Saltar al tema
¿Qué es ISO 22301 y por qué la necesita?
En un mundo donde los ciberataques, las filtraciones de datos y los desastres naturales pueden interrumpir la continuidad del negocio y dañar rápidamente la reputación, las organizaciones y empresas necesitan implementar, mantener y seguir perfeccionando su sistema de gestión de la continuidad del negocio (BCMS). La certificación ISO 22301 de su gestión de continuidad garantiza que así lo estén haciendo.
ISO 22301 ayuda a las organizaciones a identificar y priorizar amenazas. Les permite implementar su sistema de gestión de continuidad del negocio de manera efectiva para que estén listos para responder y recuperarse de incidentes con la menor interrupción del negocio.
Los estudios han demostrado que casi 1 de cada 5 organizaciones experimenta interrupciones comerciales importantes cada año. Por lo tanto, una organización robusta y resiliente es aquella que puede cambiar con los tiempos, comprende dónde están sus vulnerabilidades y cuenta con planes para mitigar el riesgo, así como responder si es necesario. El cumplimiento o la certificación de la gestión de continuidad del negocio ISO 22301 le permite a su organización lograr todo lo anterior de una manera sencilla y estructurada.
La última versión del estándar.
El 31 de octubre de 2019 se publicó la última versión de la norma ISO 22301: ISO 22301:2019. Esta es una versión revisada de ISO 22301:2012. Su objetivo es hacer que la norma sea “más ágil y práctica”, según la ISO. Según el Servicio de Acreditación del Reino Unido (UKAS), las empresas podrán realizar la transición de la norma ISO 22301:2012 a la ISO 22301:2019 hasta el 30 de abril de 2023. El plazo se ha ampliado excepcionalmente debido a la situación del Covid-19. La versión 2019 ha sido generalmente bien recibida y las transiciones de versiones antiguas a nuevas del estándar se consideran un ejercicio de valor agregado no demasiado oneroso.
Puede encontrar la documentación del estándar de gestión de continuidad del negocio ISO 22301 en el sitio web oficial de ISO.
ISO 22301:2019 proporciona a las empresas la certificación de seguridad y resiliencia más actualizada para garantizar que sus sistemas de gestión de la continuidad del negocio cumplan con el estándar internacional establecido por la ISO.
La relación con ISO 22301:2012
No existe una diferencia radical entre ISO 22301:2012 e ISO 22301:2019. Ambas versiones requieren la participación de la alta dirección y el modelo actualizado refleja lo que se requiere para mantener un BCMS exitoso.
Esa sostenibilidad se vuelve mucho más cómoda con sistemas de gestión de continuidad del negocio basados en tecnología como ISMS.online.
ISO 22301:2012 se publicó en mayo de 2012 y se modificó en junio del mismo año. Los requisitos del sistema de gestión establecidos en la gestión de la continuidad del negocio ISO 22301 pretendían extenderse a todas las organizaciones. El grado en que se implementan los criterios depende del entorno operativo y el alcance de la organización, de manera similar a cómo se desarrollaría su gama para otras normas de sistemas de gestión como ISO 27001.
Si bien se han revisado varios conceptos y terminología de la gestión de la continuidad del negocio para ampliar el contexto y reflejar los procedimientos establecidos, la Cláusula 8; Operación, es el área principal donde se han producido cambios.
ISMS.online ofrece marcos de gestión de continuidad del negocio ISO 22301 dentro de sus paquetes de servicios. Eso significa que las organizaciones que deseen migrar sus sistemas de gestión de continuidad del negocio existentes pueden hacerlo, así como aquellas que se embarcan en ISO 22301 por primera vez.
¿Qué es la gestión de la continuidad del negocio?
Si su empresa se viera afectada por una catástrofe o una crisis, ¿podría su negocio continuar? Cuando ocurren incidentes y desastres naturales, hay poco tiempo para preparar una estructura de respuesta, particularmente cuando las personas, los procesos, las redes, la infraestructura y otros servicios esenciales clave se ven afectados.
Un desastre no tiene límites. Podría afectar la continuidad de su negocio interna y externamente, afectando a sus clientes y también a la cadena de suministro. Ya sea que usted sea una empresa pequeña o grande, puede enfrentar el impacto. El objetivo principal de la gestión de la continuidad del negocio es reducir la probabilidad de amenazas y garantizar que la empresa reaccione ante perturbaciones importantes que puedan poner en peligro su futuro.
La gestión de la continuidad del negocio se trata de un liderazgo responsable y eficaz. Debe proporcionar una base para desarrollar la resiliencia ante incidentes, así como la capacidad de responder con éxito, salvaguardando los intereses de las partes interesadas clave, la reputación y las operaciones de creación de valor de su empresa.
Una estrategia de continuidad del negocio con un sistema de gestión documentado debería garantizar que los trabajadores sean conscientes de sus funciones y responsabilidades. En caso de que surja un imprevisto, es fundamental poder adaptarse a los procesos establecidos y procedimientos aprobados.
Planes de continuidad del negocio dentro de ISMS.online
Muchos de nuestros clientes desarrollan planes de continuidad del negocio simples pero efectivos dentro de ISMS.online para cumplir con la norma ISO 27001 y proteger sus valiosos activos de información. Otros clientes van aún más lejos con la norma ISO 22301 e introducen una planificación y prevención de resiliencia más sofisticadas, así como mecanismos de respuesta a incidentes.
Reserve una demostración de la plataformaLos beneficios de la Gestión de la Continuidad del Negocio
La gestión de la continuidad del negocio ayuda a las organizaciones a reducir la probabilidad y el impacto de las interrupciones y el tiempo de inactividad, proteger los activos si algo sale mal, continuar operando durante la interrupción y recuperarse lo más rápido posible de cualquier incidente que ocurra. Tener planes de continuidad del negocio implementados ayudará a su organización de las siguientes maneras:
Cumplir con los requisitos legales
ISO 22301 se utiliza para la certificación legal y regulatoria de la gestión de la continuidad, asegurando que se cumplan todos los elementos requeridos de un sistema de gestión de la continuidad del negocio.
Lograr una ventaja de marketing
La reputación de la marca es valiosa para cualquier organización y debe protegerse a toda costa. Con un sistema de gestión de la continuidad, es posible generar confianza en el cliente, reduciendo la probabilidad de un desastre de relaciones públicas que podría dañar las relaciones con las partes interesadas, incluidos clientes y proveedores.
Reducir la dependencia de los individuos.
A través de la planificación, la capacitación, los programas de concientización y las pruebas, todos en una organización deben comprender lo que se espera de ellos. Esto genera confianza en que los planes de continuidad del negocio funcionarán en caso de una interrupción.
Prevenir daños a gran escala
Es vital mantener su negocio en funcionamiento durante y después de un incidente. Al recuperar las operaciones comerciales rápidamente después de las interrupciones, es posible reducir el costo de los incidentes dañinos, proteger la reputación de la organización e incluso salvar vidas, si ocurren eventos peligrosos, como incendios o inundaciones.
Resiliencia operativa
Los contratiempos y los eventos no planificados varían en escala, velocidad e impacto y posiblemente solo afecten a un solo departamento o ubicación. Identificar y planificar posibles problemas de menor escala que podrían convertirse en dificultades operativas importantes para toda la organización mantendrá las ruedas en marcha.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Riesgo de continuidad del negocio
La gestión de la continuidad del negocio utilizando un sistema de gestión bien documentado le ayuda a identificar mejor y reducir la probabilidad de incidentes disruptivos o abordar los riesgos de continuidad del negocio. La gestión de la continuidad del negocio conduce al crecimiento de un entorno más estable, aunque las empresas sin sistemas exitosos de gestión de la continuidad del negocio aumentarán significativamente las posibilidades. Un Plan de Continuidad del Negocio (BCP) bien desarrollado, organizado y ensayado puede ayudar a que el negocio se recupere de un incidente lo más rápido posible.
Todos sus procedimientos deben estar actualizados, ser precisos y eficientes. Los métodos incluyen, entre otros, evaluaciones de riesgos corporativos, revisiones de riesgos de seguridad de la información y abordar sus políticas de salud y seguridad, así como su plan de gestión de continuidad.
Ejemplos de riesgos de continuidad del negocio incluyen:
- Ciberataques y violaciones de datos
- Cortes de TI y telecomunicaciones no planificados
- Interrupción del suministro de servicios públicos
- Clima adverso y otras causas ambientales.
- Pandemias y epidemias
- Actos de terrorismo
- Incidentes de seguridad
- Incendió
- Inundación
- Pérdida de personal clave
- Destrucción de propiedad física o pérdida material.
Preparación para emergencias
La gestión de la continuidad del negocio detalla los pasos que debe seguir en caso de emergencia en forma de un Plan de recuperación ante desastres (DRP). Un Plan de Recuperación ante Desastres es una estrategia de continuidad del negocio organizada y documentada que demuestra cómo responder a incidentes disruptivos.
El Plan de Recuperación de Desastres comienza su formación luego de un análisis de impacto comercial más detallado, que ayuda a demostrar dónde se encuentran el impacto y las consecuencias más importantes de un evento. ISMS.online le brinda las herramientas que necesita para administrar el análisis de impacto de su negocio, los planes de recuperación ante desastres y mucho más utilizando la tecnología de la información.
Su DRP debe incluir un acuerdo a corto plazo para reparar y reconstruir sistemas comerciales críticos y un plan para abordar problemas como la identificación de la causa raíz y un enfoque de prevención a largo plazo. Hay muchas opciones disponibles para garantizar que una organización tenga un sistema de contingencia que proporcione la mejor solución.
Por ejemplo, el sistema de recuperación in situ garantizaría que los datos se puedan recuperar de manera más eficiente con copias de seguridad y otros medios. Sus medidas de prevención también deben proteger contra posibles fallas del servidor y considerar el riesgo de los contratistas externos. Luego, podría elaborar planes de contingencia y estrategias alternativas de continuidad del negocio para la ausencia de suministros que son vitales para las operaciones comerciales mucho antes de que se conviertan en un problema de recuperación ante desastres.
¿Qué es un BCMS?
Un sistema de gestión de la continuidad del negocio, en pocas palabras, es un enfoque reconocido para garantizar que una organización pueda continuar con las operaciones comerciales y responder eficazmente a incidentes disruptivos.
ISO 22301 proporciona un método constante y establecido de análisis de impacto empresarial con un marco basado en buenas prácticas reconocidas. Cualquiera que implemente y obtenga la certificación para un sistema de gestión de continuidad del negocio basado en ISO 22301 encontrará reconocimiento y comprensión instantáneos por parte de clientes influyentes, incluidos expertos capacitados, auditores y otras partes interesadas.
Cuando se basa en la norma ISO 22301, la propia ISO enfatiza la importancia de los sistemas de gestión de la continuidad del negocio:
- Demostrar que la organización comprende las necesidades y la necesidad de una política y objetivos de continuidad del negocio establecidos.
- Implementación y ejecución de procesos, mecanismos de respuesta a incidentes y otras intervenciones para garantizar que la organización sobreviva a una interrupción.
- Seguimiento y mejora continua del sistema de gestión de la continuidad del negocio
Demostrar buenas prácticas para la gestión de la continuidad del negocio.
Seguir la norma ISO 22301 como base para su BCMS proporcionará pruebas de que la empresa ha tomado las medidas necesarias para cumplir con los requisitos reglamentarios además de las buenas prácticas reconocidas.
Una mejor práctica en continuidad del negocio incorpora el ciclo de vida de la gestión de la continuidad del negocio, ya que puede hacer posible maximizar la eficiencia y la calidad de sus sistemas de gestión de la continuidad del negocio. ISO 22301 proporciona un marco sobre las mejores prácticas internacionales sobre el concepto bien entendido de Planificar/Hacer/Verificar/Actuar. Este concepto se aplica a las organizaciones que implementan, mantienen y mejoran sus sistemas de gestión de la continuidad del negocio, con lo que busca asegurar el cumplimiento de la política establecida sobre continuidad del negocio.
Con un sistema de gestión de la continuidad del negocio basado en los requisitos de la norma ISO 22301, se puede concienciar a las partes interesadas, tanto internas como externas, de que la organización opera con buenas prácticas en la gestión de la continuidad del negocio.
Recuperación ante desastres y BCMS
Al desarrollar planes eficaces de continuidad del negocio, una organización estará en buena posición para implementar prácticas que reduzcan la probabilidad de incidentes y daños a la organización. No solo esto, sino que los planes efectivos de continuidad del negocio lo ayudarán a comprender mejor su organización y administrarla de manera más efectiva.
La orientación ISO ayuda a las organizaciones a identificar y gestionar el cumplimiento, normalmente utilizando una serie de procedimientos, políticas, diagramas de procesos o similares. Esta orientación les ayuda a planificar y recuperarse de las interrupciones en sus actividades comerciales. Sin embargo, es mejor evitarlos por completo, aunque eso no siempre es posible o viable desde el punto de vista financiero o técnico. También es fundamental aclarar prioridades si ocurre un incidente, por ejemplo: ¿cuál es el objetivo del tiempo de recuperación? ¿Cuál es el tiempo de inactividad más alto soportable? Puede utilizar la respuesta a estas preguntas para preparar su plan de recuperación ante desastres. La velocidad de recuperación debe ser una consideración. Un sistema de gestión de continuidad del negocio alineado con ISO 22301 incluirá recuperación ante desastres y planes efectivos de continuidad del negocio para ayudar a su empresa a recuperar sus operaciones críticas lo más rápido posible.
BCMS y ciberresiliencia
La implementación de un sistema de gestión de la continuidad del negocio (BCMS) es imperativa para desarrollar la ciberresiliencia en el entorno de ciberseguridad actual. Parte de la norma de seguridad de la información ISO 27001 contiene una cláusula sobre la continuidad del negocio: ISO 22301 satisface con creces este requisito de ISO 27001.
Los ciberataques han aparecido habitualmente en los titulares en la última década. Por ejemplo, el infame ataque global de ransomware WannaCry en mayo de 2017 dejó un rastro de devastación cuando a las organizaciones se les negó el acceso a sus propios datos y se las obligó a detener las operaciones comerciales hasta que se pagaran grandes rescates.
Estos incidentes demuestran la importancia de garantizar que su empresa pueda responder y recuperarse de las interrupciones mediante la implementación de un sistema de gestión de la continuidad del negocio (BCMS) eficaz.
Los beneficios de ISO 22301
ISO 22301 tiene muchas ventajas, incluido el regreso de la organización a la normalidad con una interrupción mínima por cualquier crisis.
Resiliencia operativa
Tener la capacidad de continuar con las operaciones comerciales independientemente de cualquier incidente menor o mayor que se produzca es cada vez más importante para las empresas de todos los sectores. Un sistema de gestión de la continuidad del negocio (BCMS) permite a una empresa planificar estos incidentes. Esto conduce a una mayor competitividad y reduce la cantidad de tiempo de inactividad operativa que tendrá una empresa, en caso de que ocurra algo inesperado.
Preparación para emergencias
ISO 22301 brinda a las empresas y organizaciones la capacidad de responder adecuadamente en caso de incidentes disruptivos y evitar desperdicios o pérdidas innecesarias. Al evaluar proactivamente el efecto de la disrupción, la gestión de la continuidad del negocio reconoce los productos y servicios que son esenciales para la supervivencia de la organización. Busca determinar qué soluciones y planes de contingencia se requerirán si ocurriera un incidente.
Gobierno Corporativo
El cumplimiento de la norma ISO 22301 ayuda a cumplir los requisitos de gobierno corporativo. Básicamente, la norma puede proporcionar evidencia de que la organización ha tomado las medidas necesarias para cumplir con los requisitos reglamentarios que exigen un programa eficaz de gestión de la continuidad del negocio.
Gestión de crisis
La Gestión de Crisis (CM) se refiere a la coordinación general de la respuesta de una organización a una crisis, de manera efectiva y oportuna. Para los responsables de manejar la gestión de crisis, el objetivo es evitar o al menos minimizar el daño a la rentabilidad, reputación o capacidad de operación de la organización. Cumplir con la norma ISO 22301 confirma que existen las medidas adecuadas para que esto suceda.
Recuperación de desastres
Las actividades de recuperación ante desastres se concentran en que la organización vuelva a funcionar como de costumbre después de un evento traumático y en encaminarla hacia una recuperación completa. Es importante reconocer que esto es diferente de la gestión de la continuidad del negocio, que consiste en garantizar que la empresa pueda seguir reduciendo la probabilidad de desastres naturales y funcionar durante una crisis.
Protección de la reputación en una crisis
La certificación ISO 22301 muestra a las partes interesadas que su capacidad de continuidad del negocio es apropiada para la escala y el alcance de su organización. Al igual que la ISO 27001, genera más confianza, especialmente cuando está certificada por un organismo de certificación independiente. Le ayuda a comprender las necesidades comerciales al identificar posibles fallas y riesgos. Luego, las empresas pueden demostrar a las partes interesadas, consumidores, proveedores y reguladores que cuentan con procesos y sistemas de gestión de continuidad del negocio sólidos. ISO 22301 también aumentará la confianza de las partes interesadas en la capacidad de la organización para responder a incidentes y eventos disruptivos y para sostener situaciones críticas. procesos de negocio en caso de que ocurriera una catástrofe.
Preparación para fallas tecnológicas.
Desde fallas en las telecomunicaciones hasta pérdida de acceso a datos almacenados, las fallas tecnológicas pueden ser enormemente perjudiciales para la rentabilidad y la reputación de una organización. ISO 22301 garantiza que se implementen todas las medidas para mitigar dicha interrupción y garantizar que todos los departamentos estén preparados para el peor de los casos.
Reducir los costos del seguro de interrupción del negocio
Con un BCMS implementado que cumple con la norma ISO 22301, una organización tiene información más significativa sobre los impactos de un desastre potencial. Esto permite a la empresa evaluar mejor el tipo y valor de la cobertura de seguro que necesita, lo que podría reducir los costos a largo plazo.
Plan para la pérdida repentina de recursos críticos
De ello se deduce que si hay una identificación proactiva del impacto de la disrupción, una organización estará en una posición sólida para mantener la continuidad del negocio. Los sistemas de gestión de la continuidad del negocio ayudan a establecer qué respuestas serán necesarias si se produce una interrupción y la ISO 22301 proporciona además la capacidad de reaccionar adecuadamente en caso de dicha interrupción.
¿Cómo funciona ISO 22301?
ISO 22301 funciona estableciendo cómo construir un sistema de gestión que ayude a una organización a planificar cualquier tipo de incidente que pueda afectar su capacidad para operar de manera efectiva.
Este estándar proporciona un marco para que una organización defina responsabilidades y permite evaluar y revisar el desempeño de la continuidad del negocio a lo largo del tiempo. Con ISO 22301 puede crear los documentos necesarios para proporcionar evidencia auditable de capacidades de contingencia, como parte de los requisitos de cumplimiento continuo.
La evaluación del desempeño, las auditorías y la mejora continua son fundamentales para el estándar del sistema de gestión establecido por las normas ISO 22301:2012 e ISO 22301:2019.
¿Quién puede implementar la ISO 22301?
El estándar ISO/IEC 22301 BCMS se extiende a organizaciones de todos los tamaños, en todos los mercados y todos los niveles de experiencia. La implementación de la gestión de continuidad del negocio ISO 22301 incluye revisar las estructuras operativas para identificar posibles deficiencias y permitir que la organización se concentre en sus metas y objetivos de continuidad del negocio.
Las necesidades comerciales del proyecto de implementación son específicas de la empresa que implementa el estándar e ISMS.online lo hace sencillo. No es necesario concentrarse en "cómo" implementará y gestionará la norma ISO 22301; simplemente puede centrarse en las actividades dentro de la norma y centrarse en "qué" debe hacer para prevenir y curar.
¿Cómo implementar la ISO 22301?
Cuando implementa la gestión de continuidad del negocio ISO 22301, el primer paso simple es pensar en abordar los requisitos principales de la norma. Este punto de partida lo alentará a adoptar un enfoque estratégico (de ahí que el liderazgo sea tan importante) y establecer el contexto, el alcance, así como a desarrollar una política de continuidad del negocio establecida y objetivos de los sistemas de gestión de la continuidad del negocio.
Desarrollar una política de continuidad del negocio ayudará a identificar sus áreas de riesgo y oportunidad. A partir de aquí, puede considerar los impactos de esos riesgos y lo que podrían significar para las consecuencias y el tiempo hasta el fallo, la recuperación, etc. Hacerlo le ayudará a descubrir cualquier agujero o deficiencia en los requisitos actuales de sus estándares de sistemas de gestión ISO. También identificará y brindará sugerencias prácticas para mejorarlos. ISO describe esto como estrategias y soluciones de continuidad del negocio.
Obtenga ayuda con la implementación
ISMS.online cuenta con socios que pueden ayudarle con la implementación de ISO 22301, desde lograr un enfoque de sistemas de gestión de continuidad del negocio pragmático y sencillo hasta un BCMS altamente sofisticado.
Reserve una demostración hoy para explorar las opciones disponibles
Reserve una demostración de la plataformaUna vez que haya completado su implementación, es esencial realizar auditorías periódicas del sistema de gestión de la continuidad del negocio. Las auditorías internas también son obligatorias para lograr la certificación independiente del BCMS. Las revisiones de desempeño también complementan las auditorías internas para garantizar que sus sistemas de gestión funcionen como se espera en todo momento.
El auditor ISO también esperaría ver un registro de las mejoras que su organización ha realizado a lo largo del tiempo. Tener un método para abordar las no conformidades, acciones correctivas y otras mejoras es un requisito crucial.
Primeros pasos con ISO 22301
Alentamos a las organizaciones a comprar la norma internacional ISO y asimilarla para comprender completamente los requisitos de las normas del sistema de gestión ISO. Recomendamos comenzar desde el principio (4.1 comprender la organización y su contexto) y evitar lanzarse a desarrollar planes de respuesta a incidentes hasta que haya considerado el alcance, los riesgos y los impactos.
ISMS.online también está preconfigurado con una variedad de herramientas que ayudan a seguir el proceso más fácilmente y le permiten mantener su enfoque en el negocio. También se corresponde con las herramientas y características más completas establecidas para ISO 27001, lo que significa que también puede cumplir con muchos de los requisitos de los sistemas de gestión ISO 22301. Podrá gestionar tareas como auditorías, revisiones de desempeño, reuniones de gestión, educación del personal, etc., todo al mismo tiempo.
Reducirá costes, simplificará el aprendizaje del personal y también hará que la administración del sistema de gestión empresarial más amplio sea mucho más cómoda. Los auditores externos también consideran que esto es mucho más efectivo y se sienten muy confiados cuando ven prácticas operativas consistentes en todas las normas ISO.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
El marco ISO 22301
A continuación resumimos el marco que se establece en la norma ISO 22301:
Contexto
El marco ISO 22301 es para todos los tipos y tamaños de organizaciones que implementan, mantienen y mejoran un BCMS. Debe ser adoptado como una intención estratégica por cualquier empresa que quiera cumplir con la política de continuidad del negocio establecida y esté comprometida a mejorar la resiliencia mediante la aplicación efectiva de los sistemas de gestión de la continuidad del negocio.
Planificación
Fundamentalmente, la planificación de los sistemas de gestión de la continuidad del negocio comienza con la evaluación y determinación de los riesgos y oportunidades relacionados con la gestión de la continuidad del negocio. La organización también debe establecer objetivos de continuidad del negocio para las funciones y niveles relevantes. Estos objetivos deben ser monitoreados, comunicados claramente y actualizados según corresponda.
Liderazgo
En todas las industrias, es vital que el equipo directivo pueda demostrar liderazgo y compromiso con el BCMS. Esto se puede lograr "asegurando que la política de continuidad del negocio y los objetivos de continuidad del negocio estén establecidos y sean compatibles con la dirección estratégica de la organización", dice ISO. El liderazgo debe utilizar canales de comunicación para mostrar a su gente y socios la importancia de una continuidad efectiva del negocio y de ajustarse a los requisitos de los sistemas de gestión de la continuidad del negocio. La estrategia de liderazgo también debe promover la mejora continua y el desarrollo de una cultura de continuidad del negocio.
Operación
La estrategia de continuidad del negocio se basa en la implementación de procesos operativos para la preparación y respuesta a incidentes en todas las funciones del negocio. Esto significa establecer criterios para los procesos e implementar el control de los procesos de acuerdo con los criterios acordados. Desde contar con una estrategia de comunicación y medios hasta gestionar estrictamente el riesgo del sitio después de incidentes disruptivos, la recuperación ante desastres depende de planes de continuidad. Un paso crucial es mantener información documentada con el fin de demostrar que los procesos y las pruebas de BC se han llevado a cabo según lo planeado y mejorado cuando fue necesario.
Evaluación del desempeño
La evaluación del desempeño significa que se puede aprender mucho de los incidentes que ocurren. Al monitorear los éxitos y las limitaciones, se acumula conocimiento. Las partes interesadas tienen la responsabilidad de mantener registros y utilizar los resultados de las auditorías para ayudarles a tomar las decisiones correctas sobre cómo gestionar las interrupciones del negocio en el futuro. Al establecer un programa de auditoría, la organización puede garantizar que se tomen las acciones correctivas necesarias. El objetivo es eliminar las no conformidades detectadas y sus causas.
Mejoramiento
La mejora continua es fundamental para el estándar del sistema de gestión documentado establecido por la norma ISO 22301. Cualquier revisión y mejora en la forma en que se gestiona el BCMS mejorará el plan de gestión de la continuidad del negocio con el tiempo.
Políticas y procedimientos ISO 22301
Las políticas y procedimientos para un proyecto de cumplimiento de la gestión de la continuidad del negocio ISO 22301 deben gestionarse cuidadosamente.
Una organización debe demostrar el cumplimiento de la norma ISO de continuidad del negocio proporcionando la documentación adecuada. Esto incluye un alcance, una política detallada de continuidad del negocio, un procedimiento formal de evaluación de riesgos y planes de continuidad del negocio que muestran cómo la organización responderá y se recuperará de la disrupción.
Términos y definiciones
El estándar habla en detalle sobre seguridad y resiliencia. Utiliza una amplia gama de términos técnicos especializados o términos comunes que tienen un significado específico en un contexto de seguridad y resiliencia.
Para ayudarte a comprenderlos, incluye definiciones de los 31 más importantes. También le indica “Seguridad y resiliencia ISO 22301 – Vocabulario”, que enumera y define casi 300 términos de seguridad y resiliencia.
Hay algunos documentos de pautas asociados que agregan más detalles a los requisitos de ISO 22301. Algunos de estos se enumeran dentro de ISO 27001, las guías destacadas son:
ISO 22313 – Guía sobre el uso de ISO 22301
ISO 22317 – Directrices para el análisis de impacto empresarial (BIA)
Si necesita comprender un término que no figura aquí, debe consultar la norma ISO 22301 para ver qué significa.
También puede encontrar términos y definiciones en línea.
ISO e IEC mantienen bases de datos terminológicas para su uso en normalización en las siguientes direcciones:
Comprender estos términos es muy importante. Para aquellos que aún no son expertos en este campo, puede resultar un poco difícil entenderlos.
Si elige trabajar con nosotros, nos aseguraremos de que los comprenda. Los explicamos en nuestros propios materiales de soporte y, si necesita ayuda más específica, podemos responder sus preguntas nosotros mismos o encontrar el socio independiente adecuado para trabajar con usted.
Auditoría y Cumplimiento
Una auditoría es un proceso de recopilación de evidencia con el propósito de evaluar qué tan bien se cumplen los criterios clave. Las auditorías deben ser objetivas, imparciales e independientes, y el proceso de auditoría debe ser sistemático y documentado.
Las auditorías internas son una parte obligatoria de un BCMS certificado. Además, el organismo de certificación elegido realizará auditorías "externas" periódicas para, en primer lugar, certificar el BCMS y luego garantizar que sigue cumpliendo con el estándar. También es posible realizar auditorías combinadas. Esto ocurre cuando dos o más sistemas de gestión documentados de diferentes disciplinas se auditan juntos al mismo tiempo.
Un auditor ISO esperará ver un registro de las mejoras que su organización ha realizado a lo largo del tiempo. Tener un método para abordar las no conformidades, acciones correctivas y otras mejoras son requisitos cruciales.
La importancia de probar los acuerdos BC
Hay varias formas de probar los arreglos y planes documentados contenidos en el BCMS. Los ejemplos incluyen ejercicios teóricos, ejercicios a escala completa o parcial y también aprovechar el aprendizaje de eventos reales. ISO 22301 exige que estos procesos se realicen periódicamente según corresponda a las actividades y el perfil de riesgo de su organización.
Cumplimiento
Una vez obtenida la certificación, es necesario implementar un plan de mantenimiento para garantizar el cumplimiento continuo de la norma ISO 22301. En ISMS.online tenemos especial experiencia en esto.
También entendemos que la mejora continua es una parte importante para mantener una certificación ISO 22301. La cláusula 10 se centra en esto y cubre todas las acciones tomadas dentro de una organización para:
Logre objetivos de continuidad del negocio de manera más efectiva
Incrementar la confiabilidad de los procedimientos y controles de seguridad.
Crear mayores beneficios de seguridad para la organización y sus partes interesadas.
Requisitos ISO 22301
ISO 22301:2019 implementa el marco, el texto fundamental y las definiciones del Anexo L, anteriormente Anexo SL. El Anexo L establece un marco de alto nivel para las normas del sistema de gestión ISO. El Anexo se redactó para incorporar un texto central similar y terminología y conceptos comunes.
Excepto por la Cláusula 8, los requisitos del Anexo L abordan muchas de las mismas áreas que los requisitos básicos de ISO 27001, cubiertos en la Sección 4.1 a 10.2.
- ISO 22301: El estándar de continuidad del negocio
- Cláusula 1 – Alcance
- Cláusula 2 – Referencias normativas
- Cláusula 3 - Términos y definiciones
- Cláusula 4 – Contexto de la Organización
- Cláusula 6 – Planificación
- Cláusula 7 – Soporte
- Cláusula 8 – Operaciones
- Cláusula 9 – Evaluación del Desempeño
- Cláusula 10 – Mejora
Preguntas Frecuentes
¿Qué es ISO 22301?
ISO 22301:2012 fue la primera versión de esta norma y fue revisada a ISO 22301:2019 el 31 de octubre de 2019. ISO 22301:2019 es también la primera norma ISO que implementa el Anexo L de la Directiva 1 ISO/IEC, que ofrece una base para todas las nuevas normas de sistemas de gestión ISO.
¿Por qué es importante la norma ISO 22301?
- Conservar funciones esenciales en tiempos de crisis.
- Demostrar resiliencia ante los consumidores, proveedores y solicitudes de licitación.
- Detectar y manejar riesgos actuales y potenciales para su negocio.
- adoptar un enfoque proactivo para mitigar el efecto de incidentes disruptivos
Si se hace bien, es posible implementar ISO 22301 y gestión de la continuidad del negocio mientras se adoptan otros estándares de sistemas de gestión.
¿Qué es un Sistema de Gestión de Continuidad del Negocio (BCMS)?
- demostrar que la empresa reconoce la importancia y los requisitos de las políticas y objetivos de continuidad del negocio.
- Introducir y ejecutar procedimientos para estrategias de gestión de incidentes y otras medidas para garantizar que la organización gestione y se recupere eficazmente de una interrupción.
- rastrear y mejorar continuamente el sistema de continuidad del negocio
Usando un BCMS compatible con ISO 22301 comunica a las partes interesadas que su capacidad de continuidad del negocio es aceptable para el tamaño y alcance de su organización.
¿Cuáles son los riesgos de continuidad del negocio?
Ejemplos de riesgos de continuidad del negocio incluyen:
- Ciberataques y violaciones de datos
- Cortes de TI y telecomunicaciones no planificados
- Interrupción del suministro de servicios públicos
- Clima adverso y otras causas ambientales.
- Pandemias y epidemias
- Actos de terrorismo
- Incidentes de seguridad
- Incendió
- Inundación
- Pérdida de personal clave
- Destrucción de propiedad física o pérdida material.
La gestión de la continuidad del negocio utilizando un sistema de gestión bien documentado le ayuda a identificar mejor y reducir la probabilidad de incidentes disruptivos o abordar los riesgos de continuidad del negocio. La gestión de la continuidad del negocio conduce al crecimiento de un entorno más estable, aunque las empresas sin sistemas exitosos de continuidad del negocio aumentarán significativamente las posibilidades.
Un Plan de Continuidad del Negocio (BCP) bien desarrollado, organizado y revisado periódicamente puede ayudar a la empresa u organización a recuperarse de un incidente lo más rápido posible.
Es fundamental que los procedimientos estén actualizados, sean precisos y eficientes. Los métodos incluyen, entre otros, evaluaciones de riesgos corporativos, revisiones de riesgos de seguridad de la información y abordar sus políticas de salud y seguridad, así como su plan de gestión de continuidad.
¿Está preparado para responder y recuperarse de un incidente disruptivo?
Para gestionar dichos riesgos, las organizaciones necesitan planes eficaces de gestión de la continuidad del negocio que les ayuden a recuperarse rápidamente de cualquier evento.
Las organizaciones que invierten en sistemas de gestión de la continuidad del negocio reducen la probabilidad de dañar los ingresos y la reputación cuando surgen emergencias.
¿Qué es un certificado ISO 22301?
La norma ISO 22301 tiene una "estructura de alto nivel", compartida con otras normas de sistemas de gestión ISO. Esto crea una coherencia que puede ayudar a las organizaciones a integrar varios sistemas de gestión para satisfacer sus necesidades de continuidad del negocio.
¿Qué es la gestión de la continuidad del negocio ISO 22301?
¿Cuántas cláusulas clave hay en la norma ISO 22301?
- Lo que hacemos
- Referencias normativas
- Términos y definiciones
- Contexto
- Liderazgo
- Planificación
- Soporte
- Operación
- Evaluación del desempeño
- Mejoramiento
¿Cuál es la última versión de ISO 22301?
Puede encontrar la documentación del estándar ISO 22301:2019 en el sitio web oficial de ISO aquí: https://www.iso.org/standard/75106.html
¿Por qué elegir ISMS.online?
ISMS.online proporciona una gama completa e intuitiva de herramientas de gestión de la continuidad del negocio para ayudarle a planificar lo inesperado y luego responder en consecuencia. Nuestras herramientas BCM le permiten combinar todo su trabajo relevante para ISO 22301 y el Sistema de gestión de continuidad del negocio (BCMS). Además, puede combinar fácilmente ISO 22301 e ISO 27001 con ISMS.online y obtener la certificación para ambas en nuestra poderosa plataforma todo en uno.
