ContinuidaddelNegocio

ISO22301Cuandolascosasrealmentevanmal

PorStefanTangenyDaveAustin
La planificacin para contingencias y recuperacin de desastres fueron en gran parte respuestas dirigidas
por la tecnologa de la informacin a los desastresnaturales y el terrorismo que afectaron a las empresas
duranteladcadade1980yprincipiosde1990.Hubounreconocimientocadavezmayor,sinembargo,de
queestonecesitabaconvertirseenunprocesoorientadoalosnegociosyqueabarquelapreparacinpara
muchas formas de interrupcin.A la luz de todo esto, la disciplina ahora se conoce como gestin de la
continuidaddelnegocio(GCN).

Mientraslosgobiernosylosreguladorescomenzaronareconocerelpapeldelacontinuidaddelnegocioen
lamitigacindelosefectosdelosincidentesperturbadoresenlasociedad,buscaroncadavezmsobtener
garantas de que los principales actores tenan sus correspondientes arreglos de continuidad de negocio
establecidos.Delmismomodo,lasempresasreconocensuinterdependenciaybuscaronlagarantadeque
los principales proveedores y socios seguiran proporcionando productos y servicios clave, incluso cuando
ocurrieranincidentes.

Se necesitaba, pues un punto de referencia reconocido de buenas prcticas de GCN y varias normas
nacionalesquehayantratadodeabordarestetema,incluidaslasdeAustralia,Singapur,ReinoUnido(RU)
ylosEE.UU.EnelReinoUnidoseintrodujolanormaBS25999paraproporcionarunanormadeSistemade
Gestinparaquelasorganizacionespuedanobtenerporprimeravezunacertificacinacreditada.

Cuando las organizaciones que operan a nivel internacional empezaron a pedir una nica norma
internacional, ISO/TC 223, Seguridad de la sociedad, respondi mediante el desarrollo de la norma ISO
22301:2012, Seguridad de la sociedad Sistemas de gestin de la continuidad del negocio Requisitos.La
nuevanormaeselresultadodelsignificativointersgeneral,cooperacinyaporte.

Demostrandolasbuenasprcticas

La norma ISO 22301 es una norma de sistemas de gestin de GCN que puede ser utilizada por las
organizacionesdetodoslostamaosytipos.Estasorganizacionesserncapacesdeobtenerlacertificacin
acreditada segn esta norma y as demostrar a los legisladores, reguladores, clientes, posibles clientes y
otras partes interesadas que se adhieren a las buenas prcticas en GCN.La norma ISO 22301 tambin
permite al administrador de la continuidad del negocio demostrar a la alta direccin que se ha cumplido
conunanormareconocida.

MientrasquelanormaISO22301puedeserutilizadaparalacertificacinyporlotantoincluyerequisitos
msbiencortosyconcisosquedescribenloselementoscentralesdelGCN,unanormadeorientacinms
amplia(ISO22313)estsiendodesarrolladaparaproporcionarunmayordetallesobrecadarequisitodela
normaISO22301.

LanormaISO22301tambinsepuedeutilizardentrodeunaorganizacinparamedirsecontralasbuenas
prcticas,yporlosauditoresquedeseeninformaralagerencia.Lainfluenciadelanormaserporlotanto
muchomayorquesimplementeoptarporunacertificacinconunanorma.

Losdoloresdelcrecimiento

El trabajo en la ISO 22301 se inici en el 2006 cuando un taller de ISO sobre Preparacin para
emergencias se celebr en Florencia, Italia.En ese momento, muchos expertos argumentaron que su
propianormanacionaleralamsadecuadaparaqueseconviertaenunanormainternacional.

Como era evidente que no haba manera de avanzar, todos los actores principales se reunieron para
identificar las similitudes entre las normas.Este espritu de consenso llev a la publicacin de un
documentodeorientacinparalapreparacinanteincidentesygestindelacontinuidadllamadoISO/PAS
22399:2007.

UndesafoalanormaISO22301hasidoelgrannmerodedocumentosnacionalessobreeltema,loque
haprovocadodificultadesenlaobtencindeunacuerdo.

El comit estaba listo para crear una norma de sistema de gestin con requisitos y destinada a la
certificacin.Los aportes de las normas nacionales que se utilizaron para desarrollar la redaccin del
proyecto inicial, poco a poco se fueron refinando para convertirse en un nuevo documento que rene las
buenas prcticas de todo el mundo.Los aportes significativos provinieron de Australia, Francia, Alemania,
Japn, Repblica de Corea, Singapur, Suecia, Tailandia, el Reino Unido y los EE.UU.Muchos otros han
contribuidoasudesarrollo,mostrandoverdaderamenteelintersinternacionalyaportesencuestin.

ExplicandolaISO22301

La norma ISO 22301 es la segunda norma de sistemas de gestin publicada que ha adoptado la nueva
estructuradealtonivelyeltextonormalizadoacordadoenISO.Estogarantizarlacoherenciacontodaslas
normas del sistema de gestin futuras y revisadas y para hacer un uso ms fcil e integrarse con, por
ejemplo,ISO9001(calidad),ISO14001(ambiental)eISO/IEC27001(seguridaddelainformacin).

La norma se divide en 10 clusulas principales, comenzando con el alcance, referencias normativas, y los
trminosydefiniciones.Lesiguenaestoslosrequisitosdelanorma:

Clusula4Contextodelaorganizacin
El primer paso consiste en conocer la organizacin, tanto las necesidades internas como externas, y
establecer lmites claros para el alcance del sistema de gestin.En particular, esto requiere que la
organizacin entienda las necesidades de las partes interesadas pertinentes, tales como reguladores,
clientes y personal.En especial, comprende los requisitos legales y reglamentarios aplicables.Esto
permitedeterminarelalcancedelsistemadegestindelacontinuidaddelnegocio(SGCN).

Clusula5Liderazgo
LaISO22301haceespecialhincapienlanecesidaddeunliderazgoadecuadoenlaGCN.Estoespara
que la alta direccin asegure que se proporcionen los recursos necesarios, establece la poltica y
nombraalaspersonasqueimplementanymantienenelGCN.

Clusula6Planificacin
Requiere que la organizacin identifique sus riesgos para la implementacin del sistema de gestin y
establezcalosobjetivosycriteriosclarosquesepuedenutilizarparamedirsuxito.

Clusula7Soporte
Dado que los recursos son necesarios para la implementacin, la Clusula 7 introduce el importante
concepto de competencia.Para tener xito en la continuidad del negocio, se debe contar con las
personas con los conocimientos, las habilidades y la experiencia adecuada, para que contribuyan al
SGCN y respondan a los incidentes cuando stos se producen.Tambin es importante que todo el
personalestconscientedesupropiopapelenlarespuestaaincidentesyestaclusulaseencargade
todasestasreas.
La necesidad de comunicacin relativa a los SGCN por ejemplo, comunicar a los clientes que la
organizacin tiene implementado un GCN apropiado y tambin se incluye aqu la preparacin para
comunicar un incidente despus de su ocurrencia (cuando los canales normales pueden ser
interrumpidos).

Clusula8Operaciones
Estaseccincontieneelcuerpoprincipaldeconocimientosespecficosdecontinuidaddelnegocio.La
organizacindebellevaracaboelanlisisdeimpactoenelnegocioparaentendercmosunegociose
ve afectado por una interrupcin y cmo esto cambia con el tiempo.La evaluacin de riesgos busca
entenderlosriesgosparaelnegociodeunamaneraestructuradaeinformardestoseneldesarrollo
delaestrategiadecontinuidaddelnegocio.

Lospasosparaevitaroreducirlaprobabilidaddeincidentessedesarrollanjuntoconlospasosquese
deben tomar cuando se producen incidentes.Como es imposible predecir por completo y bloquear
todoslosincidentes,elenfoquedereduccinderiesgosylaplanificacindeequilibrioparatodaslas
eventualidadesescomplementario.Sepodradecir,esperarlomejoryplanificarparalopeor.

La ISO 22301 hace hincapi en la necesidad de una estructura bien definida de respuesta a
incidentes.Esto asegura que cuando se producen incidentes, las respuestas son escaladas en el
momento oportuno y la gente est facultada para tomar las medidas necesarias para que sean
efectivas.Seenfatizaenlaseguridaddelavidayseponederelieveunpuntoenparticularsobreque
laorganizacindebecomunicarseconlaspartesexternasquepuedanverseafectadas,porejemplo,si
unincidenterepresentaunriesgonocivooexplosivoparalaszonaspblicascircundantes.

Los requisitos para los planes de continuidad de negocio se establecen tambin en la clusula 8.Los
documentosquesonrpidamentecomprensibles,centradosenelusuariosonmsadecuadosquelos
grandes documentos, difciles de manejar adaptados a los auditores.Se necesitara entonces
probablementeplanesmspequeosqueunplanmuygrande.

Un requisito no tratado previamente en las normas de continuidad de negocio es la necesidad de

planificar el retorno a las actividades normales.Este simple requisito contradice el pensamiento
considerado, dado que las organizaciones deben determinar qu hacer una vez que la emergencia
inicialhasidoabordada.

Elincisofinaldelartculo 8serefierealosejerciciosyensayos,unaparteclavedelGCN.Losensayos
sonaquellosquedemuestranqueloselementosprevistosparalacontinuidaddelnegociofuncionan
(pasa) o no (falla).Por ejemplo, es posible comprobar si el generador se inicia al encenderlo.Un
ejerciciopuedeincluirensayos,peroengeneralesunenfoquemsmatizadoquesimulaalgnaspecto
de la respuesta a un incidente.Esto suele incluir elementos de formacin y sensibilizacin sobre el
manejo de incidentes perturbadores con caractersticas difciles e inusuales, as como averiguar si los
procesosfuncionancomoseesperaba.

Los ejercicios y ensayos son fundamentales en la norma ISO 22301; es slo a travs de ejercicios
estructurados que debera extenderse a las personas y los equipos involucrados que una
organizacin puede ofrecer garantas objetivas de que sus arreglos funcionarn como se espera
cuandoseanecesario.

Clusula9Evaluacin
Paracualquiersistemadegestin,esesencialevaluareldesempeocontraelplan.LaISO22301porlo
tantorequierequelaorganizacinseleccioneysemidaasmismacontralasmtricasderendimiento
adecuadas.Se deben llevar a cabo auditoras internas y se exige que la direccin revise los SGCN y
actusobreestasrevisiones.

Clusula10Mejora
Noexisteunsistemadegestinperfectodesdeelprincipio,ylasorganizacionesysusentornosestn
cambiando constantemente.La clusula 10 define las acciones a tomar para mejorar las SGCN en el
tiempo y asegurar que se aborden las acciones correctivas derivadas de las auditoras, revisiones,
ejerciciosyassucesivamente.

Laimplementacinexitosa

Para que la ISO 22301 funcione bien, se necesita que las organizaciones hayan entendido a fondo sus
necesidades.Cadalneaypalabratieneunsignificadoylaimportanciarelativanosereflejanecesariamente
enelnmerodepalabrasdedicadasauntema.

En lugar de ser simplemente relativo a un proyecto o el desarrollo de un plan, el GCN es un proceso

continuo que requiere la gestin de personas competentes que trabajan con el apoyo adecuado y
estructurasquefuncionarancuandoseanecesario.

Acercadelosautores

Dave Austin ha sido Jefe de Proyecto para la ISO 22301 y es Fundador y Director del Operacional Resilience (Oprel)
Ltd.Esunconsultorconexperienciaencontinuidaddelnegocio,continuidaddelasTICygestindecrisis.Alprincipio
de su carrera se desempe como Jefe de Continuidad de Sistemas para el Royal Bank of Scotland.Ms tarde, en
Siemens,desarrollydirigiunaempresadeconsultoradecontinuidaddelnegocio.

ElDr.StefanTangenesSecretariodeISO/TC223,Seguridaddelasociedad,yhaparticipadoennormalizacinporseis
aosya.TambinesSecretariodeJTCG(GrupodeCoordinacinTcnica)paralaarmonizacinsistemasdegestinde
apoyo.Es director de proyecto en el SIS, Swedish Standards Institute, y tiene un doctorado en ingeniera de
produccin.

Fuente:RevistaISOFocus+,Edicinjunio2012
Traduccinalespaol:SecretaraEjecutivadeCOPANT