Conocer de cuánto tiempo dispongo para recuperar y restaurar las operaciones de mi organización es la clave para evitar pérdidas catastróficas.
Cuando hablamos de continuidad de negocio nos referimos a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades.
Sin embargo, las compañías deben tener la habilidad para reaccionar de manera inmediata frente a una amenaza y continuar prestando sus servicios de manera habitual con el fin de evitar la interrupción y el desarrollo normal de sus labores cotidianas.
La norma ISO 22301 reúne todos los requisitos para llevar a cabo la correcta y adecuada implementación de un Sistema de Gestión de Continuidad de Negocio, que debe identificar las capacidades que tiene una organización para enfrentar algún tipo de incidente que se pueda presentar y, además, ofrece diferentes claves que permiten mejorar el negocio internamente y realizar una correcta planificación para garantizar la continuidad de este.
A continuación te contamos cuáles son los parámetros que debes seguir para implementar de manera adecuada un plan de continuidad de negocio que se ajuste a su organización teniendo en cuenta sus objetivos, estructura y alcance. También la importancia de implementarlo y cuál es la forma correcta para hacerlo.
De acuerdo con Rodrigo Ferrer, en el documento Metodología para la Gestión de la Continuidad del Negocio, la continuidad de negocio "busca sostener en niveles previamente definidos y aceptados los productos y servicios críticos del negocio a través de la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso durante y después de una interrupción o desastre, con el fin de proteger los intereses de las partes interesadas, la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor".
En general, es un concepto que está relacionado con la planeación para sobrevivir ante un desastre o riesgo materializado y a su vez con la planeación para restablecer las actividades de la compañía.
Se puede definir como la manera más adecuada de actuar rápida y eficazmente ante una eventualidad que pone en riesgo la operación normal de las actividades de la compañía, a través de un plan establecido para reanudar el funcionamiento cotidiano.
Hay que resaltar que en muchas ocasiones no se tiene control de los riesgos que se pueden materializar, por lo que la empresa puede verse afectada de forma sustancial.
Por eso, es clave que la organización gestione adecuadamente sus riesgos, es decir, que los identifique, evalúe, controle y monitoree constantemente para prevenir su materialización o mitigar su impacto. Y una solución tecnológica como Pirani Riskment Suite sirve para facilitar este proceso y tener en una sola plataforma todos los riesgos.
Por otro lado, hay que tener en cuenta que la continuidad de negocio no se debe relacionar con el plan de prevención de pérdidas, pues para este se deben registrar las actividades que se van a llevar a cabo a través de sistemas, autenticación, seguridad y control para poder identificar la magnitud de lo que se extravió.
Se desarrolla en seis etapas que explicaremos a continuación:
Creación del programa: aquí se debe elaborar el programa de gestión de continuidad, en el que se debe tener cuenta el tamaño y complejidad de la organización, a su vez se elegirán los responsables, quiénes estarán a cargo y se les designará su función.
Comprensión de la compañía: se recolecta la información necesaria con el fin de darle importancia a cada una de las actividades, que deben ser clasificadas en clave, de apoyo y a su vez designar los recursos que se necesitan. Se realiza la evaluación del impacto del negocio y de los riesgos.
Definición de estrategias: se seleccionan aquellas actividades que permiten que la organización pueda recuperar su servicio en un tiempo determinado en caso de sufrir algún tipo de incidente.
Elaboración y ejecución de una respuesta: se redactan las respuesta que se darán frente alguna amenaza que se pueda presentar. Este contará con un paso a paso que se deberá poner en práctica para actuar de manera correcta y siguiendo los protocolos establecidos.
Cumplir los acuerdos pactados: en esta etapa se le da relevancia a las estrategias y planes definidos con el fin de cumplir el propósito por el que se implementó el sistema. Se lleva a cabo a través de ejercicios en diferentes momentos que permitan evaluar la continuidad de negocio y a su vez tener la oportunidad de mejora.
Cultura organizacional: todos los empleados y miembros de la organización deben estar alineados con el sistema de gestión de continuidad de negocio, entender que esto hace parte de la compañía y que de ellos también depende su buen funcionamiento. Se debe incluir dentro de los valores para que ellos sientan y entiendan esta relación.
Se tienen en cuenta sus diferentes frentes como infraestructura, recurso humano, sistemas industriales, estrategias de comunicación y tecnología. Es importante que cada uno de ellos cuente con un plan de acción en caso de que se llegue a presentar una amenaza.
Este se enfoca únicamente a riesgos tecnológicos que puedan traer grandes pérdidas o afectar de manera directa a la empresa. Una herramienta como Pirani ISMS Suite ayuda a las organizaciones a gestionar de manera adecuada los activos de información y los de seguridad a los que estos se ven expuestos.
Este se relaciona ante posibles catástrofes que se puedan dar.
Es una normativa creada por la Organización Internacional de Normalización (ISO), que brinda buenas prácticas y formas para llevar a cabo la gestión de la continuidad de negocio con el fin de minimizar los impactos que pueden traer la materialización de un riesgo afectando de manera directa a la institución.
Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la ISO 22301. En la actualidad tiene 109 requisitos los cuales marcan las pautas de cómo se debe llevar a cabo la implementación del Sistema de Gestión de Continuidad de Negocio (SGCN).
Además, brinda los elementos claves para que todos los miembros pertenecientes a la institución estén preparados y sepan cómo actuar en caso de verse enfrentados a este tipo de situaciones cumpliendo con las políticas internas y regulaciones.
La norma ISO 22301 ofrece un marco básico que permite continuar trabajando durante una eventualidad de riesgo o inesperada, velando por la seguridad de sus empleados, infraestructura y evitando que la reputación se vea afectada hasta el punto de crear una crisis interna y externa.
También hay que tener en cuenta que esta norma otorga certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a este tema.
Se encuentra conformada por diez secciones las cuales están divididas en:
Obtener la certificación permite que cualquier empresa mejore la forma en cómo gestiona este tipo de riesgo y lo pueda hacer por medio de un sistema internacionalmente aceptado el cual permite actuar de manera eficiente ante una situación o evento de amenaza.
En ocasiones algunas empresas a lo largo del desarrollo de sus actividades, se han visto enfrentadas a situaciones que pueden poner en peligro la permanencia de la compañía como tal.
Para evitar este tipo de amenazas, en la actualidad, las organizaciones están implementando el Sistema de Gestión de Continuidad de Negocio basado en la normativa ISO 22301.
Es un plan que se diseña para mantener la operación normal de la compañía en caso de que se presente alguna eventualidad que pueda afectar de manera directa o indirecta las actividades cotidianas.
Gracias a esto las empresas pueden contar con planes de contingencia que contribuyen a mitigar los riesgos y el impacto dentro de la compañía.
Este tipo de sistemas le permite a las empresas restablecer sus operaciones luego de sufrir un incidente que haya ocasionado problemas en el desarrollo de las actividades cotidianas. Así mismo, contribuye en la protección de la reputación de la institución, la prevención en pérdidas económicas, el servicio al cliente y el cumplimiento de plazos.
Por otro lado, también permiten que se anticipen a los riesgos a los que están expuestos, pues ayuda a que se puedan preparar planes en caso de sufrir una emergencia catastrófica, y cómo actuar frente a la crisis.
Se debe clasificar cada una de las áreas dándole una clasificación de prioridad a cada una de ellas, con el fin de entender cuáles son las más vulnerables y de esta manera poder ir trabajando en la continuidad de la organización, en este punto es clave la participación de la dirección.
Se debe recoger toda la información de la organización con el fin de identificar cuáles son los procesos de negocios críticos (activos), cómo se les dará soporte y cuáles son las necesidades que se presentan.
Una vez estén definidos los activos se debe establecer que si en caso de que se llegue a presentar una amenaza están en la capacidad de recuperar estos activos en corto plazo, si por el contrario requiere de un tiempo mayor se deben establecer estrategias.
Se elegirán las estrategias necesarias que se podrán en marcha en caso de presentarse un desastre y se creará un plan de crisis en donde se documentará toda la información.
En este punto es demasiado importante contar con recursos tecnológicos que permitirán crear planes de prueba, mantenimiento y revisión, para identificar cuáles son las buenas prácticas y en qué se debe mejorar.
Se debe crear una cultura dentro de la organización para que todos los empleados conozcan el plan de acción y se apropien de la situación, al igual que entiendan cuál será su rol dentro de este plan.
Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.
Empezar prueba gratis