Aprendizaje y descubrimiento 4min de Leitura - 05 de agosto de 2022

Lo que vale la pena saber sobre la ISO 22301

22301

This post is also available in: Português Español

Tan avanzada y completa como es, la norma ISO 22301 puede aportar beneficios a la planificación de la continuidad del negocio, incluso si la empresa decide no buscar la certificación formal. En cambio, uno puede buscar primero la conformidad. De esta forma, las prácticas en torno a esta metodología podrán incorporarse de manera más profunda y anticipada en la empresa, iniciando cambios en la cultura organizacional que beneficiarán la seguridad digital del negocio en su conjunto. De esta forma, cuando llegue el momento de buscar la certificación, la mayoría de los ajustes necesarios ya serán una realidad.

Entonces, el primer paso es verificar si ya existe algún tipo de plan de continuidad comercial iniciado por la empresa. También es importante evaluar si la empresa ya implementa otras normas ISO, como ISO 9001 o ISO 27000, ya que es posible aprovechar algunos de los elementos de requisitos comunes para llegar a la norma ISO 22301.

A continuación, es mejor revisar sus políticas y procesos existentes para ver qué características de continuidad comercial se necesitan. En este paso, puede organizar un documento con los elementos de la norma ISO 22301 que contiene la palabra «deberá». Entonces es el momento de comparar los elementos existentes y las necesidades de la empresa con el estándar propuesto por la norma. A continuación, puede utilizar el estándar como guía para establecer un conjunto coherente de prácticas para abordar la gestión de la continuidad del negocio.

Pero cuidado: tener los procedimientos perfectamente documentados puede no ser suficiente en una emergencia. La salida es crear pautas y listas de verificación fáciles de seguir, educando a los empleados a través de capacitación y ejercicios. De esta forma, ante cualquier incidente de seguridad digital, los empleados ya sabrán qué hacer, sin tener que estar informados de cada paso.

Por lo tanto, es importante hacer del plan un documento vivo, de fácil acceso y que permita actualizaciones constantes. Después de todo, marcar elementos en una lista de verificación no significa que la empresa esté lista. Lea, revise y practique su plan con frecuencia para mantenerlo relevante y guiar a los nuevos empleados.

Tan importante como este dinamismo en la adopción es mantener el enfoque en las acciones de recuperación. A menudo, los planes de continuidad se construyen en torno a un escenario específico. En cambio, el enfoque debe estar en qué acciones pueden prevenir o mitigar el daño, y qué procesos e infraestructura se necesitan para continuar con el negocio como de costumbre, sin importar la crisis que surja en la empresa.

Otro punto importante es comunicar el plan al equipo y otras partes interesadas. Incluso el plan mejor escrito es inútil si las personas que pueden beneficiarse de él no lo entienden completamente. Debe informar a todos que el plan existe, incluida la cadena de suministro y otras partes interesadas externas, como proveedores y socios externos.

Requisitos

El estándar ISO 22301 proporciona un marco para planificar, probar y monitorear un sistema de gestión de continuidad del negocio (BCMS). El documento contiene 10 secciones, que presentan el estándar y las definiciones, así como los requisitos procesables para el estándar.

Al igual que otros documentos de requisitos ISO, 22301 solo describe lo que las organizaciones deben hacer para lograr la competencia mínima, sin determinar cómo lograr estos estándares. Luego, cada empresa debe considerar sus condiciones y obligaciones para encontrar la mejor manera de cumplir con los requisitos.

Luego seleccionamos una descripción general de los temas de ISO 22301 que más impactan a una empresa:

  • Contexto:
  • la gerencia debe entender qué es, qué hace y qué resultados y procesos debe sustentar. También debe determinar quién tiene interés en continuar con las operaciones; en otras palabras, las partes interesadas. Por ejemplo, los clientes están interesados en que la organización continúe funcionando, y probablemente la mayoría de los proveedores también lo estén.

  • Liderazgo:
  • Pocas iniciativas organizacionales prosperan sin el apoyo de la alta gerencia. Los gerentes deben comprometerse con un plan de continuidad comercial y desplegar todos los recursos (humanos, financieros o de otro tipo) para garantizar su éxito.

  • Planificación:
  • Para planificar la sustentabilidad, debe comprender qué interrupciones pueden ocurrir y cómo estos incidentes afectan el negocio; en otras palabras, los riesgos potenciales y su impacto. Es hora de establecer objetivos cuantificables de continuidad comercial para garantizar productos o servicios mínimos viables, así como el cumplimiento de cualquier requisito legal o reglamentario.

  • Soporte:
  • Ningún programa puede avanzar sin recursos y apoyo. Es esencial determinar qué empleados, funciones y equipos se necesitan para responder a las amenazas y cómo mejorar su eficacia. Se deben crear procedimientos de comunicación internos y externos como referencia, divulgando el plan de continuidad a todas las partes necesarias antes y durante una crisis. Lo ideal es crear un sistema de gestión documental para los principales expedientes de continuidad, como trámites y otros listados.

  • Operación:
  • aquí, el objetivo es realizar una evaluación de riesgos y un análisis de impacto comercial, planificando su enfoque de recuperación de cortes. Luego se implementa el plan de recuperación con procedimientos detallados, aplicando pruebas regularmente para verificar que funciona como se espera. El consejo es asegurarse de que las personas puedan encontrar los procedimientos que necesitan, revisando su plan si es necesario.

  • Evaluación:
  • Establezca un proceso para medir y evaluar periódicamente sus políticas y procedimientos de continuidad y su ejecución. Revise su plan y documentos para asegurarse de que sean efectivos y relevantes.

  • Mejora continua:
  • el objetivo es siempre buscar la evolución en todas las áreas funcionales y operativas, incluso a través de revisiones periódicas de gestión. Las mejoras en las actividades diarias ayudan a fortalecer la organización en tiempos de disrupción. Cuando los procesos se desvían del estándar o no cumplen con los estándares ISO y de gestión de calidad, es hora de implementar acciones correctivas.

    ISO 22301 versus ISO 27301

    ISO 27301, que también se ocupa de la continuidad del negocio, proporciona requisitos que las organizaciones utilizan para garantizar la continuidad, la seguridad y la preparación de la tecnología de la información y la comunicación (TIC) para sobrevivir a una interrupción. El estándar a menudo se compara con ISO 22301 porque ambos se basan en enfoques de sistemas de gestión similares.

    Ambos requieren la participación y el compromiso de la alta dirección, exigiendo que cuente con los recursos adecuados, con gestión de documentación, revisiones de desempeño y mejoras. Sin embargo, difieren en el enfoque de la evaluación de riesgos: la ISO 27001 aborda la seguridad, mientras que la ISO 22301 se ocupa de la continuidad del negocio. Cada área tiene diferentes riesgos, pero el enfoque de evaluación y mitigación de la gestión de riesgos sigue los mismos pasos. En otras palabras, hay mucho en común.

    La continuidad de la seguridad digital tiene una gran relevancia en el entorno laboral, especialmente en sistemas híbridos o home office. Por ejemplo, cuando usa su computadora portátil de trabajo en casa o está conectada a la red de trabajo, ¿qué sucede cuando alguien inserta una unidad flash que infecta el equipo y corrompe la red? Tanto la ISO 22301 como la ISO 27001 trabajan juntas para prevenir este tipo de incidentes y mitigar los problemas que se producen, demostrando su importancia en el día a día de las actuaciones de prácticamente todo tipo de empresas.

    This post is also available in: Português Español