cuenta los requisitos aplicables.

  • Ser comunicados.

  • Se supervisa y se actualiza según proceda.

Los objetivos deben ser comunicados a las personas pertinentes dentro de la organización; deben ser supervisados y actualizados según sea necesario.

LOGRAR LOS OBJETIVOS

Una organización debe establecer un plan para alcanzar sus objetivos; el plan debe tener en cuenta:

  • Lo que se debe hacer.

  • Los recursos necesarios.

  • Quién es responsable.

  • Fecha de consecución.

  • Cómo evaluar los resultados.

CAMBIOS EN EL SGCN

Es probable que con el tiempo los procesos, actividades, productos y servicios de una organización cambien. Como resultado, tendrá que hacer cambios en su SGCN, los cambios deben llevarse a cabo de manera planificada y deben tener en cuenta:

  • El objetivo del cambio y sus posibles consecuencias.

  • la integridad del SGCN.

  • Disponibilidad de recursos.

  • Reasignación de responsabilidades y autoridades.

Sección 7: Apoyo

La cláusula 7 se refiere a los recursos. Se refiere tanto a las personas, la infraestructura y el entorno como a los recursos físicos, materiales, herramientas, etc. También hay un enfoque renovado en el conocimiento como un recurso importante dentro de su organización. A la hora de planificar los objetivos de continuidad de la actividad, una de las principales consideraciones será la capacidad actual de sus recursos, así como los que pueda necesitar de proveedores o socios externos.

RECURSOS

Para implantar y mantener un SGCN eficaz, una organización debe identificar y proporcionar los recursos de apoyo necesarios para su funcionamiento, mantenimiento y mejora continua.
Los recursos deben ser:

  • Capaces: Si el recurso es un equipo o una infraestructura; y

  • Competentes: Si son personas; y

  • Suficientes: Si son suministros.

COMPETENCIA

La implantación de un SGCN eficaz depende en gran medida de los conocimientos y las capacidades de sus empleados, proveedores y contratistas. Para tener la certeza de contar con una base de conocimientos y habilidades adecuada, es necesario:

  • definir los conocimientos y las competencias necesarias

  • determinar quién debe tener los conocimientos y las habilidades

  • verificar que las personas adecuadas tienen los conocimientos y las habilidades correctas.

Su auditor esperará que tenga documentos que detallen sus requisitos de conocimientos y habilidades. Cuando crea que se cumplen los requisitos, deberá apoyarse en documentos como certificados de formación, registros de asistencia a cursos o evaluaciones internas de competencia.

CONSEJO - La mayoría de las organizaciones que ya utilizan herramientas como las matrices de formación/habilidades, las valoraciones o las evaluaciones de los proveedores pueden satisfacer el requisito de los registros de competencias ampliando las áreas cubiertas para incluir la continuidad del negocio.

CONCIENCIACIÓN

Además de garantizar la competencia específica del personal clave en relación con la continuidad de la actividad, el grupo más amplio de empleados, proveedores y contratistas deberá conocer los elementos básicos de su SGCN. Esto es fundamental para establecer una cultura de apoyo dentro de la organización.

Todo el personal, los proveedores y los contratistas deben ser conscientes de lo siguiente:

  • Que tiene un SGCN y por qué lo tiene.

  • Que tiene una Política de Continuidad de Negocio y qué elementos concretos de la misma son relevantes para ellos.

  • Cómo pueden contribuir a que su organización responda a una situación adversa y mantenga la continuidad de los productos o servicios en un nivel predefinido.

  • Qué políticas y procedimientos les afectan y qué consecuencias tiene su incumplimiento.

SUGERENCIA - La comunicación de esta información puede realizarse normalmente a través de los procesos y documentos existentes, como los cursos de iniciación del personal, los contratos de trabajo, las charlas sobre herramientas, los acuerdos con los proveedores, las reuniones informativas para los empleados o las actualizaciones.

COMUNICACIÓN

Para que los procesos de su SGC funcionen eficazmente, tendrá que asegurarse de que las actividades de comunicación están bien planificadas y gestionadas.

Una organización deberá establecer:

  • Lo que hay que comunicar.

  • Cuando hay que comunicarlo.

  • A quién hay que comunicarlo.

  • Cuáles son los procesos de comunicación.

  • Quién es responsable de la comunicación.

CONSEJO - Si sus requisitos de comunicación están bien definidos en sus procesos, políticas y procedimientos, no necesita hacer nada más para satisfacer este requisito. Si no lo están, debería considerar la posibilidad de documentar sus actividades clave de comunicación en forma de tabla o procedimiento que incluya los epígrafes detallados anteriormente. Recuerde que el contenido de estos documentos también debe ser comunicado.

INFORMACIÓN DOCUMENTADA

Para que sea útil, la información documentada que utiliza para implantar, mantener y mejorar su SGCN debe

  • Ser preciso.

  • Ser clara, inequívoca y comprensible para las personas que la utilizan regular u ocasionalmente.

  • Apoyar el cumplimiento de los requisitos legales y gestionar los riesgos y problemas internos y externos que afectan a la capacidad de su SGC para lograr los resultados previstos.

Para que su información documentada satisfaga estos requisitos, deberá contar con procesos que garanticen que:

  • La información documentada es revisada por las personas adecuadas antes de su difusión general.

  • La información documentada está disponible donde y cuando se requiere y es adecuada para su uso.

  • El acceso a la información documentada se controla para que no pueda ser modificada accidentalmente, corrompida, borrada o accedida por personas a las que no corresponde.

  • Que la información se elimine de forma segura o se devuelva a su propietario cuando haya que hacerlo.

  • Puede hacer un seguimiento de los cambios en la información para garantizar el control del proceso.

La fuente de su información documentada puede ser interna o externa, por lo que sus procesos de control deben gestionar la información documentada de ambas fuentes.

SUGERENCIA - Las organizaciones que tienen un buen control de los documentos suelen contar con uno o más de los siguientes elementos:

  • Una sola persona o un pequeño equipo responsable de garantizar que los documentos nuevos/modificados se revisan antes de su publicación, se almacenan en el lugar adecuado, se retiran de la circulación cuando se sustituyen y se mantiene un registro de cambios.

  • Un sistema de gestión de documentos electrónicos que contiene flujos de trabajo y controles automáticos.

  • Sólidos procesos de copia de seguridad de datos electrónicos y de archivo/almacenamiento de archivos en papel.

  • Gran conocimiento por parte de los empleados de los requisitos de control de documentos, mantenimiento de registros y acceso/conservación de la información.

Sección 8: Funcionamiento

Una vez realizadas todas las actividades de planificación y evaluación de riesgos exigidas por la norma, pasamos a la fase de implantación y funcionamiento. Aquí es donde se implantan y controlan los procesos y acciones identificados para hacer frente a los riesgos y oportunidades.

Para poner en marcha procesos eficaces son cruciales las siguientes prácticas:

  1. Los procesos se crean adaptando o formalizando las actividades "habituales" de una organización.

  2. Identificación sistemática de los riesgos de continuidad de la actividad pertinentes para cada producto y servicio.

  3. Definición y comunicación claras del conjunto de actividades necesarias para gestionar los riesgos de continuidad de negocio asociados.

  4. Asignación clara de las responsabilidades para llevar a cabo las actividades relacionadas.

  5. Asignación adecuada de recursos para garantizar que las actividades relacionadas puedan llevarse a cabo como y cuando sea necesario.

  6. Evaluación rutinaria de la coherencia con la que se sigue cada proceso y su eficacia en la gestión de los riesgos de continuidad de la actividad.

SUGERENCIA - Para cada proceso, designe a una persona como responsable de garantizar que se realicen los pasos 2 a 6. A esta persona se la suele denominar "propietario del proceso".

ANÁLISIS DE IMPACTO EMPRESARIAL Y EVALUACIÓN DE RIESGOS

Una organización debe implantar y mantener un proceso para analizar el impacto empresarial y evaluar el riesgo de interrupción de sus actividades clave. Los resultados del análisis del impacto en el negocio y de la evaluación del riesgo permitirán a una organización determinar la estrategia y la solución adecuadas necesarias para responder a un incidente perturbador.

ANÁLISIS DEL IMPACTO EMPRESARIAL

El objetivo de realizar un análisis de impacto en el negocio es permitir a una organización identificar sus requisitos y prioridades de continuidad del negocio. El proceso para llevar a cabo un análisis de impacto en el negocio deberá:

  • Definir los tipos de impacto y los criterios pertinentes para el contexto de la organización.

  • Identificar y priorizar las actividades clave y los productos y servicios necesarios para realizarlas.

  • Evaluar el impacto en el tiempo de la interrupción de las actividades.

  • Identificar el momento en que la no reanudación de estas actividades tendría un impacto perjudicial para la organización.

  • Identificar el momento en el que la reanudación de estas actividades debe volver a un nivel aceptable.

  • Identificar los recursos necesarios para apoyar las actividades prioritarias

  • Determinar las dependencias internas y externas necesarias para apoyar las actividades prioritarias.

EVALUACIÓN DE RIESGOS

El proceso de evaluación de riesgos permitirá a una organización determinar la probabilidad de que se produzca un incidente. A continuación, ayuda a identificar las acciones necesarias para reducir la probabilidad y el impacto en las actividades prioritarias de la organización en caso de incidente perturbador. Las evaluaciones de riesgos deben realizarse a intervalos planificados o cuando se produzcan cambios significativos en la organización o en el contexto en el que opera.

El proceso de evaluación de riesgos deberá:

  • Identificar los riesgos para las actividades prioritarias de la organización y sus recursos necesarios

  • Analizar y evaluar el riesgo identificado

  • Determinar los riesgos que requieren tratamiento.

ESTRATEGIA Y SOLUCIONES DE CONTINUIDAD DE LA ACTIVIDAD

Los resultados del análisis del impacto de la actividad y de la evaluación de riesgos deben utilizarse para determinar la estrategia correcta de continuidad de la actividad e identificar los recursos necesarios para responder y gestionar el incidente de continuidad de la actividad hasta el retorno a la normalidad.

Selección de estrategias y soluciones:

La selección de la estrategia y las soluciones de continuidad de negocio de una organización se basará en:

  • La capacidad de cumplir los requisitos para continuar y recuperar las actividades prioritarias a una capacidad predeterminada y en un plazo acordado.

  • Reducir la probabilidad y el periodo de interrupción.

  • Los recursos necesarios.

  • La capacidad de riesgo de la organización

  • Costes y beneficios.

NECESIDADES DE RECURSOS

A la hora de determinar los recursos necesarios para la implantación de su solución de continuidad de negocio, la organización deberá tener en cuenta los recursos internos y externos necesarios.

Como mínimo los recursos deben incluir:

  • Personal.

  • Información y datos.

  • Infraestructura y servicios de apoyo.

  • Equipos y consumibles.

  • Sistemas informáticos y de comunicación.

  • Transporte y logística

  • Finanzas.

  • Socios y proveedores.

PLANES Y PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIO

Basándose en los resultados de las estrategias y soluciones de continuidad de negocio seleccionadas, una organización debe establecer una estructura de respuesta e implementar planes y procedimientos para gestionar la organización durante un incidente perturbador que requiera la activación de sus soluciones de continuidad de negocio.

Los procedimientos deberán:

  • Identificar las medidas inmediatas adoptadas durante una interrupción

  • Ser capaces de adaptarse a los cambios en las condiciones internas y externas como consecuencia de las perturbaciones

  • Centrarse en el impacto de los incidentes que podrían provocar una interrupción.

  • Minimizar el impacto de las perturbaciones

  • Asignar funciones y responsabilidades para las tareas dentro de ellas.

ESTRUCTURA DE RESPUESTA

La estructura de respuesta debe consistir en uno o más equipos (equipo(s) de gestión de crisis) responsables de responder y gestionar las interrupciones. Las funciones y responsabilidades de cada equipo deben estar claramente definidas, los equipos deben ser competentes para evaluar el impacto de la perturbación y aplicar la respuesta de continuidad de negocio adecuada. La estructura de respuesta debe incluir procedimientos de comunicación con las partes interesadas internas y externas, las autoridades y los medios de comunicación.

PLANES DE CONTINUIDAD DE NEGOCIO

Se elaborarán y mantendrán planes y procedimientos documentados de continuidad de la actividad que proporcionen orientación e información para que los equipos puedan responder a un incidente perturbador y recuperar el funcionamiento normal. Los planes deberán estar fácilmente disponibles donde y cuando sea necesario.
Los planes de continuidad de negocio deberán contener colectivamente:

  • Detalles de las medidas que tomará cada equipo para continuar o recuperar las actividades prioritarias, supervisar el impacto de la interrupción y la respuesta de las organizaciones.

  • Referencia a los umbrales y procesos predefinidos para activar la respuesta.

  • Procedimientos para permitir la entrega de productos y servicios a una capacidad acordada

  • Detalles para gestionar las consecuencias inmediatas de una perturbación teniendo en cuenta el bienestar de las personas, la prevención de nuevas perturbaciones en las actividades prioritarias y el impacto en el medio ambiente.

Cada plan deberá:

  • Indicar la finalidad, el alcance y los objetivos.

  • Las funciones y responsabilidades del equipo que aplicará el plan.

  • Identificar las acciones para aplicar las soluciones.

  • Contener la información necesaria para activar, operar, coordinar y comunicar las acciones del equipo

  • Identificar las dependencias internas y externas necesarias.

  • Identificar los recursos necesarios.

  • Incluir requisitos de información.

  • Incluir un proceso de renuncia.

RECUPERACIÓN

Una organización debe tener procesos documentados para volver a las operaciones normales después de un incidente de continuidad del negocio.

PROGRAMA DE EJERCICIOS

Para garantizar que sus estrategias, soluciones y planes de continuidad de la actividad siguen siendo válidos, una organización debe establecer un programa de ejercicios para probar la eficacia de sus disposiciones de continuidad de la actividad. No es necesario que una organización pruebe la totalidad de sus disposiciones de continuidad de la actividad durante cada ejercicio.

Los exámenes son para:

  • Verificar la coherencia con sus objetivos de continuidad de la actividad.

  • Basarse en escenarios adecuados con fines y objetivos claramente definidos.

  • Desarrollar el trabajo en equipo y la competencia de los equipos de continuidad de la actividad y de quienes tienen funciones que desempeñar durante una interrupción.

  • Validar sus estrategias, soluciones y planes de continuidad empresarial.

  • Elaborar informes posteriores al ejercicio que contengan resultados, recomendaciones y acciones de mejora.

  • Realizar a intervalos planificados o cuando se produzcan cambios significativos en la organización o en el contexto en el que opera.

EVALUACIÓN DE LA DOCUMENTACIÓN Y LAS CAPACIDADES DE CONTINUIDAD DE NEGOCIO

Una organización debe evaluar la adecuación y eficacia de su análisis de impacto en el negocio, evaluación de riesgos, estrategias, soluciones, planes y procedimientos a intervalos planificados, después de un incidente o invocación y cuando se produzcan cambios significativos.

Sección 9: Evaluación del rendimiento

SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

Una organización necesita evaluar el rendimiento y la eficacia de su SGCN para asegurarse de que puede alcanzar los resultados previstos. Para ello, debe determinar qué es lo que hay que supervisar y medir, los métodos de supervisión y medición y cómo se evaluarán los resultados.

Se planificarán las ocasiones en las que se llevará a cabo la actividad de seguimiento y medición, y se identificará y seleccionará al personal encargado de la actividad de seguimiento y medición teniendo en cuenta su competencia e imparcialidad. Deberán conservarse las pruebas adecuadas de la actividad de seguimiento y medición y los resultados de la actividad de seguimiento y medición.

AUDITORÍA INTERNA

El objetivo de las auditorías internas es confirmar que el SGCN se ha implantado eficazmente e identificar cualquier debilidad y oportunidad de mejora.

Las auditorías internas deben comprobar:

  • Si el SGCN satisface las necesidades de la organización.

  • Cumple los requisitos de la norma ISO 22301:2019.

  • La coherencia con la que se aplican los procesos y procedimientos.

  • Si los procesos y procedimientos logran los resultados previstos.

PROGRAMA DE AUDITORÍAS

Una organización debe realizar auditorías internas a intervalos planificados. El programa de auditoría deberá:

  • Tener en cuenta la importancia de los procesos en cuestión y los resultados de las auditorías anteriores.

  • Definir los criterios y el alcance de cada auditoría.

  • Seleccionar a los auditores y realizar las auditorías para garantizar la objetividad e imparcialidad del proceso de auditoría.

  • Garantizar que los resultados de las auditorías se comuniquen a los responsables correspondientes.

  • Conservar pruebas documentadas de la aplicación del programa de auditoría y de los resultados de la misma

  • Garantizar que se adopten sin demora las medidas correctoras necesarias para subsanar las no conformidades y sus causas.

REVISIÓN POR LA DIRECCIÓN

La alta dirección debe revisar el SGCn de la organización a intervalos planificados para evaluar su adecuación, conveniencia y eficacia para satisfacer las necesidades de la organización.

Las entradas y salidas de las reuniones de revisión de la gestión deben cumplir los requisitos de la cláusula 9.3 de la norma. Los resultados incluirán decisiones relacionadas con las oportunidades de mejora continua y cualquier cambio necesario para mejorar la eficiencia y la eficacia del SGCN.

Una organización debe conservar la información documentada como prueba de los resultados de las revisiones de la gestión y comunicar los resultados a las partes interesadas pertinentes.

Sección 10: Mejora

El objetivo principal de la implantación de un SGCN es garantizar que una organización pueda responder a un incidente perturbador de manera oportuna y continuar con la entrega de sus productos y servicios clave a un nivel predefinido hasta que se pueda afectar el retorno a las operaciones normales.
 
NO CONFORMIDAD Y ACCIÓN CORRECTIVA

Las organizaciones deben determinar las oportunidades de mejora e implementar acciones para lograr los resultados previstos de su SGCN. Las organizaciones deben reaccionar ante las no conformidades y tomar medidas para controlar y corregir las no conformidades y hacer frente a las consecuencias.

ANÁLISIS DE LA CAUSA RAÍZ

Las organizaciones deben investigar las no conformidades para:

  • Establecer si la disconformidad existe en otro lugar.

  • Identificar la causa raíz de la no conformidad.

  • Identificar cualquier acción correctiva necesaria para evitar que se repita la no conformidad.

  • Identificar los cambios necesarios en el SGCN.

Cualquier acción correctiva identificada para abordar las no conformidades debe aplicarse sin demora indebida. La acción correctiva implementada debe ser revisada para determinar su efectividad.

Saque el máximo partido a su sistema de gestión

Principales consejos para implantar con éxito un SGCN

  1. Comience con el "¿Por qué?". Asegúrese de que las razones para implantar un SGCN son claras y están en consonancia con su dirección estratégica; de lo contrario, corre el riesgo de no obtener la aceptación crítica de la alta dirección.

  2. A continuación, considere el "¿Para qué?". Implantar y mantener un SGCN requiere un compromiso importante, así que asegúrese de que su alcance es lo suficientemente amplio como para abarcar la información crítica que hay que proteger, pero no es tan amplio como para no disponer de recursos suficientes para implantarlo y mantenerlo.

  3. Consiga que todas las partes interesadas clave participen en el momento adecuado. La alta dirección para el establecimiento del contexto, los requisitos, la política y los objetivos; los directivos y empleados con valiosos conocimientos para las evaluaciones de riesgos, el diseño de procesos y la redacción de procedimientos.

  4. Comuníquese ampliamente a lo largo del proceso con todas las partes interesadas. Hágales saber lo que está haciendo, por qué lo está haciendo, cómo piensa hacerlo y cuál será su participación. Proporcione actualizaciones periódicas sobre el progreso.

  5. Consiga ayuda externa cuando la necesite. No fracase por falta de conocimientos técnicos internos. La gestión de los riesgos de seguridad de la información suele requerir conocimientos especializados. Sin embargo, asegúrese de comprobar las credenciales de un tercero antes de contratarlo.

  6. Mantenga la sencillez de sus procesos y la documentación de apoyo. Puede desarrollarse para ser más extensa con el tiempo si es necesario.

  7. Diseñe y aplique reglas que pueda seguir en la práctica. No cometas el error de documentar una norma demasiado elaborada que nadie pueda seguir. Es mejor aceptar un riesgo y seguir buscando formas de gestionarlo.

  8. Recuerde a sus proveedores. Algunos proveedores le ayudarán a mejorar su SGCN, otros aumentarán su riesgo. Debe asegurarse de que los proveedores de alto riesgo tienen controles al menos tan buenos como los suyos. Si no es así, busque alternativas.

  9. Formar, formar y volver a formar. Es probable que la continuidad del negocio sea un concepto nuevo para muchos o la mayoría de sus empleados. Es posible que la gente tenga que cambiar hábitos arraigados durante muchos años. Es poco probable que una sola sesión informativa de concienciación sea suficiente.

  10. Recuerde que debe asignar recursos suficientes para probar rutinariamente sus controles. Las amenazas a las que se enfrenta su organización cambiarán constantemente y debe comprobar si es capaz de responder a ellas.

Para obtener un presupuesto para la certificación ISO 22301, simplemente haga clic aquí y rellene nuestro formulario de presupuesto online.

Puede descargar un PDF de esta guía de implementación aquí: Guía de implantación de la norma ISO 22301 de NQA.

Herramientas de gestión de riesgos

Guía implantación ISO 22301

Comparativa Anexo SL

Descarga de logos de certificación

Guía implantación ISO 27001

Folleto Aseguramiento de Riesgos