miércoles, 20 de noviembre de 2019

ISO 22301 GESTIÓN DE CONTINUIDAD DE NEGOCIO EN LA PRÁCTICA


La ISO 22301 Gestión de Continuidad de Negocio especifica los requisitos para la planificación, establecimiento, implementación, operación, revisión y mantenimiento continuo de un Sistema de Gestión de Continuidad de Negocio (SGCN), para proteger, reducir la ocurrencia, prepararse, responder y recuperarse de incidentes que interrumpan los procesos, cuando éstos ocurren.
La norma ISO 22301 Gestión de Continuidad de Negocio, sigue una estructura de alto nivel, que los Sistemas de Gestión han ido adquiriendo en sus últimas actualizaciones, nos referimos al Anexo SL, donde las más exigibles son de la cláusula 4 a la 10, en este post veremos lo referente al apoyo, funcionamiento, gestión del desempeño y mejoramiento que las organizaciones deben seguir en la práctica.



Las organizaciones pueden recurrir a un ciclo PHVA para gestionar el establecimiento (cláusulas 4, 5, 6 y 7), implementación y operación (cláusula 8), monitoreo y revisión (cláusula 9) y mantenimiento y mejora (cláusula 10):
  • Plan: establecer políticas de continuidad, objetivos, metas, controles, procesos y procedimientos relevantes para mejorar la continuidad de negocio, alineados con las políticas y objetivos de la organización.
  • Do: desarrollar, implementar y operar la política de continuidad de negocio, controles, procesos y procedimientos.
  • Check: monitorear y revisar desempeño contra los objetivos de continuidad, informando de los resultados a la Alta Dirección, para su revisión y posterior autorización de actividades de mejoramiento.
  • Act: mantener y mejorar el SGCN mediante acciones correctivas, originados en los resultados de revisiones.
ISO 22301 Gestión de Continuidad de Negocio en la práctica


Cláusula 7 Apoyo
  • Determinar y proporcionar los recursos necesarios.
  • Asegurar que las personas sean competentes, considerando la educación, formación y experiencia, tomando acciones para que ellas adquieran dicha competencia.
  • Toma de conciencia: conocer su rol durante los incidentes de interrupción y las consecuencias de su incumplimiento.
  • Determinar las comunicaciones internas y externas necesarias (qué, cuándo, a quién) garantizando la disponibilidad de los medios de comunicación.
  • Información documentada: respecto al desarrollo, actualización, control (distribución, almacenamiento, versiones), disponibilidad y protección(acceso y modificación).
Cláusula 8 Funcionamiento

Debe existir una planificación, ejecución y control de los procesos necesarios para implementar las acciones definidas, cambios planificados e imprevistos.

Respecto al análisis de impacto en el negocio y apreciación del riesgo debemos establecer, implementar y mantener un proceso formal y documentado realizando una evaluación de riesgo.

Análisis de impacto:
Identificación de actividades que apoyan la prestación de productos y servicios.
Evaluación de los impactos del tiempo de interrupción.
Identificación de las dependencias y recursos.

Evaluación de riesgo:
Identificar los riesgos de interrupción de activos, sistemas, información, personas y proveedores.
Analizar y evaluar los riesgos relacionados con la interrupción que requieran el tratamiento.

La estrategia de continuidad de negocio, debe estar basada en el resultado del análisis de impacto y la evaluación del riesgo, cumplir con los tiempos definidos, así como mitigar, responder y gestionar los impactos. Se debe estabilizar, continuar, reanudar y recuperar las actividades, determinando los recursos necesarios para su implementación, y establecer medidas proactivas para reducir la probabilidad de interrupción.

El desarrollo e implementación de procedimientos de continuidad debe:
  • Establecer, implementar y mantener procedimientos documentados para responder una interrupción, determinando la forma de continuar o recuperar las actividades dentro de un plazo predeterminado. Estos procedimientos abarcan la estructura organizacional de respuesta a incidente y los protocolos de comunicación.
  • Realizar una revisión y ejercicios de informes formales de evaluación del ejercicio (mejoramiento continuo) e intervalos planificados, o ante cambios significativos (organización o entorno).
Cláusula 9 Evaluación de desempeño

Realizar una evaluación de procedimientos de continuidad:
  • En forma periódica mediante revisiones, ejercicios, informes post-incidentes y evaluaciones de desempeño, reflejando los cambios significativos en los procedimientos en forma oportuna.
  • Cumplimiento de requisitos legales y reglamentarios.
  • Permite tomar medidas proactivas, antes de que se produzca una no conformidad.

La auditoría interna permite:
  • La objetividad, imparcialidad y competencia para el proceso.
  • Definir los criterios y alcance de cada auditoría, conservando evidencias.
  • Intervalos planificados para informar si el SGCN está en conformidad con los requisitos propios establecidos por la organización y por esta norma.
La revisión periódica de la Alta Dirección y su evidencia posibilita conocer el estado de las acciones de revisiones previas, y necesidades de cambios, así como los resultados de auditorías, pruebas y sus acciones correctivas y de mejoramiento.

Cláusula 10 Mejoramiento
  • Identificar las no conformidades, determinar las causas y tomar las medidas necesarias para controlarlas y corregirlas.
  • Revisar la eficacia de las acciones correctivas establecidas.
  • Mantener evidencias.
  • Mejorar continuamente la idoneidad, adecuación y eficacia del SGCN.

Tomado de: https://www.isotools.org/
Publicadas por a la/s
Etiquetas: , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)