Continuidad de Negocio, ISO 22301

Una empresa no puede dejar de funcionar ante condiciones adversas. Un fallo de la corriente eléctrica,
una inundación en las instalaciones de la empresa o un robo, son amenazas reales que deben ser
consideradas como tales y no como remotas posibilidades.

Las empresas tienen la obligación de poder asegurar que son proveedores fiables y que son capaces de,
ante cualquier incidente o catástrofe -un incendio, una inundación, una huelga, un sabotaje, etc., -reanudar
sus operaciones en un tiempo estimado, y continuar ofreciendo sus productos y servicios con normalidad.

Para ello, se deberán elaborar planes y estrategias preventivas para controlar los efectos de estas
amenazas para que, en el caso de que sucedan, las pérdidas ocasionadas no pongan en riesgo la
viabilidad del negocio. El hecho de que una organización anticipe que algún componente de su actividad
va a fallar, no es en absoluto una falta de confianza o un signo de debilidad, sino una posición
responsable, realista e inteligente, dado que todas las organizaciones dependen de sus recursos, del
personal, de los sistemas y tecnologías de la información para mantener día a día la actividad de su
organización que le permite mantener los beneficios y la estabilidad.

La norma ISO 22301 de Gestión de la proporciona a las organizaciones un marco que asegura que ellos
pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, protegiendo a sus
empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando y
comercializando.

En esta pantalla podrá descargar el PDF de la Norma ISO 22301 en una práctica ficha, así como una
interesante presentación.
 Principales REQUISITOS

El LIDERAZGO imprescindible de la alta dirección;

La consideración del CONTEXTO como factor estratégico;
Promover un enfoque a procesos;
EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave;
ACCIONES PARA ATENDER RIESGOS y OPORTUNIDADES, como elemento clave;
Asegurar el cumplimiento de todos los REQUISITOS LEGALES Y REGLAMENTARIOS, que son aplicables a la organización,
relacionados con la continuidad de sus operaciones, productos y servicios; y establecer una periodicidad adecuada para
garantizar la actualización de los mismos;
Planificar la toma de acciones para abordar el cumplimiento de los requisitos legales y otros requisitos, los riesgos y
oportunidades, considerando las MEJORES TÉCNICAS DISPONIBLES;
La importancia de la gestión de la continuidad del negocio debe comunicarse dentro de la organización, la TOMA DE
CONCIENCIA Y EL COMPROMISO de todas las personas es imprescindible para que el sistema funcione;
Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la
continuidad del negocio.
ANÁLISIS de IMPACTO del NEGOCIO, identificación de procesos críticos;
ESTRATEGIAS de RECUPERACIÓN, PLANES de RECUPERACIÓN, y realización de pruebas;
Canales de COMUNICACIÓN.

Ejemplos de ACCIONES PRÁCTICAS A IMPLEMENTAR

Realización del análisis de riesgos.

Estudiar los procesos y las actividades del negocio.
Identificar y valorar el impacto asociado a las interrupciones de los procesos de negocio.
Identificar actividades, recursos críticos y prioridades de recuperación derivadas
Definición de los tiempos objetivos de recuperación, interrupción máxima admisible de los distintos procesos de la organización.
Elaboración de los procedimientos de recuperación ante incendio del edificio, inundación, indisponibilidad de los servicios
críticos, caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones,etc.
Realización de simulacros de incendio.
Establecimiento de sistemas redundantes para la conexión a internet, suministro eléctrico,etc.
Trasladar su CPD a una sala con control de temperatura, control antisísmico.
Actualizar los dispositivos de respaldo de la información o duplicar las comunicaciones de voz con una de sus principales sedes.
Contar con un centro alternativo.
Externalizar parte de su infraestructura, especialmente la dedicada a la venta on-line, disponiendo de un centro de respaldo
independiente.
Contratación de seguros
Contratación de empresas de seguridad.
Copias de seguridad de la información.
Mantenimiento de listas de proveedores alternativos.
Almacenamiento de productos críticos en ubicaciones alternativas.
Formación sobre las rutas de evaluación y puntos de reunión.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización
 Ventajas para LA ORGANIZACIÓN

Mejor comprensión de las actividades importantes, y los recursos que le dan soporte.
Un marco para la mitigación del riesgo.
Interacción con el negocio y un enfoque pragmático para entender los desafíos diarios a los que se enfrenta la organización.
Identifican, evalúan y gestionan las amenazas actuales y futuras para su organización.
Utilizan un enfoque proactivo para reducir al máximo el impacto de los incidentes.
Minimizan el tiempo de interrupción tras cualquier incidente y mejoran notablemente el tiempo de recuperación.
Disminuyen costes y mejoran competitividad.
Demuestran su capacidad de resistencia a todos sus grupos de interés: clientes, proveedores y personal interno.
Establecer un marco de trabajo donde se definan los tiempos mínimos de recuperación y las acciones de actuación para la
pronta recuperación.

Ventajas para LOS CLIENTES

Los clientes perciben un servicio continuado y fiable.

Salvaguarda de los intereses de los accionistas.
Ayudan a recuperar la estabilidad en caso de crisis generalizada en el entorno.
Confianza, al estar trabajando con una empresa capaz de garantizar la continuidad en la adversidad.

Ventajas para EL MERCADO

Empresas más competitivas que son capaces de realizar una gestión adecuada durante los incidentes alteradores que puedan ocurrir en
la empresa.

Sectores DE APLICACIÓN

La norma ISO 22301, tiene vocación universal, aplicable a organizaciones de todos los sectores y tamaños, y que describe de qué debe
constar un sistema de gestión de la seguridad de la información en cualquier tipo de organización.

Esta norma es especialmente importante en sectores como la sanidad, TICs, administración pública, sector financiero e industrial.