EFICIECIA GERECIAL Y

PRODUCTIVIDAD S.A.C.

Nuevo Estndar Internacional en Continuidad del Negocio

ISO 22301:2012
Por
Alberto G. Alexander, Ph.D, AMBCI
Consultor Internacional
alexander@eficienciagerencial.com

En el pasado 15 de Mayo, el comit tcnico 223 de la organizacin

internacional para la normalizacin (ISO), public la versin final ISO
22301:2012 Seguridad de la Sociedad: Sistemas de Continuidad del
Negocio-Requisitos. Esta norma reemplazar al estndar BS 259992:2007Gestin de la Continuidad del Negocio: Especificaciones. El nuevo
modelo es certificable y auditable. El estndar trae nuevos trminos y
novedades en la documentacin requerida. Seguidamente se presentar
su naturaleza, la documentacin exigida y el proceso de transicin del BS
25999-2:2007 al nuevo estndar.

Introduccin.El Sistema de Gestin de la Continuidad del Negocio (SGCN) se ha convertido

en una exigencia para las empresas que compiten el da de hoy en los
mercados globalizados. La tendencia mundial es que ya las empresas no
compitan entre s, la competencia es entre cadenas de suministros. Una cadena
de suministros para mantenerse operando no puede tener ningn eslabn dbil
y ninguno de sus componentes pueden dejar de operar, ya que si un elemento
del todo dejara de funcionar se paraliza toda la serie generando el caos. Cada
miembro del sistema tiene que demostrar que es un proveedor confiable. Esto
se logra teniendo en cada empresa un SGCN que proteja a los procesos
esenciales que permiten originar los productos/servicios que desea el cliente.
Qu es un SGCN? Es parte del sistema de gestin gerencial que establece,
implementa, opera, evala, mantiene y mejora la continuidad del negocio. Un
SGCN da confianza a terceros, ya que ha identificado los procesos esenciales
que soportan a los productos /servicios que se desean proteger de escenarios
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

de amenazas producto del anlisis del riesgo. (Alexander, 2007) Cada

escenario de amenazas tiene una estrategia de continuidad que se materializa a
travs de planes de reanudacin de operaciones que son ensayados
regularmente. Una empresa con un SGCN ensayado peridicamente es bien
difcil que deje de operar y no pueda suministrar sus productos o servicios.
Naturaleza del ISO 22301:2012.El nuevo estndar ISO 22301:2012 tiene por nombre: Seguridad de la
Sociedad: Sistemas de Continuidad del Negocio. Este modelo aparece como
producto de una evolucin de lineamientos, buenas prcticas y estndares en
continuidad del negocio. En la Figura N 1 se presenta un bosquejo de la
evolucin.

El lineamiento ms antiguo es el NFPA 1600, publicado en 1995, el cual

estableci una serie de conjunto de criterios para la gestin de desastres,
emergencias y programas de continuidad para las organizaciones. En 1997 el
Disaster Recovery Institute International (DRII), pblico las prcticas
profesionales para la gestin de la continuidad del Negocio.
En el ao 2002, el Business Continuity Institute public los lineamientos de
Buenas Prcticas para la continuidad del Negocio. En el 2003 se publica el
lineamiento PAS 56. Esta gua estableci el proceso, principios y terminologa
de un sistema de gestin de continuidad del negocio. Describi las actividades y
resultados involucrados en el establecimiento de un proceso de gestin de
continuidad del negocio. Desarroll una serie de recomendaciones para las
buenas prcticas para la anticipacin a incidentes y respuesta y tcnicas para la
evaluacin.
En al ao 2006 se public el lineamiento BS 25999-1, el cul describi de
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

manera concreta el ciclo de vida de la continuidad del negocio. Su enfoque

represent las opciones continuas del programa de continuidad del negocio en
la organizacin.
En el ao 2007 se public el estndar BS 25999-2:2007 siendo el primer
estndar internacional certificable y auditable. Fue elaborado con el objetivo de
definir los requisitos para un enfoque de sistemas de gestin para la gestin de
la continuidad del negocio basado en buenas prcticas, para su uso por
organizaciones grandes, medianas y pequeas que operan en los sectores
industrial, comercial, pblico y de beneficencia.
En el mismo ao se public el ISO/PAS 22399, el cual gener los lineamientos
genricos para una organizacin interesada en desarrollar un sistema de gestin
con criterios para el desempeo de preparacin ante incidentes y continuidad
operacional.
En el ao 2004 se public el lineamiento ISO/IEC 24762 el cual desarroll guas
para la provisin de informacin y comunicacin frente a la recuperacin de
desastres. En el mismo ao se public el BS 25777, un cdigo de buenas
prcticas sobre gestin de la continuidad. Una norma que, emparentada con la
BS 25999 sobre continuidad de negocio, defini un cdigo de buenas prcticas
sobre continuidad centrado en las infraestructuras TIC de las organizaciones.
En el ao 2010, se public el ASIS/BSI BUSINESS CONTINUITY
MANAGEMENT STANDARD, este lineamiento basado en el BS 25999 (parte 1
y 2), especifica los requerimientos para un sistema de gestin de continuidad del
negocio, para permitir a las organizaciones identificar, desarrollar e implementar
polticas, objetivos, capacidades, procesos y programas para poder atender
eventos alteradores que pudieran paralizar a la organizacin.
En el ao 2011 se public el PAS 200, Gestin de Crisis- Lineamiento y Buena
Prctica. Es un lineamiento diseado para ayudar a las empresas para tomar
pasos prcticos para mejorar su habilidad de manejar crisis. Tambin en el ao
2011, se public el lineamiento ISO/IEC 27031, el cual describe los conceptos y
principios de tecnologa de informacin y comunicacin (ICT) para preparar a
una organizacin para la continuidad del negocio. Es aplicable a todo tipo de
empresa.
Finalmente en el ao 2012, la organizacin internacional para la normalizacin
(ISO) public el estndar Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos., este estndar certificable y auditable capta los
principales conceptos de los dems lineamientos publicados desde 1995.
El estndar ISO 22301:2012 Seguridad de la Sociedad: Sistemas de
Continuidad del Negocio-Requisitos, aplica el ciclo (Plan-Do-Check-Act), para la
planificacin, establecimiento, implementacin, operacin, monitoreo, revisin,
mantenimiento y la mejora continua de su efectividad. El modelo ha sido creado
con consistencia con otros estndares de gestin, tales como: ISO 9001:2008,
ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con el ISO 28000:2007.

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

En la figura N2, se puede apreciar, como el SGCN toma insumos de las partes
interesadas, requerimientos para la gestin de la continuidad, y a travs de las
necesarias acciones y procesos produce resultados de continuidad para cumplir
con los requerimientos. (ISO 22301:2012)
En la figura N 2 se observa cada componente del modelo. El establecimiento es
el Plan. All se aprecian los principales requerimientos. Las secciones 4, 5, 6 y
7 de la norma corresponden al establecimiento. Seguidamente se tiene la
implementacin y operacin, el cual es el Do, esta etapa del proceso est
compuesta por los requerimientos de la seccin 8. Contemplamos en la figura
N2 sus principales requerimientos. Luego se tiene la fase monitoreo y
revisin, la cual representa al Check, all se pueden apreciar los principales
requerimientos de esta seccin. Esta fase comprende los requerimientos de la
seccin 9 de la norma. Finalmente se tiene la fase de mantenimiento y mejora,
representando a la fase Act la cual engloba todos los requerimientos de la
clusula 10 de la norma.
Documentacin Requerida por el ISO 22301:2012.El nuevo modelo exige cierta documentacin obligatoria.
La documentacin obligatoria que una empresa de acuerdo a su alcance debe
desarrollar es la siguiente:

Lista de requisitos legales, normativos y de otra ndole.

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

Alcance del SGCN

Poltica de la continuidad del negocio.
Objetivos de la continuidad del negocio
Evidencia de competencias del personal
Registros de comunicacin con las partes interesadas.
Anlisis del impacto en el negocio
Evaluacin de riesgos, incluido un perfil del riesgo
Estructura de respuesta a incidentes
Planes de continuidad del negocio.
Procedimientos de recuperacin
Resultados de acciones preventivas
Resultados de supervisin y medicin
Resultados de la auditora interna
Resultados de la revisin por parte de la direccin
Resultados de Acciones correctivas.

Transicin de BS 25999-2:2007 a ISO 22301:2012.En la Figura N 3 se tiene una representacin grfica del proceso de transicin
del estndar BS 25999-2:2007 al ISO 22301:2012.

El United Kingdom Accreditation Service (UKAS) ha dado las pautas para la

transicin del BS 25999-2:2007 al nuevo modelo ISO 2301:2012.
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

Como se puede apreciar en la Figura N 3, las empresas podrn certificarse al

estndar BS 25999-2:2007 hasta Noviembre del 2012. A partir de esa fecha el
estndar desaparece y solo prevalecer el ISO 22301:2012.
Las empresas que obtuvieron la certificacin al BS 25999-2:2007, tienen hasta
Mayo del 2014 para realizar la transicin y realizar su ascenso al nuevo modelo.
(Sharp, 2012).

Principales Adiciones al ISO 22301:2012

El nuevo estndar tiene 106 requerimientos versus 56 que tiene el BS 259992:2007. El modelo tiene una serie de clusulas adicionales que a continuacin
se detallan:

Clusula 4: Contexto de la Organizacin

Esta clusula introduce los requerimientos necesarios para establecer el
contexto del SGCN tal como debe aplicar a los requerimientos y
necesidades de la organizacin dentro de un alcance determinado.
La clusula tambin requiere que la organizacin determine su apetito al
riesgo, asi como los aspectos legales y regulatorios que apliquen a la
organizacin. El ISO 22301 requiere que la organizacin determine que
ser cubierto por la continuidad del negocio, asi como tambin que ser
excluido. La organizacin tiene la exigencia de comunicar a partes tanto
internas como externas el alcance del SGCN.

Clusula 5: Liderazgo
Esta clusula hace un buen resumen de las exigencias a la alta gerencia
de la empresa, en relacin a su rol en el SGCN.
Hay nuevos requerimientos para la alta gerencia, tales como:
1. Asegurarse que el SGCN es compatible con la direccin
estratgica de la organizacin.
2. Integracin de los requerimientos del SGCN en los procesos de
negocios.
3. Comunicando la importancia de una eficaz gestin de la
continuidad del negocio.

Clusula 6: Planeacin
Esta clusula requiere que la organizacin claramente defina los objetivos
de continuidad del negocio y desarrolle proyectos para alcanzarlos. Estos
objetivos deben estar relacionados a la poltica de continuidad del
negocio y deben ser conmensurables. Al establecer los objetivos se debe
considerar el nivel mnimo de productos y servicios que seran aceptables
para que la organizacin pueda alcanzar sus objetivos globales de
negocio.

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

Clusula 7: Soporte
La clusula 7 detalla el soporte requerido para establecer, implementar y
mantener un eficaz SGCN. Esto cubre los recursos requeridos, las
competencias humanas, toma de conciencia y comunicaciones con
partes interesadas, as como requerimientos para la gestin
documentaria.
Esta seccin al cubrir toma de conciencia, es bastante especfica, ya que
exige que todas las personas bajo el control de la organizacin estn
conscientes de la poltica de continuidad del negocio, entender su
contribucin al logro de eficacia del SGCN y las implicancias de no tener
conformidad con sus requerimientos. Tambin las personas deben
conocer su rol en un momento de alteracin.
La mayor adicin en la clusula 7 es el tema de comunicaciones. Un
punto importantsimo al gestionar cualquier alteracin en la organizacin.

Clusula 8: Operacin
Clausula 8.1 La clusula planificacin operacional y control, es nueva.
Esta clusula requiere que la organizacin, asegure la existencia de
procesos, que hayan sido desarrollados para gestionar que los riesgos al
SGCN, estn correctamente implementados.
Clusula 8.2.2 El Business Impact Analysis, introduce un nuevo trmino,
esquemas de tiempo priorizados. Este trmino se relaciona con el
conocido Recovery Time Objective (RTO) y define el orden y los
tiempos para la recuperacin de actividades crticas que soportan los
productos y servicios claves.
El trmino Maximun Tolerable Period of Disruption (MTPD), el cual es
definido en la seccin 3 del estndar, no es usado en la norma. Pero en
la clusula 8.2.2 (c) plantea que la organizacin debe establecer
esquemas de tiempo priorizados para reanudar operaciones que apoyan
los productos/servicios claves, en un nivel especfico aceptable, tomando
en consideracin el tiempo en el cual, los impactos, de no reanudar
operaciones se convertiran en inaceptables. Como se puede apreciar, el
concepto del MTPD sigue vigente.
Clusula 8.2.3 La evaluacin del riesgo le presta atencin de que ciertos
aspectos financieros y obligaciones gubernamentales, requieren de
comunicacin a distintos niveles de detalle, de los riesgos que pudieran
alterar las actividades priorizadas.
Clusula 8.4.2 La estructura para respuesta a incidentes, ha expandido
sus requerimientos. Especficamente la necesidad para identificar
impactos de amenazas que justifican la iniciacin de una respuesta
formal y la necesidad de utilizar la salvaguarda de vidas humanas como
primera prioridad, al establecer comunicados internos y/o externos.
Clusula 8.4.5 Recuperacin es un nuevo requerimiento, el estndar
plantea que la organizacin debe tener procedimientos documentados
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

para poder restablecer y retornar las actividades del negocio de medidas

temporales creadas para soportar los requerimientos normales de la
organizacin.

Implantacin del ISO 22301:2012

Cuando una organizacin desea iniciar la implantacin del modelo ISO
22301:2012, siempre se genera la interrogante de por dnde empezar? Ser
conveniente iniciar con el Business Impact Analysis? O con la estructura para
responder a incidentes. En fin hay una serie de opciones disponibles.
La manera adecuada es ir de lo general a lo particular. En la figura N 4, se han
categorizado las clusulas de la norma en globales y focales. Para el inicio
del proceso de implantacin es recomendable atender primero a las clusulas
globales y luego iniciar las focales. Las clusulas globales, permiten crear la
plataforma inicial en la construccin del SGCN. Las clusulas focales son la
parte netamente tcnica de la norma y requieren para su desarrollo de la
infraestructura que desarrollan las globales.
El comit 223 de ISO esta actualmente trabajando en la elaboracin del
Lineamiento 22313. Este documento sern buenas prcticas y
recomendaciones, indicando que prcticas una organizacin debiera desarrollar
para implementar un SGCN eficaz. Este documento podr ser utilizado como
gua para la implantacin del modelo, o tambin para efectos de usarlo como
auto evaluacin. Se estima que este documento estar publicado a finales del
2012 o primer trimestre del 2013.
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.
Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

Conclusiones.A nivel mundial con las nuevas reglas de los mercados internacionales, las
empresas tienen la obligacin de poder demostrar que son proveedores
confiables. Ante la presencia de cualquier evento alterador, de tener un SGCN
implementado, las empresas pueden dentro de un tiempo estimado poder
reanudar sus operaciones y continuar ofreciendo sus productos y servicios. Un
SGCN es la indicacin que los proveedores son confiables.
El estndar ISO 22301:2012 engloba las distintas metodologas y buenas
prcticas en continuidad del negocio generadas en los ltimos casi 20 aos.
Las empresas que hayan implementado y certificado el BS 25999-2:2007, tienen
un lmite de tiempo para realizar la migracin al nuevo modelo.
Las organizaciones que estn implementando un SGCN bajo el esquema BS
25999-2:2007, deben iniciar la transicin hacia el ISO 22301:2012.

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

Referencias Bibliogrficas.-

1. Alexander, Alberto. Diseo y Gestin de un Sistema de Gestin de

Seguridad de Informacin: ptica ISO 27001:2005. Editorial Alfa Omega
2007. Colombia
2. ISO 22301. Societal security - Business continuity management systemsRequirements 2012.
3. Sharp, John. The Route Map to Business Continuity Management
Meeting the Requirements. British Standards Institute, United Kingdom,
2012

EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C.

Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima, Per
Tlf: (511) 3721441/3721415 Fax: (511) 4366144 servicios@eficienciagerencial.com

10