Iso 22301 2012 en Continuidad Del Negocio

5/28/2018 Iso 22301 2012 en Continuidad Del Negocio

1/6

HerramientasG

erenciales

PorAlbertoG.Alexa

nder,Ph.D.,AMBCI

NATURALEZA DEL ISO 22301:2012

El nuevo estndar ISO 22301:2012 tiene por nombre

Seguridad de la Sociedad: Sistemas de Continuidad del

Negocio. Este modelo aparece como producto de una

evolucin de lineamientos, buenas prcticas y estndares

en continuidad del negocio. En la Figura N 1, se presenta

un bosquejo de la evolucin.

El lineamiento ms antiguo es el NFPA 1600, publicado

en 1995, el cual estableci una serie de conjuntos de

criterios para la gestin de desastres, emergencias y

programas de continuidad para las organizaciones. En

1997 el Disaster Recovery Institute International (DRII),

public las Prcticas Profesionales para la Gestin del

Negocio.

En el ao 2002, el Business Continuity Institute public

los lineamientos de Buenas Prcticas para la Continuidad

del Negocio. En 2003, se publica el lineamiento PAS 56.

Esta gua estableci el proceso, principios y terminologa

de un sistema de gestin de continuidad del negocio.

Describi las actividades y resultados involucrados en el

establecimiento de un proceso de gestin de continuidad

del negocio. Desarroll una serie de recomendaciones

para las buenas prcticas para la anticipacin a incidentes,

y respuesta y tcnicas para la evaluacin.

En 2006, se public el lineamiento BS 25999-1, el

cual describi de manera concreta el ciclo de vida de

la continuidad del negocio. Su enfoque represent las

opciones continuas del programa de continuidad del

negocio en la organizacin.

INTRODUCCIN

El Sistema de Gestin de la Continuidad del Negocio(SGCN) se ha convertido en una exigencia para las

empresas que compiten el da de hoy en los mercados

globalizados. La tendencia mundial es que ya las

empresas no compitan entre s: la competencia es entre

cadenas de suministros. Una cadena de suministros, para

mantenerse operando, no puede tener ningn eslabn

dbil; ninguno de sus componentes puede dejar de operar

ya que si un elemento del todo dejara de funcionar separaliza toda la serie, generando el caos. Cada miembro

del sistema tiene que demostrar que es un proveedor

confable. Esto se logra teniendo en cada empresa un

SGCN que proteja a los procesos esenciales que permiten

originar los productos o servicios que desea el cliente.

Qu es un SGCN? Es parte del sistema de gestin

gerencial que establece, implementa, opera, evala,

mantiene y mejora la continuidad del negocio. Un SGCN

da confanza a terceros ya que ha identifcado los procesos

esenciales que soportan a los productos o servicios que

se desean proteger de escenarios de amenazas producto

del anlisis del riesgo (Alexander, 2007). Cada escenario

de amenazas tiene una estrategia de continuidad que

se materializa a travs de planes de reanudacin de

operaciones que son ensayados regularmente. Una

empresa con un SGCN ensayado peridicamente es muy

difcil que deje de operar y no pueda suministrar sus

productos o servicios.

NUEVO ESTNDAR INTERNACIONALEN CONTINUIDAD DEL NEGOCIO

ISO 22301:2012El pasado 15 de mayo, el comit tcnico 223 de la Organizacin Internacional para la

Normalizacin (ISO, por sus siglas en ingls), public la versin final ISO 22301:2012

Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos.

Esta norma reemplazar al estndar BS 25999-2:2007 Gestin de la Continuidad del

Negocio: Especificaciones. El nuevo modelo es certificable y auditable. El estndar trae

nuevos trminos y novedades en la documentacin requerida. Seguidamente, se presentar

su naturaleza, la documentacin exigida y el proceso de transicin del BS 25999-2:2007 al

nuevo estndar.


2/6

FIGURA N 1

EVOLUCIN DE LOS ESTNDARES EN CONTINUIDAD DEL NEGOCIO

1995NFPA 1600

2008ISO/IEC 24762BS 25777

2011PAS 200ISO/IEC 27031

2002BCI

LINEAMIENTOBUENAS

PRCTICAS

1991DRII

PRCTICASPROFESIONALES

2003PAS 56

2006BS 25999-1

2010ASIS/BSI BUSINESS

CONTINUITYMANAGEMENT

STANDARD2012

ISO 22301

2007BS 25999-2

ISO/PAS 22399

En el ao 2007, se public el estndar BS 25999-2:2007,

el primer estndar internacional certifcable y auditable.

Fue elaborado con el objetivo de defnir los requisitos para

un enfoque de sistemas de gestin para la gestin de la

continuidad del negocio basado en buenas prcticas, para

su uso por organizaciones grandes, medianas y pequeas

que operan en los sectores industrial, comercial, pblico

y de benefcencia.

En el mismo ao se public el ISO/PAS 22399, el cualgener los lineamientos genricos para una organizacin

interesada en desarrollar un sistema de gestin con

criterios para el desempeo de preparacin ante

incidentes y continuidad operacional.

En el ao 2008, se public el lineamiento ISO/IEC 24762

que desarroll guas para la provisin de informacin y

comunicacin frente a la recuperacin de desastres. Ese

mismo ao, se public el BS 25777, un cdigo de buenas

prcticas sobre gestin de la continuidad. Una norma

que, emparentada con la BS 25999 sobre continuidad

de negocio, defni un cdigo de buenas prcticas sobre

continuidad centrado en las infraestructuras TIC de lasorganizaciones.

En el ao 2010, se public el ASIS/BSI Business

Continuity Management Standard. Este lineamiento,

basado en el BS 25999 (parte 1 y 2), especifca

los requerimientos para un sistema de gestin

de continuidad del negocio, para permitir a las

organizaciones identifcar, desarrollar e implementar

polticas, objetivos, capacidades, procesos y programas

para poder atender eventos alteradores que pudieran

paralizar a la organizacin.

En 2011, se public el PAS 200, Gestin de Crisis -

Lineamiento y Buena Prctica. Es un lineamiento

diseado para ayudar a las empresas a tomar pasosprcticos para mejorar su habilidad de manejar crisis.

Tambin en el ao 2011, se public el lineamiento ISO/

IEC 27031, el cual describe los conceptos y principios

de tecnologa de informacin y comunicacin (ICT) para

preparar a una organizacin para la continuidad del

negocio. Es aplicable a todo tipo de empresa.

Finalmente, en el ao 2012, la Organizacin Internacional

para la Normalizacin (ISO) public el estndar

Seguridad de la Sociedad: Sistemas de Continuidad

del Negocio-Requisitos. Este estndar certifcable y

auditable capta los principales conceptos de los dems

lineamientos publicados desde 1995.

El estndar ISO 22301:2012 Seguridad de la Sociedad:

Sistemas de Continuidad del Negocio-Requisitos

aplica el ciclo Plan-Do-Check-Act (PDCA por sus

siglas en ingls) para la planifcacin, establecimiento,

implementacin, operacin, monitoreo, revisin,

mantenimiento y la mejora continua de su efectividad.

El modelo ha sido creado con consistencia con otros

estndares de gestin, tales como: ISO 9001:2008, ISO

27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con

el ISO 28000:2007.

GESTION OCT . DIC 2012 26


3/6

FIGURA N 2

CICLO PDCA APLICADO AL PROCESO DE CONTINUIDAD DEL NEGOCIO

ESTABLECIMIENTOCLUSULAS: 4, 5,

6 Y 7

IMPLEMENTACINY OPERACIN

Clusula: 8

CONTEXTO DE LA

ORGANIZACIN

LIDERAZGO

PLANEAMIENTO

SOPORTE

PLANEAMIENTO

OPERATIVO Y CONTROL

BUSINESS IMPACT

ANALYSIS

EVALUACIN DE RIESGOS

ESTRATEGIAS DE

CONTINUIDAD PROCEDIMIENTOS DE

CONTINUIDAD

EJERCICIOS Y PRUEBAS

MONITOREO Y MEDICIN

ANLISIS Y EVALUACIN

AUDITORA

REVISIN

NO CONFORMIDAD

Y ACCIN CORRECTIVA

MEJORA CONTINUA IMPLEMENTACINY OPERACIN

Clusula: 9

MANTENIMIENTOY MEJORA

Clusula: 10

PARTESINTERESADAS

PARTESINTERESADAS

GESTIN DE LAPREPARACIN DE LACONTINUIDAD

REQUERIMIENTOS

PARA PREPARACINY GESTIN DE LA

CONTINUIDAD DELNEGOCIO

En la fgura N 2, se puede apreciar como el SGCN toma

insumos de las partes interesadas, requerimientos para

la gestin de la continuidad, y a travs de las necesarias

acciones y procesos produce resultados de continuidad

para cumplir con los requerimientos. (ISO 22301:2012)

En esta misma fgura, se observa cada componente del

modelo. El establecimiento es el Plan. All se aprecian

los principales requerimientos. Las secciones 4, 5, 6 y 7 de

la norma corresponden al establecimiento. Seguidamente

se tiene la implementacin y operacin, el cual es

el Do; esta etapa del proceso est compuesta por los

requerimientos de la seccin 8. Contemplamos en la fgura

N 2 sus principales requerimientos. Luego se tiene la

fase monitoreo y revisin, la cual representa al Check.

All se pueden apreciar los principales requerimientos de

esta seccin. Esta fase comprende los requerimientos de

la seccin 9 de la norma. Finalmente, se tiene la fase de

mantenimiento y mejora, representando a la fase Act,

la cual engloba todos los requerimientos de la clusula 10

de la norma.

DOCUMENTACIN REQUERIDA POR EL ISO.22301:2012

El nuevo modelo exige cierta documentacin obligatoria.

La documentacin obligatoria que una empresa deacuerdo a su alcance debe desarrollar es la siguiente:

123456789

10111213141516

Lista de requisitos legales, normativos y de otra ndole.

Alcance del SGCN.

Poltica de la continuidad del negocio.

Objetivos de la continuidad del negocio.

Evidencia de competencias del personal.

Registros de comunicacin con las partes interesadas.

Anlisis del impacto en el negocio.

Evaluacin de riesgos, incluido un perfil del riesgo.

Estructura de respuesta a incidentes.

Planes de continuidad del negocio.

Procedimientos de recuperacin.

Resultados de acciones preventivas.

Resultados de supervisin y medicin.

Resultados de la auditora interna.

Resultados de la revisin por parte de la direccin.

Resultados de acciones correctivas.


4/6


FIGURA N 3

PROCESO DE TRANSICIN

MAYO 2012

NOVIEMBRE 2012BS 25999-2:2007

Desaparece

CERTIFICACIN: BS 25999 ISO 22301Desde mayo hasta noviembre del 2012las empresas pueden certificarse en BS

25999 ISO 22301

PERODO DE ACTUALIZACINmayo 2012 hasta mayo 2014

Todas las empresas que estn certificadas con BS 25999 tendrn que actualizarsecon ISO 22301

CERTIFICACIONES SOLO EN 22301Despus de noviembre del 2012 solo

se podr certificar en ISO 22301

MAYO 2014

TRANSICIN DE BS 25999-2:2007 A ISO 22301-2012

En la Figura N 3, se tiene una representacin grfca del

proceso de transicin del estndar BS 25999-2:2007 al

ISO 22301:2012.

El United Kingdom Accreditation Service (UKAS) ha

dado las pautas para la transicin del BS 25999-2:2007

al nuevo modelo ISO 2301:2012. Como se puede apreciar

en la Figura N 3, las empresas podrn certifcarse al

estndar BS 25999-2:2007 hasta noviembre de 2012.

A partir de esa fecha el estndar desaparece y solo

prevalecer el ISO 22301:2012. Las empresas que

obtuvieron la certifcacin al BS 25999-2:2007 tienen

hasta mayo de 2014 para realizar la transicin y realizar

su ascenso al nuevo modelo. (Sharp, 2012).

PRINCIPALES ADICIONES AL ISO 22301:2012

El nuevo estndar tiene 106 requerimientos versus 56

que tiene el BS 25999-2:2007. El modelo tiene una serie

de clusulas adicionales que a continuacin se detallan:

CLUSULA 4: CONTEXTO DE LAORGANIZACINEsta clusula introduce los requerimientos necesarios

para establecer el contexto del SGCN tal como debe

aplicar a los requerimientos y necesidades de la

organizacin dentro de un alcance determinado.

La clusula tambin requiere que la organizacin

determine su apetito al riesgo, as como los aspectos

legales y regulatorios que apliquen a la organizacin.

El ISO 22301 requiere que la organizacin determine

qu ser cubierto por la continuidad del negocio, as

como tambin qu ser excluido. La organizacin

tiene la exigencia de comunicar a las partes, tanto

internas como externas, el alcance del SGCN.

CLUSULA 5: LIDERAZGOEsta clusula hace un buen resumen de las exigencias

a la alta gerencia de la empresa, en relacin a su rol

en el SGCN. Hay nuevos requerimientos para la alta

gerencia, tales como:

1 ASEGURARSE QUE EL SGCN ESCOMPATIBLE CON LA DIRECCIN

ESTRATGICA DE LA ORGANIZACIN.

2 INTEGRACIN DE LOS REQUERIMIENTOSDEL SGCN EN LOS PROCESOS DE

NEGOCIOS.

3 COMUNICAR LA IMPORTANCIA DE UNAEFICAZ GESTIN DE LA CONTINUIDAD

DEL NEGOCIO.

CLUSULA 6: PLANEACINEsta clusula requiere que la organizacin claramente

defna los objetivos de continuidad del negocio y

desarrolle proyectos para alcanzarlos. Estos objetivos

deben estar relacionados a la poltica de continuidad

del negocio y deben ser conmensurables. Al establecer

los objetivos se debe considerar el nivel mnimo de

productos y servicios que seran aceptables para que

la organizacin pueda alcanzar sus objetivos globalesde negocio.


5/6

CLUSULA 7: SOPORTE

La clusula 7 detalla el soporte requerido para

establecer, implementar y mantener un efcaz SGCN.

Esto cubre los recursos requeridos, las competencias

humanas, toma de conciencia y comunicaciones con

partes interesadas, as como requerimientos para la

gestin documentaria.

Esta seccin, al cubrir toma de conciencia, es bastante

especfca ya que exige que todas las personas bajo

el control de la organizacin estn conscientes de

la poltica de continuidad del negocio, entender

su contribucin al logro de efcacia del SGCN y

las implicancias de no tener conformidad con sus

requerimientos. Tambin, las personas deben conocer

su rol en un momento de alteracin.

La mayor adicin en la clusula 7 es el tema de

comunicaciones. Este es un punto importantsimo al

gestionar cualquier alteracin en la organizacin.

CLUSULA 8: OPERACIN

Clusula 8.1 La clusula planifcacin operacionaly control es nueva. Esta clusula requiere que la

organizacin asegure la existencia de procesos que

hayan sido desarrollados para gestionar que los riesgos

al SGCN estn correctamente implementados.

Clusula 8.2.2 El Business Impact Analysis,

introduce un nuevo trmino: esquemas de tiempo

priorizados. Este trmino se relaciona con el conocido

Recovery Time Objective(RTO) y defne el orden y los

tiempos para la recuperacin de actividades crticas

que soportan los productos y servicios claves.

El trmino Maximum Tolerable Period of Disruption

(MTPD), el cual es defnido en la seccin 3 del estndar,

no es usado en la norma. Pero en la clusula 8.2.2 (c)

plantea que la organizacin debe establecer esquemas

de tiempo priorizados para reanudar operaciones.

FIGURA N 4

CATEGORIZACIN DE LAS CLUSULAS EN GLOBALES Y FOCALESISO 22301:2012

SISTEMA DE GESTIN

Y ALCANCE 4.3

POLTICA SGCN 5.3

OBJETIVOS Y PLANES PARA

ALCANZARLOS 6.1

COMPETENCIAS DEL PERSONAL 7.2

TOMA DE CONCIENCIA 7.3

CONTROL DE INFORMACIN

DOCUMENTADA 7.5.3

AUDITORIAS INTERNAS 9.2REVISIN GERENCIAL 8.7.1

NO CONFORMIDAD Y ACCIN

CORRECTIVA 10.1

MEJORA CONTINUADA 10.2

BUSINESS IMPACT

ANALYSIS 8.4.33

EVALUACIN

DEL RIESGO 8.4.34

EVALUACIN

PROCEDIMIENTOS

DE CONTINUIDAD 8.7.2

OPCIONES DE

CONTINUIDAD

DEL NEGOCIO 8.4.4

EJERCICIOS

Y PRUEBAS 8.6.1

FOCAL

GLOBAL

ESTABLECIMIENTO

REQUERIMIENTOSDE RECURSOS 8.4.4.2

ESTRUCTURA RESPUESTA

A INCIDENTES

PLANES CONTINUIDAD 8.4/8.5.5


6/6


que apoyan los productos/servicios claves, en unnivel especco aceptable, tomando en consideracin

el tiempo en el cual, los impactos, de no reanudaroperaciones se convertiran en inaceptables. Como sepuede apreciar, el concepto del MTPD sigue vigente.

Clusula 8.2.3 La evaluacin del riesgo le prestaatencin de que ciertos aspectos nancieros

y obligaciones gubernamentales requieren decomunicacin, a distintos niveles de detalle, de losriesgos que pudieran alterar las actividades priorizadas.

Clusula 8.4.2 La estructura para respuestaa incidentes ha expandido sus requerimientos;especcamente la necesidad para identicar

impactos de amenazas que justican la iniciacin

de una respuesta formal y la necesidad de utilizar lasalvaguarda de vidas humanas como primera prioridad,al establecer comunicados internos y/o externos.

Clusula 8.4.5 Recuperacin es un nuevorequerimiento. El estndar plantea que la organizacindebe tener procedimientos documentados para poderrestablecer y retornar las actividades del negociode medidas temporales creadas para soportar losrequerimientos normales de la organizacin.

IMPLANTACIN DEL ISO 22301:2012

Cuando una organizacin desea iniciar la implantacindel modelo ISO 22301:2012 siempre se genera lainterrogante de por dnde empezar? Ser conveniente

iniciar con el Business Impact Analysis? O con laestructura para responder a incidentes? En n, hay una

serie de opciones disponibles.

La manera adecuada es ir de lo general a lo particular.En la gura N 4, se han categorizado las clusulas de la

norma en globales y focales. Para el inicio del procesode implantacin es recomendable atender primero alas clusulas globales y luego iniciar las focales. Lasclusulas globales, permiten crear la plataforma inicialen la construccin del SGCN. Las clusulas focales son laparte netamente tcnica de la norma y requieren para sudesarrollo de la infraestructura que desarrollan las globales.

El comit 223 de ISO est actualmente trabajando enla elaboracin del Lineamiento 22313. Este documentoconsistir en buenas prcticas y recomendaciones,indicando qu prcticas una organizacin debieradesarrollar para implementar un SGCN ecaz. Este

documento podr ser utilizado como gua para laimplantacin del modelo, o tambin para efectosde usarlo como autoevaluacin. Se estima que estedocumento estar publicado a nales de 2012 o primer

trimestre de 2013.

CONCLUSIONES

A nivel mundial, con las nuevas reglas de los mercadosinternacionales, las empresas tienen la obligacin depoder demostrar que son proveedores conables. Ante

la presencia de cualquier evento alterador, de tener unSGCN implementado las empresas pueden, dentro de untiempo estimado, reanudar sus operaciones y continuarofreciendo sus productos y servicios. Un SGCN es laindicacin que los proveedores son conables.

El estndar ISO 22301:2012 engloba las distintasmetodologas y buenas prcticas en continuidad delnegocio generadas en los ltimos casi 20 aos.

Las empresas que hayan implementado y certicado el BS

25999-2:2007 tienen un lmite de tiempo para realizar lamigracin al nuevo modelo.

Las organizaciones que estn implementando un SGCNbajo el esquema BS 25999-2:2007 deben iniciar latransicin hacia el ISO 22301:2012.

Alberto Alexander Servat, Ph.D. por la University of Kansas, M.A. porla Northern Michigan University y Licenciado en Administracin por laUniversidad de Lima, tiene amplia experiencia acadmica en institucionesde posgrado peruanas e internacionales. Es auditor lder de Sistemas deGestin de la Calidad ISO 9000, certicado por el International Register of

Certicated Auditors (IRCA), Inglaterra.

Tambin es auditor lder del ISO 14000, certicado ante el (EARA),

Inglaterra y el (RAB), EE.UU., as como auditor lder del Modelo deGestin de Seguridad de Informacin ISO 27001:2005 certicado anteInternacional Register of Certicated Auditors (IRCA), Inglaterra. Su ms

reciente publicacin es Diseo y Gestin de un Sistema de Seguridad deInformacin; ptica ISO 27001:2005. Ha sido fundador y director gerentede la rma consultora Eciencia Gerencial y Productvidad S.A., con sede en

Venezuela. Actualmente, desempea las mismas funciones para AmricaLatina desde Per.

Referencias Bibliogrcas

Alexander, Alberto. Diseo y Gestin de un Sistema de Gestin deSeguridad de Informacin: ptica ISO 27001:2005. Editorial AlfaOmega 2007. Colombia.

ISO 22301. Societal Security - Business Continuity ManagementSystems-Requirements 2012.

Sharp, John. The Route Map to Business Continuity managementmeeting the requirements. British Standards Institute, UnitedKingdom.

Documents

Iso 22301 2012 en Continuidad Del Negocio