ciberseguridad y cifra
Normativa ISO 22301
Ciberseguridad y Cifra
Ciberataques, pandemias, grandes nevadas, fallos informáticos, desabastecimiento de proveedores etc. ¿Suena familiar? Toda organización, con independencia de su tamaño, sector o complejidad, necesita estar preparada para gestionar y responder adecuadamente ante desastres e interrupciones de su actividad de negocio.
Denominamos continuidad de negocio a la capacidad de una organización para garantizar la prestación de sus productos o servicios, a un nivel aceptable y predefinido, después de un incidente disruptivo.
Qué es la Normativa ISO 22301
La ISO 22301 es el Estándar reconocido internacionalmente que determina los requisitos para implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Continuidad de Negocio (SGCN), que garantice la continuidad de las actividades y la recuperación de los procesos de negocio ante un evento disruptivo, mejorando la capacidad de resiliencia y minimizando las consecuencias de dichos eventos
Importancia de la Norma ISO 22301
La norma ISO 22301 sirve como marco sobre el cual construir un Sistema de Gestión de Continuidad de Negocio (conocido como SGCN), que permita a las organizaciones estar preparadas para seguir operando durante las disrupciones de negocio. Los requisitos de la norma están destinados para ser aplicados y adaptados a todo tipo de organizaciones, con independencia del tipo, tamaño, sector y naturaleza de la organización
Estructura de la Normativa ISO 22301
01 - Objeto y campo de aplicación
02 - Normas para consulta
03 - Términos y definiciones
04 - Contexto de la organización
05 - Liderazgo
06 - Planificación
07 - Apoyo
08 - Operación
09 - Evaluación
10 - Mejora
Qué relación tiene con la BS 25999-2
La norma ISO 22301 tiene su origen en el estándar británico BS 25999-2, publicada en 2007 era la primera norma certificable y auditable vinculada a la gestión de continuidad del negocio. Pronto se convirtió en el estándar de referencia para la implementación de Sistemas de Gestión de Continuidad de Negocio hasta que finalmente fue reemplazada por ISO 22301 en 2012.
Requisitos de la ISO 22301 sobre la Continuidad del Negocio
De entre todos los requisitos de la norma podemos destacar los siguientes aspectos clave, fundamentales para lograr una adecuada gestión de la continuidad en la organización:
Estudio de situación de partida y grado de madurez de la organización en cuanto a continuidad de negocio. Incluyendo el análisis de aspectos como; tamaño y tipología de servicios ofrecidos, requisitos legales, roles y responsabilidades, necesidades y expectativas de la dirección y terceros etc.
Documento que consagra los propósitos y compromisos de la Organización con la continuidad de negocio, estableciendo los objetivos y principios que se persiguen. La Política sirve de marco global y guía del SGCN, y por ello debe ser aprobada, comunicada y revisada periódicamente.
Proceso de evaluación de las actividades de la Organización y los efectos que una interrupción en dichas actividades podría tener sobre ella. Este proceso es un pilar básico ya que permite identificar las actividades críticas, sus dependencias y recursos requeridos para operar en un nivel mínimo aceptable.
Identificación, análisis y evaluación de las principales vulnerabilidades y amenazas que podrían afectar a la continuidad de las actividades de la Organización, así como las salvaguardas actuales, con el objetivo diseñar planes correctivos para reducir las riesgos actuales de continuidad más críticos.
Identificación de escenarios de desastre y selección de estrategias de continuidad para las actividades críticas de la Organización, incluyendo los tiempos de actuación y recursos necesarios para cumplir los objetivos temporales y de capacidad determinados.
Procedimientos documentados que guían a la Organización, su personal y equipos de respuesta, en la detección, escalado y declaración de crisis, así como en la respuesta y reanudación de las operaciones, de manera coordinada y planificada, a un nivel predefinido tras la disrupción.
Procedimientos que contemplan las pautas para probar y medir la efectividad de los planes, permitiendo verificar que las actividades más críticas puedan ser recuperadas según lo planificado, de forma segura y efectiva por parte del personal entrenado previamente.
Definición de los procedimiento de mantenimiento, revisión y mejora continua donde se establecen las actividades de monitorización que permiten al SGCN estar actualizado con respecto a cambios del negocio, nuevas amenazas, desviaciones de cumplimiento, mejoras o correcciones etc.
Qué empresas deberían certificarse en ISO 22301
Todas las empresas y organizaciones, públicas o privadas, con independencia de su tipo, tamaño y sector, que necesiten ser capaces de continuar con la entrega de productos y/o servicios, rápidamente y con una capacidad aceptable durante una disrupción que pudiera paralizar su operativa.
Beneficios para las empresas de cumplir con la ISO 22031
Entre los muchos beneficios que aporta cumplir con la norma, podemos destacar que, en caso de un evento que paralice la operativa de una organización, contar con un SGCN acorde a la ISO 22301, la organización dispone de las siguientes ventajas:
Evitar improvisaciones, actuar según planes y estrategia prestablecida.
Minimizar el período de interrupción de procesos, servicios y sistemas.
Controlar impactos financieros, legales, operativos y de imagen.
Planificar recursos y establecer prioridades y objetivos realistas.
Construir resiliencia organizacional para una respuesta efectiva.
Preparar al personal y garantizar mantenimiento de los planes.
Qué empresas deberían aplicarla
Una vez implementado el Sistema de Gestión de Continuidad de Negocio, es posible certificarlo con la finalidad de tener un sello de conformidad, garantía de su óptima implementación, funcionamiento y mantenimiento.
Para ello es necesario superar una auditoria externa de cumplimiento con una Entidad autorizada.
Contar con la certificación ISO 22301 permite controlar y promover la mejora continua del Sistema de Gestión, otorgándole no solo credibilidad a los resultados previstos, sino también a las necesidades y objetivos de la estrategia organizacional. De forma consecuente, la organización contará con un beneficio reputacional y de imagen frente a los clientes, proveedores y demás partes interesadas.
¿Necesitas mas información sobre
la Normativa ISO 22301?
Contacta con nuestros especialistas en ciberseguridad y te aconsejarán lo mejor para tu empresa.
Teléfono
+34 91 309 86 00