¿Sabes qué es la Norma ISO 22301?
La Norma ISO 22301 Continuidad del Negocio, presenta los pasos y pautas a seguir para determinar el mejor plan de contingencia dentro de cualquier empresa y así, poner en marcha toda su actividad productiva luego de superar cualquier incidente como lo es el COVID-19 en la actualidad.
Con independencia del sector económico donde se desarrolle su actividad, lo cierto es que cada vez son más los agentes externos que pueden llegar a condicionar el correcto funcionamiento de la operación normal de la compañía y es precisamente ese plan de continuidad del negocio lo que pretende certificar la normativa ISO 22301.
La gestión de continuidad del negocio a través de una certificación concreta, si bien es muy importante para cualquier empresa, es una cuestión de carácter imperativo en el caso de empresas que venden sus servicios o productos a otras corporaciones, siendo la misma un claro elemento distintivo frente a otros núcleos empresariales de la competencia que operan en el mismo sector económico que vuestra compañía.
¿Qué es la gestión de continuidad del negocio?
Ni que decir tiene que hay muchas definiciones de Gestión de la continuidad del Negocio, sin embargo, la descripción más precisa de la Gestión de Continuidad del Negocio la encontramos en la definición de la norma ISO 22301:
DEFINICION DE CONTINUIDAD DEL NEGOCIO Según ISO 22301
Proceso de gestión integral que identifica posibles amenazas para una organización y los impáctos en las operaciones comerciales que esas amenazas, si se materializan, podrían causar,
Por otro lado, la gestión de la continuidad del negocio proporciona un marco para desarrollar la capacidad de recuperación de la organización
Finalmente, el objetivo es conseguir una capacidad de respuesta efectiva que salvaguarde los intereses de las partes interesadas clave, como son: La reputación, la imagen y la marca así como las actividades de creación de valor
Para conseguir sus objetivos, la Gestión de la continuidad del Negocio integra disciplinas tales como:
La respuesta a emergencias
La gestión de crisis
La recuperación ante desastres (continuidad tecnológica) y
La continuidad empresarial (reubicación organizacional / operativa).
La gestión de crisis
La recuperación ante desastres (continuidad tecnológica) y
La continuidad empresarial (reubicación organizacional / operativa).
¿Cuáles son los procesos de continuidad?
En este articulo vamos desarrollar los puntos básicos para generar el Plan de Continuidad.
Cada organización tendrá la libertad de realizar su plan de continuidad de manera muy diversa, utilizando sus herramientas y medios para completar lo que se requiere y poder así, generar un plan concreto y de gran ayuda para la organización. No obstante, se deben establecer principios básicos para cumplir con la normativa y que son imprescindibles para la norma ISO 22301.
1. Protocolo Inicial: es el primer paso y se deben definir los siguientes protocolos para cuando se genere la interrupción de las operaciones de la compañía:
Protocolos de Alerta (emergencias Alertas de Seguridad, Incendios etc.)
Protocolos de Alerta y envío de comunicaciones a los responsables en la toma de decisiones.
Establecer claramente los protocolos de responsabilidades por áreas, departamentos y secciones, de forma que todo el mundo sepa quien está a cargo de cualquier situación que se plantee
Protocolos de Alerta (emergencias Alertas de Seguridad, Incendios etc.)
Protocolos de Alerta y envío de comunicaciones a los responsables en la toma de decisiones.
Establecer claramente los protocolos de responsabilidades por áreas, departamentos y secciones, de forma que todo el mundo sepa quien está a cargo de cualquier situación que se plantee
2. Plan de Contingencia: El primer objetivo sea cual sea la causa de la interrupción, es evitar que la situación empeore poniendo los medios de contención previstos. Para ello, se debe elaborar un Plan de Contingencia que permite establecer los pasos a seguir y no retrasar las acciones necesarias dentro de la organización.
3. Restablecimiento del servicio: Como siguiente paso se debe restaurar los servicios afectados. Para ello se hace necesario que esté constituido el equipo de gestión de Incidentes. Este equipo será el encargado de revisar y utilizar el plan de recuperación elaborado y, teniendo en cuenta la evaluación del impacto del evento en los servicios; establecer cómo y qué servicios se han de activar.
4. Planes de Comunicación: La respuesta eficaz a un incidente pasa por una buena comunicación. En primer lugar se debe comunicar a todas las partes implicadas la generación del evento presentado, luego las acciones para la restauración del servicio y así, mantener una comunicación continua.
5. Planes de Recuperación: Una vez iniciadas las tareas iniciales de respuesta a un incidente es hora de invocar a los Planes de Continuidad del Negocio. El alcance de una respuesta planificada o dentro de un plan de continuidad debe responder al menos a:
Cual es el escenario del incidente
Determinar el impacto del incidente
Cuales son las estrategias de respuesta disponibles
Cuales son los recursos disponibles para la respuesta planificada
Cuales son los protocolos y las herramientas para medir y gestionar los esfuerzos de recuperación
Cual es el escenario del incidente
Determinar el impacto del incidente
Cuales son las estrategias de respuesta disponibles
Cuales son los recursos disponibles para la respuesta planificada
Cuales son los protocolos y las herramientas para medir y gestionar los esfuerzos de recuperación
6. Extensión de los Planes de Recuperación: Estar preparados para mantener los planes de recuperación por más tiempo. Se debe mantener un tiempo óptimo de recuperación (RTO), pero también se debe especificar qué podemos hacer si nos enfrentamos a una desviación no esperada por semanas o meses de más.
7. Plan de Normalización: Debemos tener previsto un plan de normalización que nos ayude a evaluar y analizar la situación que hemos superado. Básicamente, debemos ser capaces de saber recoger la información necesaria para evaluar el comportamiento de la organización durante la crisis y así, evaluar la nueva situación de la organización después del restablecimiento de las operaciones..
CASO PRACTICO:
Un ejemplo de Plan de contingencia frente al COVID – 19
Es recomendable para las empresas definir medidas preventivas frente al coronavirus que aseguren la seguridad y salud de sus trabajadores, un plan de actuación en caso de que se materializarse el riesgo por un posible contagio o una situación de alerta pública decretada por las autoridades gubernamentales, así como medidas para restaurar la situación a estado anterior de haberse producido la contingencia.
Según información del Portal Ingertec en su artículo: “Planes de contingencia frente al Coronavirus”, algunas de las medidas que se recomiendan y que pueden incluirse en el Plan de Contingencia son:
Medidas preventivas frente al Coronavirus
Organizar el trabajo minimizando el número de personas expuestas: limitar visitas, reducir reuniones presenciales, suspender viajes, no asistir a eventos o convenciones, fomentar el teletrabajo…
Medidas de higiene básicas: lavado de manos, cubrirse la boca y nariz con pañuelos desechables al toser o estornudar…
Disponer de soluciones hidroalcohólicas desinfectantes y repartirlas en los lugares de atención al público como uso para trabajadores y clientes.
Incluir mascarillas quirúrgicas dentro de los botiquines de la empresa, por si fuera necesario utilizarlas en caso de declararse pandemia.
Medidas de higiene básicas: lavado de manos, cubrirse la boca y nariz con pañuelos desechables al toser o estornudar…
Disponer de soluciones hidroalcohólicas desinfectantes y repartirlas en los lugares de atención al público como uso para trabajadores y clientes.
Incluir mascarillas quirúrgicas dentro de los botiquines de la empresa, por si fuera necesario utilizarlas en caso de declararse pandemia.
Entre las medidas a tomar para atenuar los efectos adversos de la posible contingencia están:
Informar a las autoridades lo antes posible de la existencia de dicho riesgo.
Procedimientos en caso de que exista un riesgo por contagio por coronavirus en el centro de trabajo: activar medidas que permitan el desarrollo de la actividad de manera alternativa o paralizar la actividad de manera temporal.
Establecimiento de teletrabajo para minimizar el riesgo de propagación.
Gestión de la actividad comercial y/o productiva en caso de falta de materias primas o suministros (p.e. piezas no servidas desde China)
Por último deben de plantearse cómo continuar con la actividad en caso de que no se pueda seguir con la operación normal.
Procedimientos en caso de que exista un riesgo por contagio por coronavirus en el centro de trabajo: activar medidas que permitan el desarrollo de la actividad de manera alternativa o paralizar la actividad de manera temporal.
Establecimiento de teletrabajo para minimizar el riesgo de propagación.
Gestión de la actividad comercial y/o productiva en caso de falta de materias primas o suministros (p.e. piezas no servidas desde China)
Por último deben de plantearse cómo continuar con la actividad en caso de que no se pueda seguir con la operación normal.
La entrada ISO 22301 Continuidad del Negocio se publicó primero en ISO 27001.
Artículo de nor27cyg publicado en https://normaiso27001.es/iso-22301/
