Desde su fundación después de la Segunda Guerra Mundial, la Organización Internacional de Normalización (ISO) independiente, con sede en Ginebra, Suiza, ha desarrollado cerca de 30.000 normas internacionales voluntarias, basadas en el consenso y relevantes para el mercado que son vitales para las organizaciones que participan en El mercado global. En 2012, publicó ISO 22301, el estándar internacional para la gestión de la continuidad del negocio (BCM) para armonizar y alinearse con varios estándares nacionales anteriores y estándares ISO
ISO 22301 es el primer estándar ISO centrado en la continuidad del negocio. Complementa las disciplinas mencionadas en ISO 27031 para la recuperación ante desastres de TI. La serie ISO 27000 es una amplia familia de estándares centrados en la seguridad de la información. Específicamente, ISO 27031 es un estándar especializado que aborda la continuidad del negocio. ISO 22301 se hace cargo de la actividad detallada a partir de ahí. Proporciona un marco práctico para establecer y gestionar un sistema eficaz de gestión de la continuidad del negocio, con el objetivo de proteger a cualquier organización de una amplia gama de posibles amenazas e interrupciones.
Hazlo una prioridad
La obtención de la certificación ISO 22301 debe ocupar un lugar destacado en la lista de prioridades de las organizaciones que necesitan demostrar a sus partes interesadas que pueden superar rápidamente las interrupciones operativas para proporcionar un servicio continuo y efectivo. El proceso de certificación incluye cuatro pasos esenciales:
- Diseño, desarrollo e implementación de un sistema de gestión de continuidad del negocio (aquí se describe un proceso de 15 pasos para construir el sistema BCM).
- Entrevista y selección de registrador acreditado (UKAS, ANAB o equivalente).
- Realización de auditorías de la etapa uno (remota) y la etapa dos (en el sitio), realizando solicitudes de acciones correctivas completa y rápidamente para garantizar que se demuestre el cumplimiento y la eficacia de la reparación.
- Obteniendo certificación, luego preparándose para la primera auditoría de vigilancia.
Lograr la certificación ISO 22301 coloca a la organización dentro de un grupo único de empresas comprometidas con la resiliencia empresarial, por lo que debe celebrarse.
El proceso también permite a los gerentes de BCM incorporar la disciplina de continuidad del negocio en sus empresas. No solo le permite obtener una mejor comprensión de su organización, sino también implementar una estrategia de continuidad comercial con tácticas de respuesta adecuadas. En última instancia, podrá impulsar mejor la alineación de las capacidades de resiliencia en paralelo con las iniciativas de gestión clave que impulsan la mejora continua.
Pero como cualquier cosa que valga la pena hacer, habrá desafíos que superar en el camino hacia la certificación ISO 22301.
Obtener la aceptación de la administración puede ser el mayor desafío, especialmente cuando se consideran los costos. Un análisis de costo-beneficio cuidadosamente preparado es esencial. Debe demostrar el valor en los términos comerciales que la gerencia entiende. Considere los costos de una interrupción comercial importante: pérdida de ingresos, pérdida de participación en el mercado, daño a la reputación, por nombrar algunos. Demuestre cómo un sistema BCM certificado por ISO mitigará o eliminará esos costos.
Mejores prácticas
Algunas de las mejores prácticas para obtener la aceptación de la administración para un programa de certificación ISO 22301 incluyen:
- Asegurar la participación de los propietarios clave del proceso.
Las personas tienen mucho que hacer y no les gusta completar tareas cotidianas, como completar la información del análisis de impacto empresarial. La mejor manera de evitar la apatía es automatizar la recopilación de estos datos y facilitar que los usuarios completen esta información en un sistema fácil de usar. Luego, asegúrese de que entiendan cómo pueden utilizar esta información de manera productiva. Vender los beneficios del análisis de impacto empresarial al propietario del proceso ayudándole a encontrar formas de mejorar su programa.
- Proporcionar los recursos necesarios:
Demuestre el valor comercial de la certificación ISO en términos comerciales (es decir, días de ventas, fluencia pendiente, pérdida de ingresos, penalizaciones por demora, costo de flete premium, riesgo de reputación y pérdida final del negocio).
- Asegurarse de que todo esté cubierto en el análisis de riesgos y el análisis de impacto comercial:
Utilice una metodología estructurada para identificar riesgos y sus impactos en el negocio.
- Evitar los silos:
Asegúrese de que su metodología incluya todos los departamentos dentro de su organización para demostrar los riesgos e impactos comerciales en toda la empresa.
- Hacer que el programa sea fácil de entender.
No es necesario diseccionar cada cláusula a cada miembro del personal. Mantenga su enfoque en los pasos clave para la implementación de su certificación BCM e ISO 22301.
- Nombrar a un responsable de continuidad de negocios y darle el acceso al liderazgo superior para evangelizar.
Incluya a la alta gerencia en eventos de concientización de gestión de continuidad del negocio de alto nivel y ejercicios de escritorio.
En resumen, al obtener la certificación ISO 22301 obtendrá una mejor comprensión de su organización y aprenderá a incorporar la disciplina de continuidad del negocio en toda su empresa. La vigilancia continua de los sistemas de continuidad de su negocio fomentará un espíritu de mejora continua que complementa otros programas de gestión. Impulsará la alineación de las capacidades de resiliencia de sus organizaciones en paralelo con las iniciativas clave de gestión y la transformación digital empresarial. Y su empresa se unirá a un grupo único de empresas comprometidas con la continuidad y la resistencia del negocio.
Por Roland Kelly, ejecutivo de cuentas en Fusion Risk Management