No cabe duda de que la planificación es uno de los aspectos clave de cara a establecer un Sistema de Gestión de Continuidad de Negocio.
La gerencia de la organización juega un papel clave dentro de este ámbito, ya que desde una posición estratégica como la que ocupan es desde donde mejor se puede plantear este aspecto.
Según el borrador ISO DIS 22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos, y para implementar las acciones determinadas para enfrentar riesgos y oportunidades mediante:
- El establecimiento de criterios para los procesos.
- Implementar el control de los procesos de acuerdo con los criterios establecidos.
- Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.
La organización deberá efectuar un control de los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando las medidas oportunas para mitigar cualquier efecto adverso, según se considere necesario.
La organización también debe garantizar que los procesos subcontratados y la cadena de suministro estén controlados de manera adecuada.
Análisis de impacto empresarial y evaluación de riesgos
La importancia de una evaluación de riesgos llevada a cabo de manera correcta, junto con un análisis de impacto empresarial, ayuda a la compañía a identificar cuáles son los principales riesgos para sus actividades y recursos más críticos. La información que se obtiene a través de este análisis ayuda a los altos cargos identificar dónde los riesgos superan su capacidad de asunción de riesgo y prepara el terreno para llevar a cabo estrategias y planes de continuidad de negocio para minimizar la probabilidad de que se produzca una interrupción, reduciendo el período de la misma o limitando el impacto en la entrega de los principales productos y servicios de la organización.
Como indica ISO DIS 22301, la organización debe implementar y mantener un proceso para analizar el impacto en el negocio y evaluar riesgos de interrupción que establecen el contexto, definen criterios y evalúan el impacto potencial de una determinada ruptura. Se deberá determinar el orden en que se llevan a cabo el análisis de impacto empresarial y la evaluación de riesgos.
Según #ISODIS22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos e implementar acciones para enfrentar riesgos y oportunidades.
Mediante este análisis se debe identificar y seleccionar las estrategias y soluciones de continuidad del negocio apropiadas. Teniendo en cuenta sus costes asociados para:
- Responder a las interrupciones a tiempo.
- Continuar y recuperar las actividades priorizadas y sus recursos requeridos para cumplir con la entrega de productos y servicios en el límite de tiempo acordado.
Para aquellas actividades que tengan prioridad, la organización debe identificar y seleccionar las estrategias y soluciones adecuadas, teniendo en cuenta los objetivos de continuidad del negocio y la cantidad y el tipo de riesgo que la organización puede o no puede tomar, para así:
- Minimizar la probabilidad de interrupción.
- Acortar el período de interrupción.
- Mitigar el impacto de la interrupción en los productos y servicios de la organización.
La organización deberá determinar los recursos necesarios para implementar el negocio seleccionando soluciones de continuidad. Estos tipos de recursos considerados deben incluir, entre otros, los siguientes:
- Personas
- Información y datos
- Infraestructura física, como por ejemplo edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados
- Equipos y consumibles
- Sistemas de tecnología de la información y la comunicación (TIC)
- Transportes
- Finanzas
- Socios y proveedores
La organización debe implementar las soluciones de continuidad de negocios seleccionadas para que puedan activarse cuando sea necesario.
Tomado de: https://www.isotools.org/