Consúltenos
En las redes
ISO 22301. Plan de continuidad de negocio
Introducción a la ISO 22301
Las interrupciones en el funcionamiento normal de una organización son acontecimientos que afectan a la continuidad de negocio. Los desastres naturales (incendios, inundaciones), las caídas de los sistemas de información y las comunicaciones, la ruptura de la cadena de suministro, las bajas de las personas (huelgas, enfermedades), …, suceden y hay que estar preparado para afrontarlos.
La gestión de la continuidad de negocio proporciona a la organización un marco que permite identificar las posibles amenazas y fortalecer su capacidad para afrontarlas, protegiendo los intereses de las partes interesadas (clientes, personas, socios, proveedores y entorno social), la reputación, la marca, y los procesos y actividades que proporcionan un valor añadido.
El sistema de gestión de la continuidad de negocio o plan de continuidad de negocio (conforme a la ISO 22301) proporciona un marco que garantiza el funcionamiento de las organizaciones durante y después de las interrupciones.
La certificación del plan de continuidad de negocio ISO 22301 contribuye a reforzar estas garantías, mejorando la imagen de la organización y generando confianza ante las partes interesadas.
Cómo se desarrollaría el proyecto
En un proyecto de implantación de un plan de continuidad de negocio ISO 22301 se desarrollarían las siguientes actividades:
- Definición del alcance. Se entiende la organización y la urgencia con que deben reanudarse los procesos y actividades si éstos se interrumpen, identificando qué activos (tecnología, personas, edificios, proveedores, …) y en qué momento son necesarios para que se desarrollen los primeros.
- Comprensión de la organización:
- Análisis del impacto de negocio. Es la base sobre la que se desarrolla la gestión de la continuidad de negocio. Identifica, cuantifica y califica los impactos de una pérdida, interrupción o disrupción de los procesos y actividades de negocio de manera que la Dirección puede determinar en qué momento en el tiempo éstos se vuelven intolerables (después de una interrupción).
- Análisis de los riesgos. Se analiza la probabilidad y el impacto de una variedad de amenazas específicas que podrían causar una interrupción de los procesos y actividades de negocio explotando sus vulnerabilidades.
- Definición de la estrategia de continuidad de negocio. Se determinan y seleccionan estrategias para mantener los procesos y actividades de negocio de la organización:
- Métodos de operación alternativos, a utilizar después de una interrupción para mantener o reanudar los procesos y actividades de negocio de la organización en el tiempo.
- Medidas de protección de las vulnerabilidades en los procesos y actividades de negocio identificados en el análisis de riesgos.
- Respuesta a la contingencia. Gestión de la crisis y de la recuperación.
- Plan de continuidad de negocio, tanto a nivel estratégico como operativo.
- La concienciación y capacitación del personal es un aspecto clave.
- Prueba y mejora. La gestión de la continuidad se prueba a intervalos planificados para garantizar su permanente adecuación a la organización, a través de:
- Pruebas del plan de continuidad de negocio.
- Auditorías internas independientes.
- Revisiones por la Dirección.
Compatibilidad con otros sistemas de gestión ISO
El sistema de gestión de la continuidad de negocio ISO 22301 posibilita su integración con cualquier otro sistema de gestión ISO, como los de calidad (ISO 9001), gestión del servicio (ISO 20000-1) y seguridad de la información (ISO 27001).