¿Qué es un Plan o Sistema de Gestión de Continuidad de Negocio (SGCN)?
Cualquier organización está expuesta a incidentes que pueden provocar una parada de su actividad y ser un obstáculo para la continuidad del negocio. Por ello, la necesidad de establecer planes con acciones de respuesta que permitan controlar esos eventos y sus efectos a través de un Plan o Sistema de Gestión de Continuidad de Negocio.
¿Cómo ayuda a nuestra organización implantar un Sistema de Gestión de Continuidad de Negocio?
Tener implantado un Sistema de Gestión de Continuidad de Negocio permite a la organización tener la capacidad de sobrevivir a todos aquellos eventos que pueden tener un impacto negativo y poner en peligro la continuidad de nuestra actividad: pandemias, ciberataques, incendios, terremotos, inundaciones, etc.
¿Cómo elaborar un Sistema de Gestión de Continuidad de Negocio?
Como marco común de actuación para implantar y mantener un Sistema de Gestión de Continuidad de Negocio, existe la norma ISO 22301, desarrollada y publicada por la Organización Internacional de Estandarización (ISO por sus siglas en inglés). Pasos o fases principales para la implantación:
- Determinar el alcance: consiste en la identificación de los procesos de negocio de la organización que queremos que estén considerados en el SGCN.
- Realizar un análisis de Impacto en el Negocio (BIA, por sus siglas en inglés, Business Impact Analysis) de cada proceso del alcance, para determinar la criticidad de cada uno. Contiene los siguientes aspectos:
- determinación de la criticidad: mediante el estudio de los diferentes tipos de impacto (operacional, financiero, legal, reputacional, etc) que tendría la interrupción del proceso de negocio según va transcurriendo el tiempo;
- los requerimientos temporales y de recursos necesarios para la continuidad de la actividad y la vuelta a la normalidad: recursos humanos, infraestructuras, proveedores, servicios, maquinaria, tecnologías empleadas, tiempos de recuperación, tiempo máximo tolerable de caída del servicio, niveles mínimos de recuperación del servicio, etc.
- Llevar a cabo un Análisis de Riesgos, consistente en:
- determinar las posibles amenazas sobre los activos a las que está expuesta la organización;
- determinar el nivel de riesgo de cada amenaza, evaluando su probabilidad de ocurrencia y el impacto que causaría en caso de producirse. Un riesgo alto debe indicar que nos preocupa la continuidad de negocio para ese activo;
- establecer un Plan de Tratamiento de Riesgos, consistente en la implantación de controles, normalmente preventivos, que ayuden a reducir la probabilidad de ocurrencia de las amenazas.
- A partir de los resultados del Análisis de Riesgos, identificar los posibles escenarios de crisis y establecer la estrategia de recuperación para cada uno de ellos.
- Crear y documentar planes detallados de respuesta y recuperación ante los escenarios críticos identificados, que incluyan los pasos a dar desde la comunicación del incidente hasta la vuelta a la normalidad. Su objetivo es evitar la ausencia o la toma de decisiones improvisada que pueda empeorar la situación o hacer esta irreversible.
- Ejecutar pruebas y ejercicios de los planes de respuesta y recuperación, para comprobar que realmente funcionan y son los adecuados. Se realizarán informes que recojan los resultados obtenidos y las incidencias surgidas.
- Realizar revisiones y auditorías de nuestro Sistema de Gestión para garantizar su mantenimiento, actualización y establecimiento de medidas correctoras. Con ello conseguiremos su mejora continua.
- Concienciación: consiste en poner en marcha las medidas que fomenten la concienciación del personal en materia de continuidad de negocio y el conocimiento de los planes establecidos.
Por último, con la implantación de un Sistema de Gestión de Continuidad de Negocio, y con independencia del sector o del tamaño, cualquier organización podrá estar preparada para afrontar con garantías un incidente de seguridad que pueda afectar al desarrollo de sus actividades, proporcionándole mayor seguridad y capacidad de respuesta ante cualquier eventualidad. En GlobalSuite Solutions ofrecemos la ayuda y el asesoramiento necesarios para la implementación de un plan de continuidad de negocio y la obtención de su certificación. Además, contamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo, permite la implantación, gestión y mantenimiento de todos los requisitos exigidos por la norma ISO 22301 en todo tipo de organizaciones y sectores.