La Norma ISO 22301 y la Gestión de la Continuidad del Negocio: Preparación para lo Inesperado

La norma ISO 22301, titulada "Seguridad de la empresa - Sistemas de gestión de la continuidad del negocio - Requisitos", es el estándar internacional desarrollado para guiar a las organizaciones a identificar amenazas potenciales a sus procesos de negocio y construir sistemas de respaldo y procesos efectivos para salvaguardar sus intereses y los de las partes interesadas. Esta norma establece los requisitos para implementar un Sistema de Gestión de Continuidad del Negocio (SGCN), proporcionando un marco estructurado para que las organizaciones identifiquen amenazas potenciales, evalúen sus impactos y desarrollen estrategias que garanticen la recuperación de sus operaciones críticas tras incidentes disruptivos como desastres naturales, ciberataques, pandemias o fallos en la cadena de suministro.

El propósito fundamental de la aplicación de esta norma dentro de una organización es asegurar un adecuado plan de continuidad de los servicios esenciales de acuerdo con el mercado o acuerdo de atención al cliente. A diferencia de un simple plan de contingencia, la ISO 22301 adopta un enfoque holístico que integra la continuidad del negocio en la cultura organizacional y procesos cotidianos. La norma ISO 22301:2019 es una normativa internacional para Sistemas de Gestión de la Continuidad del Negocio (SGCN), cuya principal función es proporcionar un marco de actuación para que las empresas puedan mitigar el daño que una situación de emergencia puede llegar a causar. Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la ISO 22301, publicada por la Organización Internacional de Normalización (ISO) en mayo de 2012 como sucesora de la norma BS 25999-2, desarrollada por el British Standards Institution (BSI) en 2007.

La Necesidad Imperante de un Plan de Continuidad del Negocio

La necesidad de asegurar el suministro de productos y/o servicios incluso en caso de accidentes graves de diversa índole (como desastres naturales, averías, huelgas, actos terroristas o vándalos, etc.) es ahora un elemento indispensable para todas las organizaciones. Hoy en día, cualquier organización puede ver interrumpida su actividad por fuerzas de causa mayor. Incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo. La interrupción de los negocios es una preocupación relevante para muchos directivos. Los ataques cibernéticos, las averías informáticas, las inundaciones, los incendios, los brotes de virus pandémicos y los problemas importantes de la cadena de suministro son ejemplos de incidentes que pueden suponer amenazas sustanciales para el funcionamiento de cualquier empresa. Un ejemplo muy reciente es la interrupción de la actividad económica en muchos sectores por culpa del Covid-19.

En este contexto, se enfatiza que la continuidad operativa en general no se puede lograr solo con la introducción de herramientas técnicas, sino que requiere una organización adecuada y procedimientos apropiados. Un Sistema de Gestión de Continuidad de un Negocio o SGCN identifica los efectos que puede tener una interrupción de la actividad y establece medidas de actuación en caso de que ocurra. Debe ser sensible y tener en cuenta todos los diferentes factores y agentes que deberán actuar ante una situación de riesgo. Es muy importante que el modelo de continuidad del negocio basado en la ISO 22301 esté totalmente alineado con la política corporativa de cada organización. No basta con ser optimista y pensar que no va a pasar, es mejor estar preparado para lo peor.

Aplicabilidad y Sectores Clave de la ISO 22301

La ISO 22301 es aplicable a cualquier tipo de organización, independiente de su sector o tamaño. El estándar es aplicable a todas las organizaciones que deseen definir y mejorar su gestión de la continuidad del negocio y demostrar la solidez de su sistema a las partes interesadas. La norma ISO 22301 se aplica a cualquier tipo de organización, grande o pequeña, y en cualquier sector industrial. Un sistema de gestión de continuidad de negocio conforme con la norma ISO 22301 es adecuado para cualquier organización de cualquier tamaño y sector, público o privado.

La certificación ISO 22301 resulta estratégica para organizaciones donde la interrupción de operaciones podría generar impactos significativos en términos económicos, reputacionales o incluso de seguridad pública. Entre los principales tipos de organizaciones que deberían considerar prioritaria esta certificación se encuentran:

• Instituciones financieras y bancarias: Entidades donde cualquier interrupción en sistemas de pago, transacciones o servicios financieros puede provocar pérdidas millonarias y erosionar la confianza de los clientes. La certificación les ayuda a cumplir con requisitos regulatorios cada vez más estrictos sobre resiliencia operacional. El mundo de los servicios financieros abarca muchos sectores, desde bancos hasta corporaciones de seguros, todos unidos por la necesidad de emplear sistemas de red para realizar transacciones monetarias y de datos.
• Proveedores de servicios esenciales: Empresas de energía, agua, telecomunicaciones y transporte que forman parte de infraestructuras críticas nacionales. Su interrupción afectaría a miles o millones de personas, por lo que necesitan garantizar la continuidad incluso en escenarios extremadamente adversos. Los proveedores de energía, telecomunicaciones, transporte, etc., se encuentran entre las infraestructuras críticas del país.
• Organizaciones sanitarias: Hospitales, clínicas, laboratorios y fabricantes farmacéuticos que deben mantener servicios vitales en cualquier circunstancia. La pandemia de COVID-19 demostró la importancia de contar con planes de continuidad robustos en este sector.
• Empresas con cadenas de suministro complejas: Fabricantes, distribuidores y empresas logísticas vulnerables a disrupciones en su cadena de valor. La certificación les permite identificar dependencias críticas y desarrollar estrategias para mantener el suministro de productos y servicios. El sector industrial y comercial necesita garantizar la continuidad en la producción o prestación de sus servicios luego de un desastre, o prever con anticipación los posibles escenarios y estar preparado y capacitado para garantizar la supervivencia de su organización, y asegurar que sus proveedores críticos también lo son.
• Organizaciones tecnológicas: Proveedores de servicios en la nube, empresas de software y centros de datos cuya disponibilidad es crítica para sus clientes. La certificación demuestra su compromiso con mantener niveles de servicio incluso ante incidentes disruptivos.
• Compañías en zonas de alto riesgo: Organizaciones que operan en áreas propensas a desastres naturales, inestabilidad política o conflictos sociales.
• Sector público: Agrupa muchas áreas diferentes, para las cuales el tema de la continuidad del negocio es de fundamental importancia; en particular se trata de la propia administración pública (AP), la defensa, la salud, la prestación de servicios a los ciudadanos. Comprender la propia realidad, a qué amenazas puede estar sujeta, analizar posibles escenarios e impactos en servicios e infraestructuras, planificar con anticipación planes para reducir los impactos de estos eventos desastrosos, gestionar accidentes y tener planes que permitan la recuperación de la funcionalidad debería ser responsabilidad de cualquier buena administración pública.

Ventajas y Beneficios de un SGCN basado en ISO 22301

La implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) según la norma ISO 22301 ofrece una serie de ventajas y beneficios significativos para cualquier organización:

Las ventajas y beneficios del «Plan de continuidad del negocio» según la norma ISO 22301 son:

• Garantía de Continuidad y Supervivencia: Asegura la continuidad de la actividad frente a una crisis y aumenta la supervivencia de la compañía. El «Plan de continuidad del negocio» se basa en las mejores prácticas para gestionar la continuidad del negocio ante una interrupción de su capacidad para lograr los objetivos clave. Mejorar la capacidad de forma proactiva y resistir incidentes (resiliencia) que pueden provocar interrupciones comerciales es fundamental para el logro de los objetivos clave.
• Protección de la Reputación y Marca: Protege y mejora el prestigio, la reputación y la marca. La pérdida de reputación y la interrupción del negocio es el principal riesgo estratégico de cualquier organización.
• Ventaja Competitiva: Proporciona una ventaja competitiva comercial frente a la competencia, abriendo nuevos mercados y ayudando a ganar nuevos negocios y contratos (siendo más eficiente en el control de costos). Las compañías que disponen de un sistema de gestión de la continuidad del negocio basado en la norma ISO 22301 cuentan con una ventaja competitiva frente a las organizaciones que no disponen de estos sistemas, ya que les permite estar preparados para enfrentar situaciones de crisis y minimizar los riesgos asociados a la interrupción de sus actividades.
• Reducción de Costes y Mejora de la Eficiencia: Reduce los costes y gastos asociados a la interrupción y mejora la eficiencia del negocio. El «Plan de continuidad del negocio» identifica e implanta oportunidades de mejora para reducir costes (como las primas de seguros) que ayudan a la mejora continua. Evita penalizaciones contractuales por incumplimiento de contratos como proveedor de productos o servicios.
• Cumplimiento Legal y Regulatorio: Ayuda a demostrar que se cumplen las leyes y regulaciones aplicables.
• Agilidad en la Toma de Decisiones: Facilita la agilidad y rapidez para tomar las decisiones oportunas en cada situación.
• Minimización de Pérdidas: Permite la clasificación de los activos para priorizar su protección, puesta en marcha y recuperación, lo que lleva a la minimización de pérdidas para el negocio en caso de desastre o contingencia.
• Visión Clara del Funcionamiento: Un sistema de gestión de la continuidad del negocio conforme a la norma ISO 22301 ofrece, por lo general, una visión clara y detallada del funcionamiento de una organización.

La implementación de un Plan de Continuidad del Negocio en su organización significa que usted está preparado para lo inesperado. Estar certificado en la norma ISO 22301 le da la facultad de ofrecer servicios de primer nivel a sus accionistas sin importar las circunstancias. Es una norma esencial para cualquier organización que busque mejorar su capacidad para enfrentar situaciones de crisis, y su implementación ayuda a las organizaciones a mantener la continuidad del negocio y mejorar la eficacia del sistema.

Estructura y Requisitos Clave de la Norma ISO 22301

La norma ISO 22301 se compone de 10 secciones, que establecen los requisitos para los Sistemas de Gestión de la Continuidad del Negocio (SGCN) de las organizaciones. ISO 22301 especifica los requisitos para planificar, establecer, implementar, operar, monitorear, mantener y mejorar continuamente un sistema de gestión documentado destinado a proteger, reducir la posibilidad de ocurrencia, preparar, responder y recuperarse de eventos desestabilizadores cuando ocurren. Como norma internacional para el Sistema de Gestión de Continuidad del Negocio, la ISO 22301 está diseñada para proteger, reducir la probabilidad de ocurrencia, preparar, responder y recuperarse de incidentes perturbadores que se puedan presentar. La ISO 22301 permite responder con prontitud y eficacia en función de las modalidades que se aplican antes, durante y después del evento.

Destacamos los siguientes requisitos de la norma ISO 22301 sobre el «Plan de continuidad del Negocio»:

• Contexto de la Organización: Se debe recopilar la información necesaria para entender el negocio y determinar el alcance del «Sistema de Gestión de la Continuidad del negocio» (BCMS). Esto implica analizar el contexto, las necesidades, así como identificar los requisitos legales y reglamentarios aplicables. Se debe analizar el impacto que puede generar cualquier interrupción sobre el negocio (BIA), y la evaluación de riesgos busca entender los riesgos para el negocio de una manera estructurada, informando el desarrollo de la estrategia de continuidad del negocio. Este punto determina los factores externos e internos más relevantes para alcanzar los objetivos establecidos en el SGCN. La comprensión de la compañía implica recolectar la información necesaria con el fin de darle importancia a cada una de las actividades, clasificándolas en clave, de apoyo y designando los recursos que se necesitan. Es necesario, en primer lugar, entender cómo funciona un SGCN para poder establecer las prioridades de la empresa, teniendo en cuenta y analizando todos los actores de la organización: personal, tecnología, bases de datos, espacios físicos, etc. Documentar el alcance del sistema de continuidad de negocio es uno de los requisitos principales de la ISO 22301, y es necesario identificar las partes interesadas o que se ven afectadas de alguna manera por la empresa.
• Liderazgo: La norma ISO 22301 requiere que el «Plan de continuidad del negocio» esté liderado por la alta dirección. Esta asegura los recursos adecuados, establece la política y nombra a las personas para implementar y mantener la gestión de la continuidad del negocio. El liderazgo y compromiso de la alta dirección de la empresa es fundamental para establecer el Sistema de Gestión de Continuidad, lo que implica un alto nivel de responsabilidad de la alta dirección frente a la continuidad del negocio ante imprevistos. También se debe averiguar hasta qué punto existe la implicación y si el liderazgo conoce la política de continuidad en la organización.
• Planificación: Requiere identificar los riesgos que son susceptibles de sufrir un incidente y afectar a la continuidad del negocio. La norma ISO 22301 requiere aplicar las medidas correctivas necesarias para minimizar los riesgos y garantizar la continuidad del negocio y el control de su impacto financiero. Esto implica estrategias para minimizar y controlar los riesgos, estableciendo objetivos de mejora claros e indicadores para medir su éxito. La identificación y evaluación de riesgos proporciona un marco para identificar y evaluar los riesgos que pueden afectar la continuidad del negocio de una organización. Por ello, es clave que la organización gestione adecuadamente sus riesgos, identificándolos, evaluándolos, controlándolos y monitoreándolos constantemente para prevenir su materialización o mitigar su impacto. Se tienen en cuenta sus diferentes frentes como infraestructura, recurso humano, sistemas industriales, estrategias de comunicación y tecnología.
• Recursos de Soporte: El Plan requiere que las personas con conocimientos, habilidades y experiencia suficientes puedan responder a incidentes cuando se producen. Por eso se debe hacer un «Programa de concienciación y captación» y un «Mapa crítico de los recursos mínimos requeridos para la continuidad de los procesos del negocio». También implica la comunicación interna y externa sobre la gestión de la continuidad del negocio, tanto a los clientes como a las Autoridades Públicas. En caso de accidente, se activa el «Manual de crisis». Es vital una cultura organizacional donde todos los empleados y miembros de la organización estén alineados con el sistema de gestión de continuidad de negocio, entendiendo que esto forma parte de la compañía y que de ellos también depende su buen funcionamiento.
• Operaciones: La norma ISO 22301 requiere desarrollar medidas para evitar o reducir la probabilidad de incidentes. En el «Plan de continuidad del negocio» constan los pasos a seguir cuando se producen incidentes. El Plan debe planificar el retorno a actividades normales. La elaboración y ejecución de una respuesta implica redactar las respuestas que se darán frente a cualquier amenaza que se pueda presentar. Es crucial cumplir los acuerdos pactados, etapa en la que se da relevancia a las estrategias y planes definidos con el fin de cumplir el propósito por el que se implementó el sistema. La norma ISO 22301 establece los requisitos para mantener la continuidad del negocio durante y después de situaciones de crisis. Los simulacros y pruebas del «Plan de Continuidad del Negocio» son claves para verificar su eficacia y eficiencia.
• Evaluación del Desempeño y Mejora Continua: La norma requiere establecer indicadores de seguimiento del «Plan de continuidad del negocio». Es necesario seguir, medir, analizar y evaluar el SGCN para poder mejorarlo. Cada organización debe ser capaz, mediante las evaluaciones, análisis y auditorías, de encontrar oportunidades de mejora. La mejora continua es otro de los beneficios de su implantación, ya que la norma ISO 22301 también establece los requisitos para evaluar y mejorar continuamente el sistema de gestión de la continuidad del negocio. Es importante también revisar que se realiza un seguimiento del cumplimiento de los objetivos establecidos; para eso, el auditor debe ver si existen revisiones periódicas, KPIs, protocolos o actas de reuniones. En el momento de la auditoría es necesario revisar si la empresa tiene formas de revisar las métricas establecidas en el punto 9.3 de la ISO 22301. Para todos los incumplimientos y fallos que se han hallado, es necesario buscar la raíz de estos y determinar cuáles son las mejores formas de corregirlos.

Pasos para la Implementación de ISO 22301

Para empezar a implementar la ISO 22301 en su empresa y garantizar la continuidad de su negocio en situaciones de crisis, se pueden seguir seis pasos fundamentales:

1. Obtener el Compromiso de la Alta Dirección: El primer paso es obtener el compromiso y apoyo de la alta administración. El liderazgo es fundamental para el éxito de la implementación.
2. Realizar un Análisis de Impacto en los Negocios (BIA): El segundo paso es realizar un Análisis de Impacto en los Negocios (BIA).
3. Conducir una Evaluación de Riesgos: El tercer paso es conducir una evaluación de riesgos.
4. Elaborar Planes de Continuidad: El cuarto paso es elaborar planes de continuidad.
5. Realizar Pruebas y Simulacros: El quinto paso es realizar pruebas y simulacros.
6. Establecer un Ciclo de Revisión y Mejora: El último paso es establecer un ciclo de revisión y mejora.

Desafíos en la Implementación de ISO 22301

La implementación de la ISO 22301 puede presentar algunos desafíos para las empresas:

• Cambio Cultural: Es necesario cambiar la cultura de la empresa para que todos se involucren en la gestión de continuidad de negocios. Esto puede ser difícil si la empresa no posee una cultura de gestión de riesgos.
• Inversión de Recursos: Es necesario invertir tiempo, dinero y personas para implementar y mantener la norma. Esto puede ser desafiante si la empresa es pequeña o tiene restricciones financieras.
• Complejidad de Documentación: Es necesario entender y documentar los procesos de la empresa, los impactos de interrupciones y los riesgos asociados. Esto puede ser complejo y demorado para muchas empresas.
• Resistencia al Cambio: Es necesario introducir nuevos procedimientos para garantizar la continuidad de los negocios. Estas medidas pueden generar resistencia por parte de los funcionarios, especialmente si la norma cambia la forma de trabajar de la empresa.
• Mantenimiento Continuo: Es necesario mantener los planes de continuidad de negocios relevantes y eficaces a lo largo del tiempo. Esto representa un desafío constante, ya que el ambiente y las circunstancias pueden cambiar.

Auditoría y Certificación ISO 22301

El servicio de certificación ISO 22301 consiste en verificar la adecuación del Sistema de Gestión con especial referencia a los métodos de identificación de fenómenos que puedan afectar al negocio, el análisis de los riesgos consiguientes en la evaluación de los impactos relativos, la definición de sistemas de seguimiento y gestión de actividades, el desarrollo de planes y programas dirigidos a minimizar impactos, y el desarrollo de procedimientos dirigidos a la gestión de situaciones de emergencia.

Realizar una auditoría de continuidad de negocio en una empresa es una de las formas de asegurarse que los eventos disruptivos afectarán al mínimo la actividad. Al realizarse una auditoría de sistema de continuidad de negocio en una empresa, es necesario tener en cuenta una serie de puntos, incluyendo que el auditor comprueba que existe suficiente información sobre el plan de continuidad de negocio y se asegurará de que hay una concienciación por parte de todas las partes implicadas. También es importante revisar que se han seguido los procedimientos de forma correcta, que estén documentados y que sean acordes a la organización.

El proceso para obtener la certificación ISO 22301 requiere un enfoque sistemático que demuestre la capacidad de la organización para mantener sus operaciones críticas ante eventos disruptivos. La certificación siempre comienza con la comprensión de la norma y la implementación de un sistema de gestión conforme. La marca IQNet RECOGNIZED CERTIFICATION garantiza que una organización cumple con estándares internacionales de calidad y gestión.

Integración con Otros Sistemas de Gestión

Un Sistema Integrado de Gestión que incluya la continuidad del negocio puede generar sinergias importantes. El modelo de Gestión de la Continuidad del Negocio está alineado con otros como el de Seguridad de la información (UNE-ISO/IEC 27001), Gestión del Servicio de TI (UNE-ISO/IEC 20000-1) o Gestión de la Calidad (UNE-EN ISO 9001) con el objeto de facilitar la consistencia necesaria y permitir la sinergia en la implantación y operación de cada aspecto de gestión.

Herramientas de Software para SGCN

La implementación de un sistema de gestión de la continuidad del negocio (SGCN) basado en la norma ISO 22301 puede ser un proceso complejo y desafiante. Un software especializado para el SGCN puede automatizar muchos de los procesos que se requieren para la implementación y mantenimiento del sistema. Este tipo de software permite gestionar la estrategia, las amenazas, los riesgos, los controles, los planes de acción, las capacitaciones, los incidentes, los indicadores y los procesos de forma más eficiente.