Pasar al contenido principal

ISO 22301

¿A quién va dirigido?

La norma ISO 22301 aplica a cualquier organización pública o privada, grande o pequeña, que quiera llevar a cabo una gestión de la continuidad de su negocio de manera estandarizada.

¿Qué es?

La norma UNE-EN ISO 22301:2020 es un estándar internacional que establece los requisitos que debe cumplir un Sistema de Gestión de la Continuidad del Negocio (SGCN) para ser certificable. Vigente como norma internacional desde 2012, esta norma establece:

  • Las exigencias genéricas que se deben cumplir, a nivel de sistema de gestión, para que la gestión de la continuidad del negocio se desarrolle en forma de ciclo PDCA (Plan-Do-Check-Act) o ciclo de Deming y pueda ser establecida, implementada y mejorada de manera continua.
  • Las exigencias específicas que se deben satisfacer desde el punto de vista de la continuidad del negocio, consistentes en:
    • Desarrollar un proceso de análisis de impacto en el negocio y de evaluación de riesgos de continuidad
    • Determinar las estrategias para la continuidad del negocio y las soluciones específicas a adoptar como consecuencia del proceso anterior
    • Establecer planes y procedimientos de continuidad del negocio que articulen las estrategias y soluciones anteriormente definidas
    • Desarrollar un programa de entrenamiento que permita garantizar a lo largo del tiempo la validez de estrategias, soluciones, planes y procedimientos anteriormente definidos, y que permita identificar los aspectos a corregir y/o mejorar en ellos.

De este modo, el estándar establece las bases para que cualquier organización pueda preservar la continuidad operativa de su negocio de acuerdo a sus intereses y necesidades, mediante la aplicación de un proceso continuo de gestión de la continuidad.

Objetivos

Los objetivos del estándar ISO 22301 se pueden resumir en los siguientes puntos:

  • Establecer los requisitos mínimos que cualquier organización debe cumplir para establecer, implementar, mantener y mejorar de manera continua la continuidad de su negocio, de acuerdo al contexto en que dicho negocio se desarrolla.
  • Otorgar a todas las partes interesadas confianza sobre la adecuada gestión de la continuidad operativa del negocio.
  • Desarrollar una continuidad del negocio que corresponda al nivel y tipo de impacto que la organización pueda o no aceptar en caso de que se produzca un incidente disruptivo.
  • Que tanto las partes internas como las partes externas puedan evaluar la capacidad de la organización para cumplir con sus propios requisitos de continuidad de negocio.

Beneficios

Disponer de un Sistema de Gestión de la Continuidad del Negocio conforme a los requisitos de la norma ISO 22301 va a permitir:

  • Desde la perspectiva del negocio:
    • Apoyar a los objetivos estratégicos
    • Crear una ventaja competitiva
    • Proteger y realzar la reputación y credibilidad de la organización
    • Contribuir a la resiliencia organizacional
  • Desde la perspectiva financiera:
    • Reducir la exposición legal y financiera
    • Reducir los costes directos e indirectos de las paralizaciones disruptivas
  • Desde la perspectiva de los procesos internos:
    • Mejorar la capacidad de la organización para mantenerse de manera efectiva durante las situaciones disruptivas
    • Demostrar un control proactivo de los riesgos de manera eficaz y eficiente
    • Tratar las vulnerabilidades operativas

Factores a tener en cuenta para la implantación de un SGCN conforme a la norma ISO 22301

  • El tamaño de la organización.
  • El contexto de la organización
  • Los procesos, servicios, sedes e infraestructuras involucradas
  • Los activos afectados
  • Las características de los incidentes disruptivos considerados
  • Las soluciones de continuidad actualmente disponibles
  • La existencia de otros sistemas de gestión normalizados (calidad, seguridad de la información, etc.).
  • Otros aspectos organizativos.

Fases del proceso de implantación de un SGCN certificable bajo ISO 22301

Fase 1. Lanzar el proyecto

La implantación de un Sistema de Gestión de la Continuidad del negocio debe contar con la implicación de la alta dirección de la organización, ya que no sólo deberán aprobar la Política de Continuidad de alto nivel, sino que deberán participar en la revisión de los resultados una vez implantado.

Fase 2. Delimitar el alcance

La organización deberá analizar el contexto interno y externo y determinar las partes interesadas con intereses específicos en materia de continuidad del negocio, con el fin de determinar el listado de sedes, servicios, procesos y/o áreas de la organización en los que será necesario desarrollar el Sistema de Gestión de la Continuidad del Negocio.

Una vez establecido dicho alcance, en función de los intereses y necesidades de cada una de las partes interesadas internas y/o externas, se deberán determinar las actividades y recursos afectados, con especial atención a los medios humanos, materiales y tecnológicos que los soportan y a los terceros que intervienen.

Fase 3. Análisis de impacto en el negocio

Después habrá que llevar a cabo el análisis de impacto en el negocio. Para ello se determinarán los tipos de impacto y criterios pertinentes para el análisis, se identificarán las actividades desarrolladas dentro del alcance y se determinarán, de acuerdo a dichos tipos de impacto y criterios, cuál sería el impacto en la organización de un incidente disruptivo sobre dichas actividades a lo largo del tiempo. Así mismo, se identificarán los plazos dentro de los cuales dichos incidentes disruptivos tendrían un impacto inaceptable para la organización, y por tanto los plazos necesarios para reanudar dichas actividades en un nivel mínimo aceptable.

Fase 4. Evaluación de riesgos

Posteriormente se realizará la evaluación de los riesgos de continuidad. Para ello se analizarán los riesgos asociados a una posible pérdida disruptiva de la disponibilidad de los recursos que soportan las actividades consideradas en el análisis de impacto en el negocio, se determinará el nivel de riesgo que la organización considera aceptable, y se identificarán todos aquellos riesgos que exceden dicho nivel, con el fin de determinar las acciones necesarias para tratarlos.

Fase 5. Diseñar estrategias de continuidad

A la vista de los resultados tanto del análisis de impacto en el negocio como de la evaluación de riesgos se determinarán las estrategias de continuidad que la organización debe adoptar, así como las soluciones técnico-operativas necesarias para desarrollar dichas estrategias.

Fase 6. Implantar las soluciones y desarrollar los planes y procedimientos de continuidad

Se procederá a implantar y desplegar las soluciones técnico-operativas que se han diseñado, a la vez que se desarrollan los planes de continuidad y los procedimientos asociados para su activación y uso en caso de necesidad. También se desarrollarán en esta fase los planes y procedimientos necesarios para gestionar los incidentes disruptivos y lanzar la ejecución de los planes y procedimientos de continuidad anteriormente señalados.

Fase 7. Implantación del SGCN

En paralelo la organización llevará a cabo la implantación del SGCN propiamente dicha, desarrollando todos los proyectos previstos para la propia implantación del Sistema de Gestión, y que contemplarán todas las medidas de carácter organizativo, operativo y contractual necesarias para ello. En este sentido, en esta fase se implantarán todos los procedimientos de pruebas y verificaciones asociados al testeo de los planes y procedimientos desarrollados en la fase anterior.

Fase 8. Auditorías

Tras la finalización de los proyectos de implantación del SGCN se deberá llevar a cabo una auditoría interna, donde se evalúe el SGCN y el grado de cumplimiento de los requisitos establecidos por la norma. Así mismo, en caso de que la organización quiera certificar su SGCN conforme a la norma ISO 22301, se deberá llevar a cabo adicionalmente una auditoría externa por parte de una entidad de certificación acreditada, que certifique de manera objetiva que el SGCN es conforme a la norma.

Fase 9. Operación y mantenimiento

La implantación de un SGCN supone la gestión continua de la continuidad del negocio en forma de sistema de gestión. Por lo tanto, las auditorías no harán sino dar comienzo a un nuevo ciclo de gestión donde se deberán reevaluar los impactos y los riesgos, redefinir las estrategias y soluciones de continuidad, adaptar los planes y procedimientos de continuidad que se considere oportuno y sobre todo volver a testear y probar todos los mecanismos desarrollados, dando comienzo de este modo a un ciclo continuo de gestión y mejora de la continuidad del negocio.

¿Dónde recibir asesoramiento o contratar la adecuación al Esquema Nacional de Seguridad?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

https://www.aenor.com/certificacion/tecnologias-de-la-informacion/continuidad-negocio

https://www.isotools.org/normas/riesgos-y-seguridad/iso-22301

Compartir

Compartir en Linkedin