¿Qué es ISO 22301?
ISO 22301 es una norma internacional de gestión de continuidad de negocio.
Esta ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original, BS 25999-2 y otras normas.
ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.
Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente.
La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando y comercializando.
¿Qué es la Gestión de Continuidad del Negocio?
Continuidad de negocio es el término que se utiliza para referirse a las estrategias y planes mediante los cuales las organizaciones se preparan para dar respuesta a eventos catastróficos tales como incendios, inundaciones, ataques cibernéticos, accidentes o errores humanos. Un Sistema de Gestión de Continuidad de Negocio (SGCN) certificado bajo la norma ISO 22301 – el estándar de mayor aceptación a nivel internacional- ayuda a las organizaciones a prepararse para las emergencias, a gestionar las crisis y mejorar su capacidad de recuperación operacional, asegurar la cadena de suministro y protegerse, por ejemplo, su reputación ante una crisis.
Ventajas de un Sistema de Gestión de Continuidad de Negocio
Las organizaciones que apuestan por implementar y certificar un Sistema de Gestión de Continuidad de Negocio de acuerdo a la ISO 22301 se benefician de importantes ventajas:
Clientes más satisfechos. La certificación de la ISO 22301 demuestra a los clientes y posibles clientes que nuestro producto o servicio es fiable y, lo más importante, que lo seguirá siendo.
Solidez empresarial. Una organización que cuenta con una estrategia y un plan para superar grandes adversidades estará mejor preparada en el caso de emergencias ya que estará realizando una gestión eficaz de sus riesgos.
Mejor gestión de los riesgos organizacionales. Gestionar los riesgos ayudará a la organización a recuperarse rápidamente en caso de crisis y a proteger su reputación.
Credenciales de negocio probados. Demostrar que la organización ha sido verificada por un organismo independiente frente a un estándar reconocido a nivel internacional habla en positivo de la organización y refuerza su imagen de marca.
Capacidad para conseguir más ventas. En muchas ocasiones, las especificaciones de los RFPs o pliegos de condiciones de las ofertas públicas o privadas requieren la certificación de la ISO 22301 para el suministro. De modo que, la obtención de la certificación abre puertas de negocio.
Reconocimiento internacional. La organización será reconocida y valorada a nivel mundial.
Cumplimiento de aspectos legales. Certificar la ISO 22301 y mantener un Sistema de Gestión de Continuidad de Negocio ayudarán a la organización a comprender qué requisitos legales le afectan y debe cumplir y cómo afectan a su actividad y a sus clientes o destinatarios de la actividad que realizan.
Ahorro de tiempo y costos. La certificación de la ISO 22301 es la forma en que mejor podemos demostrar que cumplimos con los requisitos de continuidad de negocio frente a proveedores ya que unos querrán saber que tenemos capacidad de respuesta ante una interrupción técnica. A otros les preocupará nuestra capacidad para de reacción en las emergencias y la gestión de las crisis. Y cada uno de esos requerimientos individuales conllevan tiempo y recursos para satisfacerlos.
¿Quiénes puede utilizar ISO 22301?
La certificación de la norma ISO 22301 está disponible para cualquier organización, con independencia de su tamaño o complejidad de la actividad que realiza, que quiera gestionar sus riesgos generales y desarrollar la capacidad para planificar y responder a los incidentes y las interrupciones de su actividad o negocio.
Estructura de la norma 22301
La norma ISO 22301 está organizada según la siguiente estructura:
Ámbito de aplicación.
Referencias normativas.
Términos y definiciones.
Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo, así como cualquier obligación reglamentaria.
Liderazgo. La alta dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual el personal esté completamente involucrado y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.
Planificación. Se establecen objetivos estratégicos y principios para la orientación del SGCN en su totalidad.
Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio, se basa en el uso de los recursos apropiados para cada actividad. Estos recursos incluyen personal competente, toma de conciencia y comunicación, etc. todo esto debe estar apoyado por la documentación que sea necesaria.
Operación. Después de la planificación del SGCN, la organización debe ponerlo en funcionamiento.
Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento permanente del sistema, así como revisiones periódicas para mejorar su operación.
Mejora. La organización puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad de negocio, los objetivos, los resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección.
¿Por qué implantar un Sistema de Gestión de Continuidad de Negocio según ISO 22301?
El estándar ISO22301 es útil a las organizaciones para evaluar su competencia para continuar satisfaciendo sus capacidades y obligaciones comerciales, incluso ante la ocurrencia de un evento disruptivo que las afecte.
Para ello, la norma indica los requisitos para planificar, implementar, operar, mantener y mejorar de manera continua un Sistema de Gestión de Continuidad de Negocio (SGCN). Este sistema proporciona la preparación para hacer frente a un amplio espectro de incidentes, ayuda a reducir la probabilidad de ocurrencia de los mismos, y permite responder y recuperarse si éstos llegasen a producirse.
Cambios principales ISO 22301:2012 vs ISO 22301:2019
Es reseñable que si su organización/compañía obtuvo la certificación ISO 22301:2012 no debería tener problema con la transición a esta nueva versión. No ha habido cambios estructurales importantes en la norma.
Como la versión ISO 22301:2012 ya contaba con la estructura de alto nivel, no ha sido necesario reescribir todo el estándar, sobre todo los cambios se han centrado en la redacción y la claridad. Por esa razón, el texto se ha vuelto más consistente y lógico.
Los cambios principales han sido los siguientes:
Actualización de términos y definiciones, incluyendo referencia a la norma ISO 22300 Seguridad y resiliencia
Vocabulario. Más flexibilidad y pragmatismo, las secciones redundantes se han eliminado. Ejemplo de ello es la reducción o concreción de requisitos en los apartados referidos al Contexto de la organización, Liderazgo, Planificación, Evaluación del desempeño y Mejora.
Los requisitos específicos, núcleo de la Continuidad de Negocio, están recogidos en la cláusula 8.
Aunque la estructura de sus sub-cláusulas no ha sido apenas modificada, sí se ha mejorado su contenido, especialmente en los siguientes aspectos: El Análisis de impacto en el Negocio (BIA en sus siglas en inglés – Business Impact Analysis), en la definición de los tipos de impacto y su evaluación en el tiempo.
Pragmatismo con el deber de encontrar estrategias y soluciones para cada uno de los posibles impactos o riesgos específicos.
Lo importante no es el riesgo que se esté dispuesto a asumir, sino el nivel de impacto que los riesgos puedan provocar en las actividades.
Necesidad de tener en cuenta en los planes de continuidad de negocio el impacto en el medio ambiente al gestionar las consecuencias inmediatas de una interrupción.
Importancia de los equipos responsables de la respuesta ante un incidente: las acciones que deben realizar, sus roles y responsabilidades y las relaciones entre ellos.
Evaluaciones de las capacidades en continuidad de negocio de socios y proveedores relevantes.
Mantenimiento de un programa de ejercicios y pruebas.
Adaptación del Sistema de Gestión a los estándares del resto de normas ISO, como la 27001 o la 9001.
¿ISO 22301 es una norma certificable?
Sí. Una vez el sistema ha sido implementado, puesto a prueba y auditado, se puede solicitar la auditoría de certificación con el organismo acreditado en su país y localidad.
¿Si una organización implementa un sistema basado en la norma ISO 22301, necesita certificarse obligatoriamente?
No. Pero de otra forma no se podrá comprobar que el sistema ha sido implementado y que cumple con los requisitos. Además, en caso de que necesite acreditar la implementación ante un cliente, una entidad gubernamental, o las autoridades de otro país, el único documento válido será la certificación expedida por un organismo acreditador.
Curso ISO 22301 Sistemas de Gestión de Continuidad del Negocio
Probablemente subsistan muchas preguntas entre nuestros lectores, con respecto a los Sistemas de Gestión de Continuidad del Negocio. Por ello, pensando en la necesidad de información y formación sobre este estándar, los expertos internacionales de Iberoamericana Educación ejecutiva ha diseñado un Curso ISO 22301 Sistemas de Gestión de Continuidad del Negocio.
Este programa de formación ya está disponible. No deje de consultar con frecuencia por nuestra oferta formativa.