Documentos de Académico
Documentos de Profesional
Documentos de Cultura
38
UNE-EN ISO 22301
Y UNE-EN ISO 22313
Cómo garantizar
la continuidad
del negocio
L
Paloma a continuidad del negocio se Han transcurrido algo más de dos de los ciudadanos de adoptar ambas
García y ha convertido en un área ca- años desde la publicación de estas normas ISO como normas europeas.
Ana María
Mariblanca da vez más común de preocu- normas internacionales, durante los A su vez, todos los organismos nacio-
Dirección de pación desde el atentado del World que ha ido creciendo su importancia nales de normalización miembros de
Normalización Trade Center de Nueva York en sep- en el ámbito mundial tanto en empre- CEN las han adoptado en sus países
AENOR
tiembre de 2011, incidente comple- sas de Tecnologías de la Información y respectivos. Es el caso de España, que
tamente imprevisto que creó una Comunicaciones (TIC) como en todas ha publicado, en enero de 2015, las
amenaza grave y repentina para las aquellas que dependen, en mayor o Normas UNE-EN ISO 22301 y UNE-
funciones esenciales de varias em- menor medida, de dichas tecnologías; EN ISO 22313. Disponer de estas nor-
presas. En este sentido, las Normas la banca es un buen ejemplo de ellas. mas en el ámbito europeo y nacional
ISO 22301:2012 Protección y segu- De hecho el Banco de España ya ha acercará los Sistemas de Gestión de
ridad de los ciudadanos. Sistema de emitido varias Recomendaciones re- la Continuidad del Negocio (SGCN)
Gestión de la Continuidad del Ne- lativas a la continuidad del negocio, a las organizaciones, y en especial a
gocio. Requisitos e ISO 22313:2012 instando a que ésta debe formar par- las pymes.
Protección y seguridad de los ciuda- te de la gestión del riesgo operacional Tradicionalmente, los Planes de
danos. Sistema de Gestión de la Con- de una entidad de crédito. Este au- Continuidad -que complementan a
tinuidad del Negocio. Directrices ayu- mento de la concienciación ha deriva- los antiguos Planes de Contingen-
dan a las organizaciones a gestionar do en la decisión del comité europeo cia Tecnológica- se han asociado a
este aspecto. CEN/TC 391 Protección y seguridad grandes compañías que necesitan
AENOR
39
Hacer
Se trata de establecer criterios para los
Actividad procesos, realizar el control de proce-
sos de acuerdo con los criterios y man-
Actividades Actividad Actividad Actividad Actividad Actividad tener la información documentada pa-
de apoyo Clientes ra tener la seguridad de que los pro-
Bienes cesos se realizan según lo planificado.
y recursos Dependencia Esta información debe incluir los requi-
y actividades de apoyo sitos legales, las prioridades de los tra-
tamientos de riesgos, el resultado del
análisis de impacto en el negocio y de
Bienes y recursos la apreciación del riesgo, y los requisi-
tos de actualización y de confidencia-
Fuente: Figura 6 (Norma UNE-EN ISO 22313:2015) lidad de esta información.
AENOR
41
OPINIÓN
César
Pérez-Chirinos
Presidente
AEN/CTN 196/SC 1
La resiliencia no
CURSOS DE AENOR RELACIONADOS se improvisa
• Fundamentos de continuidad
Las fuertes nevadas que interrumpieron en enero
según la Norma ISO 22301
y febrero la vida cotidiana en la zona norte de Espa-
• Implantación de un SGCN
ña, aislando pueblos durante varios días, deberían
según la Norma ISO 22301
• Auditoría de la Norma servir para entender la importancia de una gestión
ISO 22301 integral de la capacidad de reanudación de suminis-
tros y servicios imprescindibles.
Aunque otros acontecimientos crean la apa-
riencia de que las mayores amenazas a la protec-
Verificar una figura que abarca todas las posi- ción de los ciudadanos provengan de acciones de-
Los dos primeros vértices del cuadra- bles partes interesadas (ver figura 1) liberadas de gran impacto (terrorismo y sabotaje
do PDCA no tienen sentido sin la su- En el capítulo 8, que se correspon- informático), lo cierto es que lo que ahora denomi-
pervisión de lo que se ha planificado e de con “Hacer” del modelo PDCA, se namos “continuidad de negocio” tiene mucho más
implantado. La organización debe de- muestra una figura sobre el entendi- que ver con lo que históricamente se ha venido de-
terminar qué se debe supervisar y me- miento de la organización, que pue- nominando en España “protección civil” y la capa-
dir, los métodos y plazos que deben de ayudar al análisis de impacto en cidad de reanudar el abastecimiento de recursos
preverse para ello, y los análisis y eva- el negocio y la valoración del riesgo. vitales ante cualquier interrupción circunstancial.
luaciones. Cuando sea necesario debe (Ver figura 2). En el mismo capítulo se Esta capacidad de reanudación (que ahora se de-
actuar para solventar los resultados ad- trata la estrategia de continuidad del nomina resiliencia) no se puede improvisar. Requie-
versos antes de que se produzca una negocio y posibles acciones para de- re que las organizaciones proveedoras se doten de
no conformidad y conservar la infor- terminarla, protegiendo las actividades medios alternativos que sustituyan a los que habi-
mación documentada como eviden- prioritarias, estabilizando, continuan- tualmente proporcionan estos suministros o servi-
cia. En última instancia, la verificación do, reanudando las mismas, y mitigan- cios y que puedan haberse perdido, temporal o de-
es responsabilidad de la alta dirección. do, respondiendo y gestionando los finitivamente, ante circunstancias extraordinarias.
impactos. Así, ambas normas utiliza- Además, deben comprobar regularmente que estos
Actuar das como un tándem proporcionan un medios alternativos están listos para ser utilizados
Está íntimamente relacionado con la marco sólido para la puesta en marcha en cualquier momento bajo la dirección de los equi-
mejora continua. La organización debe y correcta implantación de un SGCN. pos de gestión de crisis encargados de reanudar los
mejorar de manera continua la idonei- El modelo de Gestión de la Con- suministros o servicios interrumpidos; posiblemen-
dad, adecuación y eficacia del SGCN, tinuidad del Negocio está alinea- te, en coordinación con las autoridades e, incluso,
utilizando para ello procesos del pro- do con otros como el de Seguridad con competidores en circunstancias normales pero
pio sistema como el de liderazgo, plani- de la información (UNE-ISO/IEC que son los únicos que pueden aportar medios muy
ficación o evaluación del rendimiento. 27001), Gestión del Servicio de TI especializados ante un incidente grave.
El modelo PDCA descrito en deta- (UNE-ISO/IEC 20000-1) o Gestión La privatización de muchos suministros y servi-
lle en la Norma UNE-EN ISO 22301 de la Calidad (UNE-EN ISO 9001) cios esenciales para la población hace imprescindi-
se apoya en la UNE-EN ISO 22313, con el objeto de facilitar la consisten- ble la existencia de sistemas de gestión de la conti-
que proporciona directrices sobre los cia necesaria y permitir la sinergia en nuidad de negocio, potencialmente auditables por
requisitos especificados en la prime- la implantación y operación de cada terceros independientes, tanto en el ámbito público
ra. De hecho, su estructura editorial es aspecto degestión. Concretamente, la como en la empresa privada, que garanticen que los
idéntica, presentando los mismos en- Norma UNE-ISO/IEC 27001 contem- proveedores más resilientes no son injustamente
cabezados, pero sin repetir los requisi- pla la continuidad del negocio como comparados con otros que, ante circunstancias ex-
tos, términos y definiciones. En el capí- un elemento clave dentro de la gestión cepcionales, no tienen la misma capacidad de com-
tulo 4 sobre la Planificación, se incluye de la seguridad de la información. ◗ promiso con sus beneficiarios o clientes.