ISO 22301

La norma internacional ISO 22301 ayuda a las instituciones a la implementación de un Sistema de Gestión de la Continuidad del Negocio (SGCN) con el objetivo de reducir el riesgo de que se detenga el negocio por la aparición de amenazas.

La norma ISO22301 especifica ciertos requisitos para el establecimiento, mantenimiento, implementación, mejora constante o planificación de dicho sistema para luchar contra posibles percances. Estos requisitos son aplicables y comunes dependiendo de la complejidad o el tamaño de cada institución.

La norma internacional ISO-22301 utiliza el siguiente léxico o terminología relevante:

• Sistema de Gestión de la continuidad del negocio (SGCN).

Este sistema es el encargado de la planificación, mantenimiento y mejora continua del negocio.

• Interrupción máxima aceptable (MAO).

Se trata del tiempo límite máximo que la actividad puede estar suspendida. En el supuesto de sobrepasar este límite, el daño que se produciría sería inaceptable.

• Periodo máximo admisible de interrupción (MTPD).
• Existencia de un tiempo máximo para la reconstrucción, restauración de recursos o prolongación de la actividad.
• Límite mínimo para la continuidad del negocio (RPO).

Se trata del nivel más bajo de productos o servicios necesarios para la fabricación, una vez se haya producido la continuación de los ejercicios usuales de la institución.

Las contribuciones que aporta dicha norma ISO 22301 a estas instituciones son:

• Mayor relevancia de la identificación de los objetivos establecidos
• Control de los objetivos mediante métodos apropiados.
• Definición de obligaciones y responsabilidades de la alta dirección.
• Proyección eficiente de recursos con la finalidad de certificar la continuación en el negocio.

El contenido incluido en la norma ISO 22301 es: planificación, soporte, conocimiento del entorno y organización, compromiso de la dirección, auditoria interna, evolución y control del desempeño, operatividad y funcionamiento y, por ultimo, mejora constante del negocio.

La Plataforma Tecnológica ISOTools aporta la documentación necesaria requerida por la norma ISO22301 para un Sistema de Gestión de la Continuidad del Negocio, facilitando la automatización y permitiendo un acceso sencillo a la información.

La entrada Léxico y términos relacionados con la norma ISO 22301 se publicó primero en ISOTools Colombia.

ISO 22301

La norma internacional ISO 22301  responde de forma inmediata a la posible aparición de incidentes o accidentes en las empresas. Esta norma posibilita la implantación de un Sistema de Gestión de Seguridad (SGS) para la gestión y modificación de incidentes que tengan graves consecuencias en la información empleada por las empresas para la continuidad del negocio.

La norma internacional ISO22301 plantea una serie de actuaciones para la localización e impedimento de amenazas.

Para responder a dichos incidentes de una manera eficaz se debe hacer lo siguiente:

• Garantizar y confirmar la realización adecuada de las actuaciones a través de la comunicación de puntos débiles en la seguridad de la información para estar bien  preparados ante posibles incidentes.
•  Comunicación de la evolución y el control sobre la circunstancias de la seguridad de información mediante el empleo de medios adecuados de gestión para hacer frente a incidentes en la información.
• Garantizar y confirmar la aplicación de la gestión de incidentes de seguridad sobre la información y mejora continua.
• Examinar y analizar los riesgos de seguridad en la información mediante los instrumentos adecuados.
• Garantizar y confirmar una respuesta mediante la asignación de procedimientos de gestión y responsabilidades.
• Colección y recopilación de evidencias cuando se inicia una actuación contra una persona u organismo, después de la producción de un incidente de seguridad en la información, de acuerdo con las normas legislativas.

ISOTools colabora con las empresas  mediante la norma internacional ISO-22301 con el procedimiento de identificación de los incidentes de seguridad de la información, control de la eficiencia y planificaciones de las acciones correctivas y preventivas.

La entrada ¿Cómo solventar incidencias mediante la norma ISO 22301? se publicó primero en ISOTools Colombia.

ISO 22301

El estándar internacional ISO 22301  contribuye con un marco para la implantación de la gestión sobre la continuidad en el negocio.

Dicho estándar ISO-22301 permitirá a las organizaciones la identificación y reconocimiento de riesgos con el objetivo de reforzar la capacidad de las empresas. Todo ello proporciona a la organización un valor añadido en la marca, reputación, actividades y partes interesadas.

Gracias a la gestión de la continuidad del negocio, la organización podrá:

• Interpretar y explicar un Sistema de Gestión de la Continuidad del Negocio (BCMS).
• Establecimiento de todas las etapas necesarias para el BCMS y la BCM.
• Entender e interpretar los procesos relacionados con la implantación, evaluación, establecimiento, funcionamiento, supervisión y mejora, conforme a ISO 22301.
• Especificar y determinar la finalidad y contenido del estándar  ISO22301.
• Comprender le interpretar los requerimientos y objetivos de dicho estándar como instrumento para la mejora de un SGCN.
• Realización y ejecución de buenas prácticas incluidas en la norma internacional ISO-22301.

La gestión de este SGCN va encaminada a responsables de la continuidad del negocio,  organización, consultores, seguridad de la información y directores de operaciones.

Los objetivos fijados son:

• El fortalecimiento en cuanto al cumplimiento de los requisitos de un SGCB, de acuerdo con la norma ISO22301.
• Determinar y enfocar un plan de GCN.
• Mantener un orden en cuanto a los procedimientos con el objetivo de proceder a la implantación y definición de los distintos entregables de un plan de continuidad del negocio.

Las ventajas más relevantes de la implantación en cualquier organización de este sistema son:

• Mejora las relaciones mantenidas con terceros, con los clientes, proveedores, etc.
• Mejora de  la imagen organizacional.
• Mejora en el control y revisión de la plantilla de la organización.
• Mejora en el registro de percances y debilidades.
• Mejora general de la gestión de la empresa.

ISOTools es una plataforma tecnológica que lleva a cabo la automatización de la norma internacional  ISO 22301 de forma sencilla, posibilitando la gestión de los riesgos, reconocimiento y disminución de su ocurrencia en cualquier momento.

La entrada Norma ISO 22301. Cómo implantarla con éxito se publicó primero en ISOTools Colombia.

ISO 22301

La norma internacional ISO22301 requiere diversa documentación de materia obligatoria y otra de empleo habitual.

La documentación constituye una parte muy importante del Sistema de Gestión de Continuidad del Negocio, implantado con ISO 22301, ya que protege y guarda ciertos datos, escritos esenciales del sistema, información.

Los documentos y registros necesarios requeridos por la norma ISO-22301 son:

• Importancia y relevancia del SGCN.
• Análisis de los efectos producidos en el negocio.
• Demostración de competencias de la plantilla.
• Disposición de respuesta a posibles incidentes.
• Medición de riesgos.
• Repertorio de requisitos normativos, legales, etc.
• Metas o finalidades de la continuidad del negocio.
• Política de continuidad del negocio.
• Proyectos de continuidad del negocio.
• Procesos de métodos para proceder a la recuperación de la situación previa de la organización.
• Procesos para la solución de incidentes inoportunos.
• Exploración de la comunicación.
• Rendimientos de auditaría interna.
• Rendimientos de acciones disciplinarias.
• Rendimientos de acciones provisorias.
• Rendimientos de la comprobación de la dirección.
• Rendimientos de medición y supervisión.

Los documentos de empleo habitual mencionados previamente son:

• Proceso para llevar el control de la información.
• Acuerdos y contratos con proveedores.
• Externalizacion de los socios.
• Plan de sensibilización y formación.
• Circunstancias de sucesos.
• Planes de pruebas y ejercicio.
• Atenuación del riesgo.
• Crónica post-ejercicio.
• Procesos de análisis, medición, evaluación y seguimiento.
• Proceso de auditoria interna.
• Proyecto de mantenimiento del SGCN.

ISOTools facilita el conjunto documental requerido por la norma ISO-22301 para su SGCN, permitiendo un mejor acceso a la información a través de su automatización.

La entrada ISO 22301. Documentación demandada. se publicó primero en ISOTools Colombia.

La implantación de un (SGCN) Sistema de Gestión de la Continuidad del Negocio mediante la norma ISO 22301 permite a las empresas controlar continuamente los riesgos que pueden ocasionarse en sus negocios y conocer la capacidad de prevención ante accidentes o riesgos imprevistos con la que pueden ser solucionados.

SGCN ayuda a las empresas a reducir las consecuencias que tienen los riesgos mediante la disminución de los costes comunes, la estabilidad de la cadena de suministro, otorgando confianza a la plantilla y cumplimiento los requisitos legales aplicables.

La norma internacional ISO22301 es fundamental para un SGC, ya que colabora con las empresas a desarrollarlo y aplicarlo.

La noma ISO-22301 especifica ciertos requisitos comunes necesarios para la mejora, el mantenimiento o implantación continua de un SGCN, y aplicables a todas las empresas con independencia de su tamaño.

Mediante la creación de objetivos por parte de la dirección, la organización apropiada de los recursos y tener claras las expectativas, la norma ISO 22301 hace que sea posible la continuidad del negocio.

El plan de continuidad del negocio se realiza mediante:

• El compromiso de la dirección con los procesos del SGCN.
• Fundar un Comité de Procesos.
• Desarrollar las actividades de implementación de un SGCN.
• Aprobación del avance de los procesos.
• Identificar los requerimientos fijados, las responsabilidades y los grupos de planificación.

La Plataforma Tecnológica ISOTools permite un SGCN mediante la aportación del conjunto documental requerido por la norma ISO 22301, y permitiendo a las empresas un acceso mejor a la información.

La entrada Puesta en funcionamiento de un SGCN en la empresa: ISO 22301. se publicó primero en ISOTools Colombia.

La norma ISO22301 y el sistema que detalla sobre la gestión de continuidad del negocio, adapta el ciclo PHVA (planificar, hacer, verificar y actuar). Todo ello da lugar a la planificación, implantación, ejecución, monitorización, evaluación, conservación y mejora constante de la eficiencia del sistema de gestión.

A través del Sistema de Gestión de la Continuidad del Negocio (SGCN), la norma ISO-22301, toma todos los componentes de las partes interesadas y los requerimientos para la gestión de la continuidad, que a través de ciertas actuaciones y procesos obtienen soluciones de continuidad para hacer frente a las necesidades.

Los elementos integrantes del modelo son:

• Planificación: fase que se da a conocer a través de las cláusulas 4, 5, 6 y 7. En este elemento o componente se consideran los principales requisitos dentro del contexto del liderazgo, planeamiento, organización o soporte.
• Hacer: fase del proceso integrada por la cláusula 8 (evaluación de riesgos, proyecto de control y operativo, métodos de continuidad y business impact análisis).
• Verificar: fase integrada por la cláusula 9 (análisis y evaluación, auditoria y revisión, monitoreo y medición).
• Actuar: fase que abarca los requisitos de la cláusula 10 (no actuaciones y paciencias correctivas y mejora constante).

Este modelo es esencial en la continuidad del negocio para el trabajo cotidiano porque mediante el, se logran los objetivos primordiales:

• Actualización del certificado del Sistema de Gestión.
• Identificación de posibles cambios en los procedimientos.
• Establecimiento en los activos de información de nuevos niveles de riesgos.
• Instauración de nuevas tecnologías.

La Plataforma Tecnológica ISOTools colabora con el ciclo PHVA obteniendo una mejora constante en todas las organizaciones y llevándolas a alcanzar el máximo rendimiento posible.

La entrada ISO 22301 y su relación con el ciclo PHVA se publicó primero en ISOTools Colombia.

ISO22301 es la norma internacional más vigente relacionada con la continuidad del negocio de las organizaciones. El desarrollo o evolución en este tema ha producido la llegada de prácticas correctas, modelos actuales y distintos alineamientos cuando se divulgo la norma ISO 22301 que surgió  de la NFPA 1600 desde el año 1995 hasta el año 2012.

NFPA ha sido el antecedente relacionado con la continuidad del negocio. NFPA estableció los principios para la gestión de accidentes o acontecimientos urgentes y proyectos con respecto a la continuidad del negocio para las empresas.

En 1997, NFPA propicio para la gestión de la continuidad del negocio las llamadas practicas profesionales, constituidas por el DRII. Mas tarde y a continuación, en 2022, propicio las buenas practicas para la continuidad del negocio.

En el año 2003, PAS 56 fundó los principios, el proceso y el léxico del sistema, además, de una variedad de sugerencias relacionadas con la prevención de riesgos. Tres años mas tarde, 2006, tenia lugar un nuevo lineamiento describía el ciclo de vida de la continuidad del negocio.

El primer modelo internacional, certificable y auditable nació en el año 2007, en el que se determino los requerimientos necesarios para una orientación de los sistemas basados en las buenas prácticas. En 2008, se realizaron guías para la protección de la información y notificaciones frente al restablecimiento de adversidades, y un código sobre la gestión de la continuidad para las buenas prácticas.

En 2010, se publica el lineamiento ASIS/BSI que establece los requisitos para un Sistema de Gestión de la Continuidad del Negocio.

Y para terminar, surge antes de la aprobación del modelo ISO-22301 el PAS 200 responsable de la gestión de la crisis.

La norma ISO 22301 surge en 2012, para la implantación de un SGCN camuflado por el ciclo PHVA.

ISOTools ayuda a las organizaciones en la implementación de la norma ISO22301 ideal para un buen SGCN que detecte y haga frente a las posibles amenazas que acechan a la organización.

La entrada Desarrollo de NFPA 1600 a ISO 22301. Continuidad del negocio se publicó primero en ISOTools Colombia.

El modelo de sistemas de gestión que se ajusta a la reciente estructura de alto nivel y al texto estandarizado en ISO, es ISO22301. Por tanto, este estándar ratifica la cohesión con las demás normas de gestión, venideras y controladas, y la simplicidad en cuanto a la integración con otros, como:

• ISO 9001
• ISO 14001
• ISO 27001

Son 10 las principales cláusulas que componen ISO-22301. Las primeras son aquellas que están relacionadas con el alcance, las referencias normativas y términos y conceptos. Las demás cláusulas que vienen a continuación son:

• Cláusula 4: Contexto de la organización

Primeramente, la organización debe conocer tanto las exigencias internas como externar, e implantar un tope para conseguir el sistema. Además, las exigencias de las partes interesadas tienen que ser admitidas por la organización.

• Cláusula 5: Liderazgo

Existe un particular deseo de ISO22301 en la necesidad de un apropiado liderazgo en la GCN. Es esencial para que la alta dirección pueda confirmar que los recursos indispensables son proporcionados, se mencionan a los responsables del GCN y se instaura la política.

• Cláusula 6: Planificación

La identificación de los riesgos para la implantación del sistema de gestión es una obligación inexcusable para la organización, además, de aprobar los objetivos y criterios a perseguir.

• Cláusula 7: Soporte

Para apoderarse de la continuidad del negocio, la organización debe disponer de personas con estudios, práctica y capacidades, para que colaboren con el SGCN y se comprometan a informar de posibles incidentes.

Dentro de esta cláusula, también podemos incluir la preparación para intervenir después de cualquier percance o incidente, y la necesidad de comunicación de los SGCN.

• Cláusula 8: Operaciones

Para que las empresas entendiesen cómo se podría ver de perjudicado su propio negocio por una suspensión, éstas deben ejecutar el análisis de impacto en el negocio. Además, deben desarrollar la valoración de riesgos encargada de tratar los riesgos de manera ordenada para el negocio.

• Cláusula 9: Evaluación

Las organizaciones tienen que realizar auditorias internas, un control de los SGCN y una actuación sobre dichos controles previos.

• Cláusula 10: Mejora

Se fijan las acciones para la mejora del SGCN ante las posibles alteraciones o cambios producidos con regularidad en los entornos y en las organizaciones.

ISOTools es la Plataforma Tecnológica que agiliza la automatización de ISO-22301 de de manera simple, consiente la identificación y gestion de los riesgos, minimizando la probabilidad de que ocurran.

La entrada Las cláusulas del SGCN: ISO 22301 se publicó primero en ISOTools Colombia.

ISO 22301 conforma un Sistema de Gestión de Continuidad del Negocio empleado para la mejora constante del mismo.

Este sistema proporciona confianza y seguridad con respecto a los servicios y productos que las partes interesadas pretenden conservar de las amenazas que pueden surgir en cualquier momento.

Cualquier suceso o acontecimiento de una amenaza posee una estrategia de continuidad concretada con proyectos de continuación de operaciones asiduamente ensayados.

Con un ensayado SGCN, a una empresa le es prácticamente imposible que prescinda de la operación o no sea competente en el abastecimiento y suministro de sus servicios o productos.

El desarrollo de buenas prácticas, lineamientos o estándares de continuidad del negocio han derivado en un progreso continuado en el tiempo de ISO-22301:

• En 1995 NFPA (Asociación Nacional de Protección contra el Fuego). Se trata del lineamiento más antiguo que constituyó diversas reglas para las emergencias, gestión de desastres y programas de persistencia para las organizaciones.

• En 1997 DRII (Disaster Recovery Institute International) que difundió para la Gestión del Negocio las prácticas profesionales.

• En 2002 Business Continuity Institute publicó las Buenas Prácticas para la Continuidad del Negocio.

• En 2003 PAS 56 creó los principios, el proceso y la terminología del sistema de continuidad del negocio. Además, realizó una sucesión de recomendaciones para la antelación a posibles percances y otros de tipología técnica para su estimación.

• En 2006 El lineamiento BS 25999-1 fue publicado concretando el ciclo de vida para la continuidad del negocio.

• En 2007 BS 25999-2:2007 convirtiéndose en el principal estándar internacional certificable y auditable. Su deber consistía en fijar los requerimientos de uno de los enfoques del sistema de gestión. Igualmente, ISO/PAS 22399 fue publicado en el año 2007 desarrollando para una entidad interesada en los sistemas de gestión el lineamiento genérico con el objetivo de desempeñar los potenciales incidente y la continuidad operacional.

• En 2008 Se publicaron ISO/IEC 14762, efectuando una serie de manuales referidos a la recuperación de desastres mediante el suministro de comunicación e información sobre la gestión de la continuidad, y BS 25777, realiza un reconocimiento de una recopilación de buenas prácticas relacionado con la gestión de la continuidad.

• En 2010 fue publicado el ASIS/BSI Business Continuity Management Standard. En definitiva, es un lineamiento estable en BS 25999 y determina la demanda o peticiones de la continuidad del negocio para un sistema de gestión.

• En 2011 aparece PAS 200 Gestión de Crisis (Lineamiento y Buena Práctica), constituido para ayudar en la toma de pasos prácticos a las entidades con el objetivo de incrementar sus capacidades para sobrevivir a la crisis. Por otro lado, IEC 27031 que surge igualmente en 2011 especifica con el objeto de cualificar a las empresas en la continuidad del negocio, una serie de principios y definiciones de tecnología de la comunicación e información.

• En 2012 para finalizar,  se publica ISO 22301 Seguridad de la Sociedad (Sistema de Continuidad del negocio) arriesgando por el ciclo PHVA, para la implantación, operación, revisión, planificación, establecimiento, mantenimiento, monitoreo y la mejora constante de su eficacia.

ISOtools ayuda al mantenimiento e implantación del Sistema de Gestión de Continuidad del Negocio para estar al tanto de todo y poder controlar las posibles amenazas que acechan a las organizaciones.

La entrada Aparición de la norma: ISO 22301 se publicó primero en ISOTools Colombia.

ISO 22301 es un estándar internacional fundada a raíz de la enorme demanda internacional de certificaciones que había de la norma británica BS 25999-2.

La norma BS 25999-2, publicada en 2007, fue la primera a nivel internacional certificable y auditable. Se elaboró con la intención de establecer los requisitos para los sistemas de gestión de la continuidad del negocio, fundamentado en buenas prácticas.

ISO-22301 contempla todas las especificaciones de BS 25999-2, pero se diferencian en lo concerniente a la definición de los objetivos, eficiencia de la vigilancia y en los valores característicos.

ISO22301 presta mayor atención en los aspectos siguientes:

• Gestión de la continuidad de negocio, la cual contiene el modo de pensar de los directivos y les concede un mayor grado de responsabilidad. La alta dirección es la responsable de la gestión de la continuidad.
• El estándar ISO 22301 es reflexivo en cuanto a la planificación de recursos y preparación. El SGCN debe estar formado por objetivos y procesos de la gestión de riesgos de la organización.
• ISO-22301 trata los requisitos referentes a los proveedores con detalle más puntual que las normas anteriores, lo que apoya la ventaja de hacer una mejor validación de las cadenas de suministro, clientes y otros.
• La norma respeta que las organizaciones se ocupen de sus partes interesadas o “stakeholders”.
• El estándar persigue el fin de normalizar el concepto de gestión de la continuidad de negocio y consolidar su lenguaje. Esto da lugar a los fundamentos para alcanzar condiciones de competencia homogéneas en las relaciones de comercio internacional.

Los cambios en las certificaciones del estándar BS 25999-2 a la norma internacional ISO 22301 van a ir cambiando en las sucesivas auditorías de renovación.

ISOTools es la Plataforma Tecnológica que activa la automatización de la norma ISO-22301 de manera simple, tolerando la identificación y gestión de los riesgos y minimizando la probabilidad de que ocurran.

La entrada ISO 22301, el paso desde BS 25999-2:2007 se publicó primero en ISOTools Colombia.