Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO GRUPAL
Estándar ISO 22301:2019 para Continuidad del Negocio
La Paz – Bolivia
2022
1.Estándar ISO 22301:2019 para Continuidad del Negocio
La nueva versión no incluye cambios dramáticos, pero si una mejora relevante que
incluye más flexibilidad y menos prescripción. La guía ISO 22313:2020 incluye los
detalles que no se encuentran en el estándar ISO 22301.
El origen de la norma ISO 22301 se remonta al comité técnico ISO/TC 23, que se
centró en abordar las preocupaciones relacionadas con la seguridad social. Ahora la
norma es gestionada por ISO/TC 292 - Seguridad y resiliencia. La primera versión de la
norma ISO 22301 se publicó en 2012. La segunda edición se publicó en octubre de
2019 y es el tema central de esta guía de implantación. Actualmente existen 11 normas
en la serie ISO 22300. Dichas normas brindan orientación y requisitos más detallados
para cuestiones específicas relacionadas con la continuidad del negocio. Esto va desde
la gestión de respuesta a emergencias, hasta las evacuaciones masivas.
Dentro de la serie, las nomas más importantes para una organización que busque
implementar un SGCN efectivo son:
Son 10 secciones.
1. Alcance: ISO 22301 está diseñado para ser aplicable a cualquier tipo de
organización, independientemente del tamaño, complejidad, sector, propósito o
madurez, cualquier organización puede implementar y mantener un SGCN que cumpla
con la ISO 22301.
Las secciones 4 a 10 son obligatorias y están alineadas al ciclo PDCA, todos sus
requisitos deben implementarse para cumplir con el estándar. El estándar incluye estas
secciones:
5.2 Política.
5.3 Roles, responsabilidades y autoridades.
7.1 Recursos.
7.2 Competencia.
7.3 Conciencia.
7.4 Comunicación.
Cambios Realizados
La cláusula 5 sobre Liderazgo fue recortada participación de la alta dirección (5.2). Alta
dirección concentrada en lo necesario.
La Sección 8.2.2 sobre Análisis de impacto en el negocio (BIA) ahora estipula que el
BIA debe definir los tipos de impacto y los criterios relevantes como punto de partida. Si
bien muchas organizaciones ya definen tipos de impacto en su BIA, la versión 2019 lo
hace obligatorio.
Una sub cláusula sobre "Programa de ejercicios" (8.5) reemplaza la sub cláusula
anteriormente llamada "Ejercicio y prueba".
Cronología y transición
La forma de implementar la norma ISO 22301 a través del cual las organizaciones
pueden asegurar la continuidad de su negocio.
Tales posibles amenazas a la organización deben ser consideradas como reales y ser
tenidas en cuenta, de tal modo, que en caso de que se materialicen, la organización no
deje de funcionar.
Para poder asegurar esto a sus clientes y otras partes interesadas, debe desarrollar
ciertos planes y estrategias de prevención que les permita tener un control de tales
amenazas y sus efectos, para que, en caso de que éstas tengan lugar, no afecten a la
viabilidad del negocio.
ISO 22301 proporciona un marco de gestión a las organizaciones con las que poder
continuar desarrollando sus actividades ante circunstancias imprevistas.
● Realizar simulacros de incendio.
● Contratar seguros.
● Hacer copias de seguridad.
● Mantener al día las listas con los proveedores que son alternativos a los actuales.
● Los desastres son contextos de los que ninguna compañía está exenta, hacen
referencia a cualquier situación que pone en riesgo la estabilidad de las
empresas.
● los cuales pueden ser humanos, técnicos o naturales. Por ejemplo, durante un
terremoto es normal que las áreas de TI sufran deterioros y las redes de
conectividad se dañen, esto puede provocar inestabilidad y riesgos en lugares
como bancos que, ante los daños la seguridad de sus datos se ve vulnerable.
Otras simplemente han reportado que los desastres han provocado la
interrupción de sus servicios por lo que es necesario que sepan cómo actuar
ante estas situaciones de riesgo.
● “Un plan de Recuperación de Desastres (DRP) se refiere a un procedimiento
estratégico muy específico del área de tecnologías de la información que se
pone en marcha cuando hay un daño en los sistemas de cómputo. Se trata de
un aspecto fundamental que funciona en convergencia con el Plan de
Continuidad, esto se debe a que muchos de los procesos en las organizaciones
ya están automatizados y las compañías necesitan tener el control de sus
tecnologías”, comentó Erika Zenteno Savin, Consultor Senior de Continuidad y
Negocio en Pink Elephant.
● Es necesario que un Plan de Recuperación de Desastre se ajuste a las
necesidades de cada compañía, cada uno tiene que implementarse al tipo de
negocio o servicio que brindan, por lo que es importante que en cada empresa
se conozcan los procesos de TI, vulnerabilidades y el nivel de seguridad que
tienen para la protección de los datos, para ello es recomendable contar con el
apoyo de personal certificado en los marcos de referencia como los del DRII
(Disaster Recovery Institute International).
● Este Plan de Recuperación requiere realizar un análisis de los riesgos
emergentes y de impacto aplicativo, definir una estrategia que considere la
contratación o construcción de un centro de datos alterno, en el cual se pueda
dar continuidad a las aplicaciones que son más críticas para las organizaciones.
En este sentido es vital que se consideren los costos y los impactos, para
seleccionar la mejor estrategia de respaldo o alta disponibilidad que requiera la
compañía. El ideal es que, ante una contingencia, se pueda cambiar la
operación al centro alterno en cuestión de segundos.
● En el caso de las instituciones financieras, este requisito es fundamental, pues
tienen que cumplir con normas y leyes que los gobiernos exigen, en el caso de
México, la Comisión Nacional Bancaria y de Valores regula que se tenga una
alta disponibilidad en los sistemas de cómputo, además supervisar a las
entidades integrantes del sistema financiero mexicano, a fin de procurar su
estabilidad y correcto funcionamiento.
● Una empresa que no cuenta con un DRP no está preparada para afrontar los
daños que puede provocar una situación de riesgo por errores humanos o crisis
naturales, pues se tardarán más tiempo en darle continuidad a sus procesos
críticos, puede dañar la reputación ante los clientes, provocar pérdidas
económicas y generar el caos entre los miembros de trabajo. La carencia de un
DRP es sin duda, el parteaguas para generar impactos negativos internos y
externos para la compañía.
● La implementación de un Plan de Recuperación de Desastres se acompaña no
sólo de una metodología, hace falta una transición de pensamiento y un cambio
cultural dentro de las organizaciones para que los protocolos de acción se
realicen de forma ordenada. En este sentido es fundamental desarrollar el
Gobierno de Continuidad, una estructura conformada por diversos grupos dentro
de la empresa que se encargarán de implementar los procesos para la
continuidad, así como de la toma de decisiones. Un DRP debe ir acompañado
de simulacros para que estos grupos se preparen para una situación de crisis,
de esta manera conocerán sus áreas de oportunidad para lograr una mejora en
la ejecución de sus actividades en una contingencia.
● “Contar con un Plan de Recuperación de Desastres asegura la continuidad de la
organización y minimiza las pérdidas financieras, evita multas por
incumplimiento de contratos y violaciones a la ley. Si una empresa desea
comenzar a implementar su DRP es necesario que conozca las diferentes
formas de certificación, que se acerque a los especialistas de empresas como
Pink Elephant que brindan a las compañías cursos y certificaciones para la
implementación de planes de recuperación y de continuidad, de tal forma que, si
una compañía pasa por alguna situación de desastre, estará preparada para
responder de forma ordenada y eficiente”, concluyó Erika Zenteno Sabin,
Consultor Senior de Continuidad y Negocio en Pink Elephant.
Introducción
Objetivo
4.EL (BCP):
El plan de recuperación ante desastres DRP es una parte del plan de continuidad del
negocio BCP.