ISO 22301: Una Respuesta para la Continuidad del Negocio
ISO 22301
La norma ISO 22301 es una respuesta a los imprevistos que puedan suceder en cualquier momento y que ponen en jaque la continuidad de cualquier empresa.
Los planes de recuperación del negocio deben revisarse y aprobarse con frecuencia para:
- Incluir y considerar todos los tipos de amenazas.
- Analizar la independencia de nuestros procesos.
- Incluir los factores clave.
- Involucrar a todas las organizaciones teniendo en cuenta la importancia del apoyo de todos los trabajadores.
¿Por qué se ha desarrollado una normativa internacional?
Después de todos los acontecimientos traumáticos que han sufrido las organizaciones a nivel general en los últimos años, se ha impulsado por parte de las empresas el desarrollo de una normativa fuerte a nivel mundial para promover la toma de conciencia ante la necesidad, por lo que deberán estar preparados para superar el posible impacto de incidentes que pueden interrumpir la actividad de la empresa.
La respuesta a la necesidad de la implantación de la norma ISO 22301 que garantiza la continuidad de negocio de forma estandarizada y normalizada. Mediante un Sistema de Gestión de Continuidad de Negocio basado en el ciclo de PHVA de mejora continua.
El esquema general de la norma ISO 22301 se integra perfectamente en cualquier Sistema de Gestión de Continuidad de Negocio existente en la organización que se encuentra basado en un ciclo de mejora continua.
Los requisitos fundamentales de un Sistema de Gestión de Continuidad de Negocio puede resumirse en:
- Determinar los objetivos y el alcance del Sistema de Gestión.
- Mantener el ciclo de mejora continua basado en el compromiso de la dirección con un compromiso de liderazgo.
- Supervisión.
- Revisión del sistema.
- Apoyados en un buen sistema de documentación.
Los principales beneficios para la organización cuando se implementa un Sistema de Gestión de la Continuidad de Negocio eficiente, se puede resumir en:
- Preservación de los intereses de los accionistas.
- Mejora del resultado operacional de la organización.
- Reducción de los riesgos, por lo que se reducen los costes.
- Reducción de tiempo de inactividad.
- Mejora en la competitividad.
- Incremento de la eficiencia operativa.
- Protección de los bienes materiales.
- Mejora del cumplimiento de la legislación en cuanto a seguridad y salud.
- Mejora de la seguridad global.
- Supresión de las acciones que se derivan de la responsabilidad empresarial.
Cuando nos enfrentamos a diferentes amenazas de interrupción repentina de las operaciones, debe ser capaz de responder con rapidez y eficacia, ya que es la clave para la supervivencia de un negocio.
El desastre es totalmente imprevisible en el tiempo, se trata de catástrofes naturales a gran escala, actos de vandalismo o accidentes que se relacionan con la tecnología y los incidentes ambientales.
Los riesgos se deben a distintas causas:
- Negligencias humanas
- Ataques externos
- Desastres naturales
Pero la probabilidad de que suceda un accidente y afecte negativamente al negocio es totalmente real.
Las amenazas inesperadas y devastadoras impulsan a las pequeñas y medianas organizaciones a implementar la norma ISO 22301.
La experiencia de las organizaciones desvela que ahora cuentan con una herramienta adecuada para identificar todas las amenazas potenciales de la organización y protege las operaciones y su reputación, además de todos los intereses de sus inversores en caso de que se produzca un accidente o desastre.
Muchas organizaciones ya no esperan a que el desastre les ocurra, sino que aplican las herramientas de la norma ISO 22301 para la gestión de la continuidad de negocio.
A pesar de la frecuencia con la que sufrimos diferentes incidentes de seguridad en nuestros sistemas, la mayoría de las organizaciones no se encuentran convenientemente preparadas para afrontarlos.
¿Están preparados los responsables del negocio?
Un 40% de las organizaciones que sufren un incidente en sus sistemas informáticos o recursos de red no tienen todavía un plan de respuesta implantado, todo esto, aunque según estudios el 80% de las organizaciones sufren un incidente grave cada dos años. Los planes de respuesta existentes son liderados por los diferentes departamentos de TI apoyados por los recursos externos y asesores jurídicos para cumplir con las normativas vigentes.
Si tenemos en cuenta las causas y el impacto que generan las amenazas de los incidentes es cada vez más imprescindible que sea necesario implementar respuestas cada vez más adaptadas a las organizaciones y que cuentan con una enorme agilidad dentro de los planes formales.
El nivel de preparación ha disminuido por falta de comprensión sobre las amenazas. El 17% de los directivos de las organizaciones siente que está preparado para afrontar cualquier tipo de incidente. El 41% de los líderes de negocio saben que una buena comprensión de las amenazas potenciales les ayuda a estar mejor preparados. Tener un plan formal o un equipo especialmente preparado tiene un efecto significativo en el sentimiento de preparación entre los diferentes ejecutivos. La mitad de las organizaciones revelan que no son capaces de predecir el impacto que genera en el negocio un incidente. La mejora de la reputación se encuentra impulsada por la formalización de los planes y procesos.
La mayoría de las organizaciones piensa que una respuesta eficiente a un incidente puede mejorar la reputación de su organización por lo que se prevé un aumento del 80% de las organizaciones que se deciden a implantar un plan formal y contar con un equipo que ofrezca una respuesta ante los incidentes.
El 57% de las empresas no informan de forma voluntaria los incidentes en los que no están legalmente obligadas a hacerlo. Sólo un tercio de las organizaciones comparte información sobre los incidentes con otras empresas para difundir las mejores prácticas y comparar con su propia respuesta.
Software ISO 22301
El Software ISOTools Excellence es una plataforma tecnológica que ayuda a llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio para poder identificar y controlar las amenazas que se producen en las organizaciones, según la norma ISO 22301:2012.