Comprender y aplicar la norma ISO 22301
Introducción a la norma ISO 22301 (Gestión de la continuidad de negocio)
La planificación de la resistencia y la continuidad son más importantes que nunca.
ISO 22301 (Gestión de la Continuidad de Negocio) es una norma reconocida mundialmente que orienta a las organizaciones a establecer, implantar y mantener un sistema eficaz de gestión de la continuidad del negocio (SGCN).
Este blog profundiza en la norma ISO 22301 y sus requisitos. También se analiza cómo la norma ISO 22301 se integra con otras normas ISO y cómo las organizaciones pueden adaptar sus principios para mejorar sus propios sistemas de gestión.
Antes de empezar: Términos clave y acrónimos
La norma ISO 22301 menciona términos específicos de la norma en todo su texto.
A efectos de este blog, para ayudarle a comprender los fundamentos de esta norma, hemos escrito los términos completos. No obstante, es posible que se encuentre con acrónimos de la norma ISO 22301 en otros lugares, como:
-
GCN = Gestión de la Continuidad de Negocio
-
SGCN = Sistema de Gestión de la Continuidad de Negocio
-
PCN = Plan de Continuidad de Negocio
-
BIA = Evaluación del impacto en la empresa
¿Qué es la norma ISO 22301?
La norma ISO 22301 (Gestión de la Continuidad de Negocio) proporciona una base de planificación para garantizar su supervivencia a largo plazo tras un suceso perturbador.
En pocas palabras, ayuda a establecer un proceso global que garantice la continuidad y la mejora de la actividad empresarial frente a cualquier reto que pueda encontrar su organización.
La pandemia de COVID-19 es un ejemplo extremo de ello, en el que prácticamente todas las empresas tuvieron que pivotar rápidamente para sobrevivir.
La norma ISO 22301 identifica los fundamentos de la gestión de la continuidad de las actividades, proporcionando una base para comprenderla, desarrollarla e implantarla en su organización.
La norma ISO 22301 especifica los requisitos para:
-
Identificar los factores de riesgo cruciales que ya afectan a su organización.
-
Comprender las necesidades y obligaciones de su organización.
-
Establezca, aplique y mantenga su sistema de gestión de la continuidad de las actividades.
-
Mida la capacidad global de su organización para gestionar incidentes perturbadores.
-
Garantizar la conformidad con su política declarada de continuidad de la actividad.
¿Qué se necesita para aplicar la norma ISO 22301?
La implantación de la norma ISO 22301 requiere un enfoque sistemático. Se centra en comprender las necesidades de la organización para establecer un sólido sistema de gestión de la continuidad de las actividades.
La continuidad de la actividad es un tema importante que debe abordarse en cualquier empresa. Para ayudarle a empezar, desglosamos lo que implica la creación de un sistema de gestión de la continuidad de negocio.
Compromiso de liderazgo
El liderazgo debe participar en la definición de funciones, políticas y objetivos.
Antes de embarcarse en su viaje de implantación, debe contar desde el principio con este apoyo de la alta dirección.
Análisis de deficiencias
Como con cualquier norma ISO, le recomendamos que empiece con un análisis de deficiencias.
Esto es clave para comprender lo que ya existe desde la perspectiva de la resiliencia, y qué vulnerabilidades deben abordarse.
Revisión del contexto
Una revisión del contexto permite comprender los problemas internos y externos más amplios que pueden afectar a la empresa, tanto positiva como negativamente.
También sirve como punto de partida para identificar a las partes interesadas que pueden necesitar participar en su plan de continuidad de la actividad empresarial (PCN). Por ejemplo, los proveedores clave de los que puede depender su empresa.
Evaluación del impacto en la empresa (BIA) y evaluación de riesgos
En ambos casos, debe examinar las actividades que realiza su organización para gestionar eficazmente su empresa, generando beneficios y satisfaciendo las necesidades de los clientes.
Al revisar estas actividades clave y comprender plenamente los riesgos potenciales que pueden interrumpir su capacidad de actuación, puede empezar a explorar dónde puede necesitar un "Plan B": efectivamente, su estrategia y planes de continuidad de negocio.
Una evaluación de impacto empresarial sólida tendrá en cuenta:
-
Sus actividades y lo que apoyan en términos de servicios y otros departamentos
-
El impacto de la interrupción en la empresa (reputación, sanciones económicas, cumplimiento de la legislación, ingresos, etc.).
-
Definir el periodo máximo de interrupción
-
Saber cómo recuperar su posición en caso de catástrofe (por ejemplo, copia de seguridad de los datos).
Planes de continuidad de la actividad
Los resultados de su evaluación de riesgos e impacto en la empresa le ayudarán a desarrollar planes adecuados de continuidad de la actividad y de respuesta de apoyo.
Los planes de respuesta deben cubrir:
-
Todos los supuestos del plan
-
Responsabilidades (incluido quién puede invocar y anular una respuesta)
-
Objetivos de recuperación de la empresa
-
Quién y/o qué se ve afectado
-
Estrategia de recuperación a alto nivel
-
Requisitos de comunicación
Lo ideal es que los planes de respuesta recorran las tres etapas siguientes:
-
Fase de emergencia (incidente notificado)
-
Fase de recuperación (estrategia y plan de respuesta)
-
Fase de restablecimiento (vuelta a la normalidad)
Formación y sensibilización
Todos los miembros de su organización deben ser conscientes de su papel en la respuesta a incidentes y de las medidas que deben tomar para restablecer los servicios.
Pruebas y ejercicios
Parte de la formación de concienciación y del refuerzo puede apoyarse "ejercitando" y "probando" el plan en equipo.
Se trata de una forma eficaz de repasar la teoría, tomarse el tiempo necesario para considerar distintos escenarios y tomar decisiones informadas en un entorno tranquilo.
Auditorías internas
Al igual que con cualquier otra norma ISO, se le pedirá que audite su sistema de gestión de la continuidad del negocio.
La norma ISO 22301 se centra más en la concienciación y la comunicación, por lo que es posible que desee realizar entrevistas de concienciación más exhaustivas durante las auditorías internas.
Revisión por la dirección
Por último, hay que revisar todas las entradas e interacciones clave del sistema de gestión y analizar su eficacia y cualquier posible necesidad de cambio.
También revisa los objetivos y los progresos realizados, los resultados de las auditorías internas, el rendimiento de los proveedores, etc.
Integración con otras normas ISO
La norma ISO 22301, como muchas otras normas ISO, se basa en el marco del Anexo SL. Este marco proporciona una estructura de alto nivel que permite integrar las normas sin problemas.
Algunos ejemplos de normas ISO que pueden integrarse eficazmente con la ISO 22301 son:
ISO 9001 (Gestión de la calidad): La integración con sistemas de gestión de la calidad mejora la coherencia y eficacia de los procesos organizativos.
ISO 27001 (Gestión de la seguridad de la información): Alinea la continuidad del negocio con la seguridad de la información, garantizando la protección de los datos durante las interrupciones.
ISO 14001 (Gestión Medioambiental): La implantación conjunta puede ayudar a gestionar los riesgos medioambientales y su impacto en la continuidad de la actividad empresarial.
ISO 45001 (Gestión de la Seguridad y Salud en el Trabajo): Combina la seguridad en el lugar de trabajo y la continuidad de la actividad, garantizando la seguridad de los empleados durante los incidentes.
Ventajas de la integración de la norma ISO 22301:
Simplifique las cosas.
Evita la molestia de mantener varios sistemas de gestión independientes, proporcionando en su lugar un sistema de gestión integrado, cohesionado y racionalizado.
Optimización de recursos
Reduce el despilfarro o la duplicación de esfuerzos y aprovecha al máximo los recursos internos existentes.
Mejora de la gestión de riesgos
Proporciona una visión global de los riesgos potenciales desde diferentes perspectivas.
Mejora del rendimiento
Trabajar en sinergia mejora el rendimiento global y la eficacia de su sistema de gestión.
Adopción de los elementos de la norma ISO 22301 en un sistema de gestión
Puede beneficiarse de la incorporación de los elementos clave de la norma ISO 22301 a su sistema de gestión actual, aunque aún no esté preparado para la certificación.
¿Qué puede adoptar?
Análisis de riesgos e impacto
Integrar las herramientas de evaluación de riesgos de la norma ISO 22301 para identificar las áreas críticas de la empresa y los posibles impactos.
Por ejemplo: A la luz de las crecientes amenazas a la ciberseguridad, un banco lleva a cabo un análisis de riesgo e impacto para evaluar cómo sus operaciones podrían verse afectadas por -y cómo pueden prepararse para- una violación de datos.
Política y objetivos
Adopte la estructura política y el enfoque de fijación de objetivos de la norma ISO 22301 para mejorar la claridad y la orientación.
Por ejemplo: Una empresa de fabricación fija sus objetivos anuales, aplicando los principios de la norma ISO 22301 para identificar cómo los riesgos potenciales (como los retrasos en la cadena de suministro) podrían obstaculizar la consecución de dichos objetivos.
Plan de respuesta a incidentes
Desarrollar e integrar planes de respuesta a incidentes basados en las directrices ISO 22301.
Por ejemplo: Un hospital crea un plan de respuesta a incidentes para gestionar eficazmente circunstancias imprevistas (como una pandemia o una catástrofe natural) y mantener a salvo a pacientes, personal y visitantes.
Programas de formación y sensibilización
Poner en marcha programas de formación para aumentar la concienciación y la preparación de los empleados.
Por ejemplo: Una empresa de construcción organiza formaciones periódicas para enseñar a sus empleados protocolos de seguridad, manejo de equipos y procedimientos de respuesta ante emergencias (como si se produce un incendio).
Por qué debería plantearse adoptar estos elementos:
Aumente su resiliencia
Incluso una adopción parcial puede mejorar significativamente la resistencia de la organización.
Confianza de las partes interesadas
Demuestra el compromiso con la continuidad de la empresa, lo que aumenta la confianza de clientes, proveedores y posibles inversores.
Mejor preparación
Prepara a la organización para una posible certificación ISO 22301 en el futuro.
Reflexiones finales de NQA
NQA agradece a Blackmores este completo blog sobre la norma ISO 22301 (Gestión de la Continuidad de Negocio).
La capacidad de prepararse, adaptarse y superar retos es vital en el panorama empresarial moderno, algo que ofrece la norma ISO 22301.
Más información sobre la certificación ISO 22301. Visite nuestra página de gestión de la continuidad de negocio.