Guía LRQA para la implementación de un SGCN

IMG Cabecera - Cómo implementar su SGCN

¿Porqué es beneficiosa ISO 22301:2012 para su organización?

"El error más grave de liderazgo, es la falta de previsión"; Robert Greenleaf, Fundador del Movimiento por un Liderazgo moderno. 

El fin de las organizaciones es la obtención de un beneficio, o en el caso del sector público y entidades benéficas entregar un servicio eficiente a sus clientes. ¿Cómo puede verse afectado este objetivo si se produce alguna interrupción en los flujos de procesos de una organización, impidiendo la producción del producto o la prestación del servicio? ¿Podrán sobrevivir?. 

Un Sistema de Gestión de Continuidad de Negocio (SGCN) ayuda a las organizaciones a establecer estructuras para identificar posibles amenazas, el impacto de los incidentes y cómo pueden protegerse frente a estas. A continuación, el SGCN proporciona a la organización un marco para la gestión mediante estrategias y métodos para reducir el impacto de cualquier incidente, y la creación de la capacidad de respuesta efectiva. 

Muchas organizaciones están expuestas a sanciones financieras, procedimientos judiciales o enjuiciamientos penales, si no cumplen con sus obligaciones contractuales, por lo que todo marco de trabajo que les ayude a mejorar su posición frente a estos aspectos, es siempre positivo. Tener implementado un sistema de gestión certificado externamente por un tercero independiente, puede ayudar a las organizaciones a proteger su marca; gestionar reclamaciones  de clientes y proveedores; mejorar su reputación frente a su compañía de seguros y a sus reguladores, y proporcionar mayor nivel de seguridad a clientes y otras partes interesadas. 

Este artículo puede servir de orientación práctica y asesoramiento a los responsables de la implementación de un Sistema de Gestión de Continuidad de Negocio en su organización, a fin de obtener la certificación ISO 22301: 2012. 

Margo Logie y Lyn Browne, Auditores Líderes de LRQA desde hace más de quince años, han redactado este artículo en base a sus experiencias de auditoría de una amplia variedad de organizaciones contra normas de gestión de continuidad de negocio y de calidad.

Introducción a la norma ISO 22301:2012

Introducción a la Norma ISO 22301:2012

La comprensión del marco de trabajo de la norma, es un buen punto de partida.

Los requisitos de la norma ISO 223001:2012 se presentan en una estructura diferente a su predecesor BS 25999-2. El aumento del número de normas ISO, ha hecho que muchas organizaciones se planteen los beneficios de los Sistemas de Gestión Integrados para agilizar la gestión del sistema y reducir duplicidades debidos a la existencia de distintas normas.

ISO 22301:2012 es la primera norma internacional desarrollada utilizando el nuevo Anexo SL como marco de trabajo para un Sistema de Gestión genérico. El Anexo SL requiere la adición de requisitos específicos de cada disciplina para hacer que las normas sean plenamente funcionales para sistemas tales como Calidad, Medio Ambiente, Seguridad Alimentaria, Continuidad de Negocio, Seguridad de la Información, y Energía. La transición de todos las Normas de Sistemas de Gestión actuales al marco de trabajo del Anexo SL, comenzó con las normas ISO 22301: 2012 e ISO 27001 de Seguridad de la Información, las cuales se encuentra actualmente en su fase final de desarrollo. Otras normas como ISO 14001 e ISO 9001, serán las siguientes en ser revisadas y actualizadas.

Con diez cláusulas en comparación con las seis de su predecesora, la norma ISO 22301 también contiene más requisitos a cumplir, con 105 'shalls' en contraposición con los 56 de la norma BS25999-2.

Se siguen aplicando los principios del Modelo “Plan, Do, Check, Act”, en siete pasos principales:

  • Contexto de la organización (Plan) - establece la pertinencia de un SGCN dentro de la organización, con referencia específica a factores internos (políticas, gobierno, partes interesadas) y externos (sociedad, política, economía, normativas) que pueden afectar a la organización.
  • Liderazgo (Plan) - requisitos explícitos para la Alta Dirección, que deben proporcionar evidencias demostrables de su participación activa en el SGCN.
  • Planificación (Plan) -incluye la necesidad de realizar una auditoría de riesgos para ayudar a determinar los controles de Sistema de Gestión, en sustitución a la anterior cláusula de acción preventiva.
  • Apoyo (Plan) - los requisitos se centran en los mecanismos necesarios para apoyar las operaciones de gestión de continuidad de negocio, como por ejemplo la competencia (incluyendo subcontratistas),  concienciación y conocimiento (en particular, un mayor enfoque específico), y enfoque a la difusión de las comunicaciones. En esta sección también se definen requisitos relativos a documentos y registros de control.
  • Operación (Do) - los requisitos son muy similares a los de su predecesora BS 25999-2, con requisitos sobre auditoría de  riesgos relacionados con actividades críticas. Esta sección es menos prescriptiva en sus referencias a la «Máximo de Tolerancia de los Periodos de Interrupción" y "Tiempos Objetivos de Recuperación", aunque la redacción de los requisitos aún requiere la priorización de los acuerdos de respuesta y la implementación de una estrategia de respuesta. También hay un nuevo requisito sobre procedimientos de recuperación.
  • Evaluación de Resultados (Check) - establece los requisitos necesarios para medir la eficacia del SGCN en referencia al cumplimiento de las medidas de desempeño, cumplimiento del SGCN, y los objetivos estratégicos de la organización. También  pretende recoger la opinión de la Dirección respecto al cumplimiento de las expectativas. En esta norma, el requisito sobre medidas definidas es más explícito que en la norma anterior.
  • Mejoras (Act) - establece un requisito para la demostración del proceso de mejora continua de las medidas definidas y del rendimiento del SGCN, más concretamente en relación a las No Conformidades y a las Debilidades identificadas en el Sistema.

Aunque el marco de trabajo del Anexo SL es nuevo, hay similitudes con las normas ISO existentes, tales como la necesidad de compromiso de la Alta Dirección para establecer la Política y Objetivos, provisión de recursos y asignación de responsabilidades. Sin la comprensión y el apoyo de la Alta Dirección, la organización fracasará en la implantación del Sistema. Con toda probabilidad, este principio no va a cambiar nunca.

Otros requisitos comunes incluidos son: mantenimiento de la documentación, procedimientos de acción correctiva, determinación de competencias del personal que opera en puestos clave dentro del sistema de gestión de continuidad de negocio, y formación de los trabajadores.

Si su organización está certificada contra alguna norma ISO de Sistemas de Gestión, entonces ya aplica algunos procesos y procedimientos de gestión, como por ejemplo documentación y registro,  por lo que le resultará fácil la adecuación del nuevo marco de trabajo del Anexo SL.

Si por el contrario, su organización no tiene implementado ningún Sistema de Gestión ISO, será necesario un mayor esfuerzo para la definición y establecimiento de los controles necesarios, aunque los principios de los requisitos son sencillos. Mantener las cosas tan sencillas como sea posible y aprovechar los sistemas electrónicos si se tiene acceso a ellos, es beneficioso para la definición de los controles.

Nuestro colega David Lawson  ha proporcionado para esta Guía algunas orientaciones en relación con la implementación de un Sistema de Gestión de Calidad que puede serle de utilidad para su organización si estás planteándose implantar una estructura de Sistema de Gestión por primera vez. Para descargarse la Guía de Implementación de la Norma ISO 9001, pinche aquí.

LRQA también puede ayudar a las organizaciones en su proceso de implantación a través de nuestro Departamento de Formación. Nuestros expertos pueden ayudarle comprender  cómo un Sistema de Gestión de Continuidad de Negocio puede satisfacer sus necesidades de negocio. Además de cursos abiertos, en LRQA disponemos de servicios de formación a medida para responder las necesidades específicas de su organización. 

Consideremos algunos de los elementos clave de un SGCN, y cómo debe abordarlos su organización;

Comprensión del SGCN en el contexto de la organización

Comprensión del SGCN en el contexto de la organización

"Cuanto más atrás puedas ver, más lejos podrás llegar", Winston Churchill.

Este es un primer paso importante dentro de un Sistema de Gestión de Continuidad de Negocio, orientado a garantizar que la organización comprende todos los factores clave; internos y externos, que le afectan y que son pertinentes a la finalidad del SGCN.

Implica volver a lo básico y cuestionar si la Alta Dirección es capaz de definir con claridad los fundamentos del negocio, sus productos y servicios clave, y sus partes interesadas, incluyendo los reguladores. Es importante que el SGCN esté alineado con la dirección estratégica general y con los objetivos de la organización.

Serán necesarias una gran cantidad de reuniones, entrevistas y encuestas para realizar con éxito la implementación del Sistema, por lo que el compromiso de la Alta Dirección es esencial. Este proceso puede conllevar mucho tiempo, pero con la participación de otros miembros de la organización en estas primeras etapas,  el trabajo posterior de implementación del SGCN será mucho más fácil.

Operaciones en un SGCN - Análisis del Impacto de Negocio

Operaciones dentro del SGCN - Análisis del Impacto de Negocio

Basándose en la comprensión de las prioridades de las partes interesadas ​​sobre  los productos y servicios que son importantes para el negocio, debe realizarse un análisis de las actividades clave para determinar el impacto que tendría una interrupción en las actividades de apoyo sobre los productos o servicios clave. Es importante documentarlo, ya que es la base del funcionamiento de los SGCN y puede ser utilizado para justificar la inversión necesaria para la reducción del riesgo y la recuperación de procesos.

Hay dos áreas principales a considerar en términos de impacto:

  1. Pérdidas financieras, por ejemplo ventas, ingresos, aumento de costes, recargos, multas, etc
  2. Impacto en la marca, imagen y reputación de la organización, por ejemplo, insatisfacción de clientes y/o proveedores,  problemas morales del personal, atención de los medios, etc

Como responsable de su organización, debe responder a las siguientes preguntas:

  • ¿Depende la actividad de los miembros clave del personal, las habilidades o conocimientos?
  • ¿Hay equipos de especialistas involucrados o requisitos únicos tales como la niveles de seguridad de edificios, limpieza de habitaciones, controles de temperatura, etc?.
  • ¿Qué sistemas de IT son necesarios?.
  • ¿Cuáles son los principales datos, documentación y requisitos de mantenimiento de registros?.
  • ¿Existen contratistas, proveedores de servicios,  o proveedores clave que participan en la actividad?
  • ¿Existen requisitos legales o reglamentarios que deben conocerse y cumplirse?
  • ¿Existen requisitos especiales de comunicación que deban conocerse?

El Análisis de Impacto de Negocio (AIN) también se utiliza para determinar el tiempo necesario para la recuperación de un proceso después de que se produzca un incidente significativo - Tiempo de recuperación objetivo.  

Por lo tanto, debe:  

  • Identificar los tiempos críticos dentro del Ciclo del Proceso - Ese es el momento en que el impacto está en su peor momento, por ejemplo, para un almacén sería la preparación ante las Navidades, para un hotel frente a la playa sería el verano, para un contable sería finales de enero por ser la fecha en que se realiza la declaración de impuestos, etc. 
  • Identificar el tiempo que debe durar una interrupción para tener un impacto crítico en el negocio - Periodo Máximo Tolerable de Interrupción. Asuma el peor de los escenarios (fracaso total en el momento más crítico). En esta circunstancia, ¿Cuánto tiempo puede continuar su negocio sin un producto, servicio o sub-proceso?

Auditoría de Riesgos

Auditorías de Riesgos

La auditoría de riesgos se utiliza para identificar y documentar las amenazas internas y externas que pueden causar pérdidas o interrupciones, tanto desde una perspectiva estratégica, como parte del proceso de planificación y en relación con las actividades prioritarias, como de operaciones del SGCN. Se audita tanto la probabilidad como el impacto de cada riesgo. Si la organización tiene varias ubicaciones, será necesario tener en cuenta los riesgos relacionados con cada una de ellas. 

Tenga cuidado con saltarse pasos, y pasar directamente a la tarea de empezar a pensar en todo tipo de sucesos catastróficos. Estos deben clasificarse según su efecto, como por ejemplo no tener acceso al edificio, la pérdida de personal, pérdida de utilidades, etc, y no en base a sucesos específicos que causan la interrupción del negocio, como por ejemplo, incendios, inundaciones, etc. 

Una vez que ha auditado la probabilidad y el impacto de cada riesgo, debe considerar el desarrollo de Planes de Reducción de Riesgos para asegurar que todos los riesgos identificados pueden reducirse hasta un nivel "aceptable". Algunos de estos Planes pueden requerir una inversión importante,  por lo que una comprensión clara del negocio y un sólido Análisis del Impacto de Negocio son fundamentales. Esto significa que, cuando se requieren grandes inversiones, pueden ayudar a influir en el caso de negocio para los recursos necesarios para implementar el Plan de Reducción de Riesgos.

Definición de la Estrategia de Continuidad de Negocio

Definición de la Estrategia de Continuidad de Negocio

La estrategia se entiende mejor en términos de garantizar la existencia de una estructura, mecanismos y recursos existentes, que permitan a la organización cumplir con los objetivos de tiempo de recuperación. Y así, asegurando que los Planes de Reducción de Riesgos se producen y actúan, se garantiza que las dos próximas etapas del proceso se suceden. Realmente es la demostración del compromiso de la Alta Dirección para hacer que las cosas sucedan. Es necesario apoyar los objetivos de la organización, así como las obligaciones contractuales o derechos legales, además de ser eficientes en costes.

Por ejemplo, si su organización utiliza fabricantes especializados y equipos de pruebas, los tipos de estrategias de continuidad que puede utilizar son:

  1. Mueva los equipos a otra ubicación.
  2. Ubique el equipo que está disponible y que podría ser utilizado en otra ubicación de su organización.
  3. Negocie con los proveedores la posibilidad de adquirir equipos adicionales a corto plazo.

Desarrollo y Gestión de un SGCN

Desarrollo y Gestión de un SGCN

"Un buen plan ejecutado bruscamente hoy, es mejor que un plan perfecto la semana que viene", George S. Patton, General de EE.UU.

Uno espera que nunca suceda…pero si sucede ¿Qué debo hacer?  Su organización debe desplegar su plan de gestión y de recuperación ante incidentes. La mayoría de las organizaciones suelen  diseñar planes basados puramente en IT, lo cual es un error ya que un plan de recuperación robusto debe abarcar mucho más que eso.

El primer aspecto que debe abordar un Plan de gestión de incidentes es definición clara de  quién es responsable de qué, incluyendo l apersona responsable de ordenar la ejecución del Plan. Deben definirse unas líneas claras de comunicación, incluyendo las tareas clave que deben completarse. Sin embargo, como se desconoce la naturaleza exacta del incidente que puede producirse, es necesario que hay flexibilidad en el Plan elaborado, además de ser factible y de fácil comprensión en el momento crítico en que se produzca el incidente.

Incluye listas de tareas y de acciones. Considere áreas tales como:

  • Contactos y lugares de reunión.
  • Garantizar el bienestar de los individuos.
  • Opciones estratégicas y operacionales.
  • Formas de evitar una mayor pérdida / falta de disponibilidad.
  • Recursos necesarios y persona responsable de organizarlos.
  • Respuesta a los medios.
  • Contacto con los clientes y las partes interesadas.
  • Proceso para el cese de actividad.
  • Mantenimiento de registros (podría ser útil un registro de la información clave sobre incidentes, medidas adoptadas, y decisiones tomadas, si se toma alguna acción legal posterior por o en contra de la organización).

Es imposible cubrir todos los escenarios posibles, pero basando los planes en el peor de los casos, es mucho más fácil implementar una versión reducida para tratar de reforzar un plan débil.

También es necesaria la definición de un Plan de reanudación de la actividad tras una disrupción, el cual es complementario al Plan de Recuperación y hace referencia a la forma en que la organización retomará su actividad normal tras la aplicación del Plan de Recuperación.

Puede que no sea capaz de definir al detalle el Plan, pero el establecimiento de la estrategia es importante. ¿Quiere volver a viejas premisas? ¿Tiene la oportunidad de cambiar? Sí es necesaria la reconstrucción de sus instalaciones, ¿necesitará buscar otras a medio plazo ya que su ubicación inicial de contingencia es sólo una opción muy a corto plazo? ¿Desea simplemente regresar a su ubicación originaria tan pronto como sea posible? 

Se requieren procedimientos de recuperación para definir cómo la organización va a restaurar y reanudar sus actividades de negocio habituales tras la aplicación de las medidas provisionales a fin de volver a los procesos de negocio normales después de un incidente.

Implementación, Mantenimiento y Revisión

Implementación, Mantenimiento y Revisión

"En el mundo de los negocios, el espejo retrovisor muestra siempre una visión más clara que el parabrisas", Warren Buffett, Empresario  y Financiero. 

Una vez que se han definido la estrategia y los planes, es necesario un programa de pruebas para analizar su funcionamiento y adecuación. Normalmente, los programas de pruebas suelen ser: comprobación del escritorio, tutoriales, simulacros; pruebas de actividades/departamentos; pruebas de reubicación completa, o la mejor prueba de todos que es incidente real. Cuanto más compleja sea la prueba - y por lo tanto más costosa - más garantías es probable que proporcione.

El objetivo de las pruebas es analizar supuestos y validar planes para saber que se puede confiar en el cumplimiento de los tiempos objetivos de recuperación. Por ejemplo, si los sistemas de infraestructura y tecnología dependen de un servidor remoto que deba ser reparado en pocas horas ¿es posible esto?

La práctica mejora el trabajo en equipo, ayudando a que el proceso de acciones sea automático y esté basado en la confianza de la respuesta.

También se requiere un programa de mantenimiento, ya que el sistema debe ser actualizado y modificado en función del desarrollo de la organización en un futuro. Por ejemplo, si se introducen nuevos procesos de negocio o se modifican los existentes, se definen nuevas tecnologías o productos, se realizan cambios de personal, o se encuentran problemas técnicos durante una prueba.

Las revisiones periódicas son también necesarias. Puede ser útil la incorporación de actividades de pruebas, auditoría y autoevaluación en un plan global que abarque un período de tiempo definido. La Alta Dirección debe participar en la revisión de los resultados de dichas actividades, así como del sistema en su conjunto. Por ejemplo: para re-auditar si las estrategias son efectivas y si el calendario de impacto de negocio sigue siendo apropiado.

LRQA proporciona ayuda a las organizaciones gracias a nuestra Formación, ayudando a entender cómo implementar, mantener y mejorar su Sistema de Gestión de Continuidad de Negocio. Además de Cursos en Abiertos, ofrecemos formación in-company adaptada a las necesidades de cada organización.

Certificación

Certificación

No todos los organismos de certificación son iguales. Antes de elegir el organismo con el que desea trabajar, debe asegurarse de que está acreditado por un organismo nacional. UKAS, The United Kingdom Accreditation Service, es la entidad encargada de esta labor en Reino Unido. Visite su página web para más información sobre la acreditación.

La certificación es una validación externa de su Sistema de Gestión de Continuidad de Negocio, que garantiza que cumple con los requisitos de la Norma ISO 22301:2012 de SGCN según la British Standards Institute.

Para mayor información, visite nuestro apartado de certificación ISO 22301:2012.

Su elección de entidad de certificación dice mucho a sus clientes acerca de la importancia que su organización concede a los Sistemas de Gestión. Debe elegir un organismo de certificación que pueda ayudarle a desarrollar el máximo potencial de su Sistema de Gestión. En LRQA le asignamos un administrador de cuentas, con el que podrá debatir la mejor manera para que su organización alcance la certificación.

Todos los auditores de LRQA pasan por un riguroso proceso de selección y formación,  seguido por un desarrollo profesional continuo. Todos son Auditores Líderes IRCA (Registro Internacional de Auditores Certificados), el primer organismo de Reino Unido encargado del registro de auditores, que proporciona a la industria de la certificación los mejores  profesionales.

Esto le da la seguridad de que al elegir LRQA como su organismo de certificación, realizamos una auditoría en profundidad pero justa, que le ayudará a mantener un desarrollo continuo de su Sistema de Gestión.

La marca LRQA goza de reconocimiento mundial, por lo que proporciona a los compradores en cualquier parte del mundo, la confianza de que su sistema de gestión cumple con los requisitos de la norma ISO 22301:2012.

Tradicionalmente la certificación se obtiene tras un proceso de auditoría realizado en dos etapas una vez transcurrido un tiempo desde la implementación del Sistema de Gestión. También auditamos según el modelo "PRISM" – Ruta Progresiva de LRQA en la Gestión de Sistemas - que permite a las organizaciones construir un Sistema de Gestión  certificado, adicional al ya existente, a su propio ritmo y utilizando los recursos disponibles. Para obtener más información, visite nuestro apartado PRISM.

Desde 1985, diseñamos nuestros servicios pensando en nuestros clientes, considerando sus necesidades y requerimientos individuales a la hora de diseñar nuestra oferta de servicios. Hemos desarrollado nuestro paquete de apoyo complementario para ayudarle a obtener el máximo rendimiento a sus sistemas de gestión, tales como:

  • Eventos gratuitos para clientes.
  • Teléfono gratuito de asistencia técnica.
  • Asistencia técnica online a través de nuestra área de soporte online al cliente.
  • Asistencia para la gestión de cuentas. 

Para mayor información sobre como certificarse con LRQA en la norma ISO 22301, visite www.lrqa/iso22301. Si desea conocer nuestros cursos de formación disponibles visite www.lrqa/formacion.com.