iso 22301 2012 en continuidad del negocio
TRANSCRIPT
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
1/6
HerramientasG
erenciales
PorAlbertoG.Alexa
nder,Ph.D.,AMBCI
NATURALEZA DEL ISO 22301:2012
El nuevo estndar ISO 22301:2012 tiene por nombre
Seguridad de la Sociedad: Sistemas de Continuidad del
Negocio. Este modelo aparece como producto de una
evolucin de lineamientos, buenas prcticas y estndares
en continuidad del negocio. En la Figura N 1, se presenta
un bosquejo de la evolucin.
El lineamiento ms antiguo es el NFPA 1600, publicado
en 1995, el cual estableci una serie de conjuntos de
criterios para la gestin de desastres, emergencias y
programas de continuidad para las organizaciones. En
1997 el Disaster Recovery Institute International (DRII),
public las Prcticas Profesionales para la Gestin del
Negocio.
En el ao 2002, el Business Continuity Institute public
los lineamientos de Buenas Prcticas para la Continuidad
del Negocio. En 2003, se publica el lineamiento PAS 56.
Esta gua estableci el proceso, principios y terminologa
de un sistema de gestin de continuidad del negocio.
Describi las actividades y resultados involucrados en el
establecimiento de un proceso de gestin de continuidad
del negocio. Desarroll una serie de recomendaciones
para las buenas prcticas para la anticipacin a incidentes,
y respuesta y tcnicas para la evaluacin.
En 2006, se public el lineamiento BS 25999-1, el
cual describi de manera concreta el ciclo de vida de
la continuidad del negocio. Su enfoque represent las
opciones continuas del programa de continuidad del
negocio en la organizacin.
INTRODUCCIN
El Sistema de Gestin de la Continuidad del Negocio(SGCN) se ha convertido en una exigencia para las
empresas que compiten el da de hoy en los mercados
globalizados. La tendencia mundial es que ya las
empresas no compitan entre s: la competencia es entre
cadenas de suministros. Una cadena de suministros, para
mantenerse operando, no puede tener ningn eslabn
dbil; ninguno de sus componentes puede dejar de operar
ya que si un elemento del todo dejara de funcionar separaliza toda la serie, generando el caos. Cada miembro
del sistema tiene que demostrar que es un proveedor
confable. Esto se logra teniendo en cada empresa un
SGCN que proteja a los procesos esenciales que permiten
originar los productos o servicios que desea el cliente.
Qu es un SGCN? Es parte del sistema de gestin
gerencial que establece, implementa, opera, evala,
mantiene y mejora la continuidad del negocio. Un SGCN
da confanza a terceros ya que ha identifcado los procesos
esenciales que soportan a los productos o servicios que
se desean proteger de escenarios de amenazas producto
del anlisis del riesgo (Alexander, 2007). Cada escenario
de amenazas tiene una estrategia de continuidad que
se materializa a travs de planes de reanudacin de
operaciones que son ensayados regularmente. Una
empresa con un SGCN ensayado peridicamente es muy
difcil que deje de operar y no pueda suministrar sus
productos o servicios.
NUEVO ESTNDAR INTERNACIONALEN CONTINUIDAD DEL NEGOCIO
ISO 22301:2012El pasado 15 de mayo, el comit tcnico 223 de la Organizacin Internacional para la
Normalizacin (ISO, por sus siglas en ingls), public la versin final ISO 22301:2012
Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos.
Esta norma reemplazar al estndar BS 25999-2:2007 Gestin de la Continuidad del
Negocio: Especificaciones. El nuevo modelo es certificable y auditable. El estndar trae
nuevos trminos y novedades en la documentacin requerida. Seguidamente, se presentar
su naturaleza, la documentacin exigida y el proceso de transicin del BS 25999-2:2007 al
nuevo estndar.
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
2/6
FIGURA N 1
EVOLUCIN DE LOS ESTNDARES EN CONTINUIDAD DEL NEGOCIO
1995NFPA 1600
2008ISO/IEC 24762BS 25777
2011PAS 200ISO/IEC 27031
2002BCI
LINEAMIENTOBUENAS
PRCTICAS
1991DRII
PRCTICASPROFESIONALES
2003PAS 56
2006BS 25999-1
2010ASIS/BSI BUSINESS
CONTINUITYMANAGEMENT
STANDARD2012
ISO 22301
2007BS 25999-2
ISO/PAS 22399
En el ao 2007, se public el estndar BS 25999-2:2007,
el primer estndar internacional certifcable y auditable.
Fue elaborado con el objetivo de defnir los requisitos para
un enfoque de sistemas de gestin para la gestin de la
continuidad del negocio basado en buenas prcticas, para
su uso por organizaciones grandes, medianas y pequeas
que operan en los sectores industrial, comercial, pblico
y de benefcencia.
En el mismo ao se public el ISO/PAS 22399, el cualgener los lineamientos genricos para una organizacin
interesada en desarrollar un sistema de gestin con
criterios para el desempeo de preparacin ante
incidentes y continuidad operacional.
En el ao 2008, se public el lineamiento ISO/IEC 24762
que desarroll guas para la provisin de informacin y
comunicacin frente a la recuperacin de desastres. Ese
mismo ao, se public el BS 25777, un cdigo de buenas
prcticas sobre gestin de la continuidad. Una norma
que, emparentada con la BS 25999 sobre continuidad
de negocio, defni un cdigo de buenas prcticas sobre
continuidad centrado en las infraestructuras TIC de lasorganizaciones.
En el ao 2010, se public el ASIS/BSI Business
Continuity Management Standard. Este lineamiento,
basado en el BS 25999 (parte 1 y 2), especifca
los requerimientos para un sistema de gestin
de continuidad del negocio, para permitir a las
organizaciones identifcar, desarrollar e implementar
polticas, objetivos, capacidades, procesos y programas
para poder atender eventos alteradores que pudieran
paralizar a la organizacin.
En 2011, se public el PAS 200, Gestin de Crisis -
Lineamiento y Buena Prctica. Es un lineamiento
diseado para ayudar a las empresas a tomar pasosprcticos para mejorar su habilidad de manejar crisis.
Tambin en el ao 2011, se public el lineamiento ISO/
IEC 27031, el cual describe los conceptos y principios
de tecnologa de informacin y comunicacin (ICT) para
preparar a una organizacin para la continuidad del
negocio. Es aplicable a todo tipo de empresa.
Finalmente, en el ao 2012, la Organizacin Internacional
para la Normalizacin (ISO) public el estndar
Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos. Este estndar certifcable y
auditable capta los principales conceptos de los dems
lineamientos publicados desde 1995.
El estndar ISO 22301:2012 Seguridad de la Sociedad:
Sistemas de Continuidad del Negocio-Requisitos
aplica el ciclo Plan-Do-Check-Act (PDCA por sus
siglas en ingls) para la planifcacin, establecimiento,
implementacin, operacin, monitoreo, revisin,
mantenimiento y la mejora continua de su efectividad.
El modelo ha sido creado con consistencia con otros
estndares de gestin, tales como: ISO 9001:2008, ISO
27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con
el ISO 28000:2007.
GESTION OCT . DIC 2012 26
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
3/6
FIGURA N 2
CICLO PDCA APLICADO AL PROCESO DE CONTINUIDAD DEL NEGOCIO
ESTABLECIMIENTOCLUSULAS: 4, 5,
6 Y 7
IMPLEMENTACINY OPERACIN
Clusula: 8
CONTEXTO DE LA
ORGANIZACIN
LIDERAZGO
PLANEAMIENTO
SOPORTE
PLANEAMIENTO
OPERATIVO Y CONTROL
BUSINESS IMPACT
ANALYSIS
EVALUACIN DE RIESGOS
ESTRATEGIAS DE
CONTINUIDAD PROCEDIMIENTOS DE
CONTINUIDAD
EJERCICIOS Y PRUEBAS
MONITOREO Y MEDICIN
ANLISIS Y EVALUACIN
AUDITORA
REVISIN
NO CONFORMIDAD
Y ACCIN CORRECTIVA
MEJORA CONTINUA IMPLEMENTACINY OPERACIN
Clusula: 9
MANTENIMIENTOY MEJORA
Clusula: 10
PARTESINTERESADAS
PARTESINTERESADAS
GESTIN DE LAPREPARACIN DE LACONTINUIDAD
REQUERIMIENTOS
PARA PREPARACINY GESTIN DE LA
CONTINUIDAD DELNEGOCIO
En la fgura N 2, se puede apreciar como el SGCN toma
insumos de las partes interesadas, requerimientos para
la gestin de la continuidad, y a travs de las necesarias
acciones y procesos produce resultados de continuidad
para cumplir con los requerimientos. (ISO 22301:2012)
En esta misma fgura, se observa cada componente del
modelo. El establecimiento es el Plan. All se aprecian
los principales requerimientos. Las secciones 4, 5, 6 y 7 de
la norma corresponden al establecimiento. Seguidamente
se tiene la implementacin y operacin, el cual es
el Do; esta etapa del proceso est compuesta por los
requerimientos de la seccin 8. Contemplamos en la fgura
N 2 sus principales requerimientos. Luego se tiene la
fase monitoreo y revisin, la cual representa al Check.
All se pueden apreciar los principales requerimientos de
esta seccin. Esta fase comprende los requerimientos de
la seccin 9 de la norma. Finalmente, se tiene la fase de
mantenimiento y mejora, representando a la fase Act,
la cual engloba todos los requerimientos de la clusula 10
de la norma.
DOCUMENTACIN REQUERIDA POR EL ISO.22301:2012
El nuevo modelo exige cierta documentacin obligatoria.
La documentacin obligatoria que una empresa deacuerdo a su alcance debe desarrollar es la siguiente:
123456789
10111213141516
Lista de requisitos legales, normativos y de otra ndole.
Alcance del SGCN.
Poltica de la continuidad del negocio.
Objetivos de la continuidad del negocio.
Evidencia de competencias del personal.
Registros de comunicacin con las partes interesadas.
Anlisis del impacto en el negocio.
Evaluacin de riesgos, incluido un perfil del riesgo.
Estructura de respuesta a incidentes.
Planes de continuidad del negocio.
Procedimientos de recuperacin.
Resultados de acciones preventivas.
Resultados de supervisin y medicin.
Resultados de la auditora interna.
Resultados de la revisin por parte de la direccin.
Resultados de acciones correctivas.
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
4/6
GESTION OCT . DIC 2012 28
FIGURA N 3
PROCESO DE TRANSICIN
MAYO 2012
NOVIEMBRE 2012BS 25999-2:2007
Desaparece
CERTIFICACIN: BS 25999 ISO 22301Desde mayo hasta noviembre del 2012las empresas pueden certificarse en BS
25999 ISO 22301
PERODO DE ACTUALIZACINmayo 2012 hasta mayo 2014
Todas las empresas que estn certificadas con BS 25999 tendrn que actualizarsecon ISO 22301
CERTIFICACIONES SOLO EN 22301Despus de noviembre del 2012 solo
se podr certificar en ISO 22301
MAYO 2014
TRANSICIN DE BS 25999-2:2007 A ISO 22301-2012
En la Figura N 3, se tiene una representacin grfca del
proceso de transicin del estndar BS 25999-2:2007 al
ISO 22301:2012.
El United Kingdom Accreditation Service (UKAS) ha
dado las pautas para la transicin del BS 25999-2:2007
al nuevo modelo ISO 2301:2012. Como se puede apreciar
en la Figura N 3, las empresas podrn certifcarse al
estndar BS 25999-2:2007 hasta noviembre de 2012.
A partir de esa fecha el estndar desaparece y solo
prevalecer el ISO 22301:2012. Las empresas que
obtuvieron la certifcacin al BS 25999-2:2007 tienen
hasta mayo de 2014 para realizar la transicin y realizar
su ascenso al nuevo modelo. (Sharp, 2012).
PRINCIPALES ADICIONES AL ISO 22301:2012
El nuevo estndar tiene 106 requerimientos versus 56
que tiene el BS 25999-2:2007. El modelo tiene una serie
de clusulas adicionales que a continuacin se detallan:
CLUSULA 4: CONTEXTO DE LAORGANIZACINEsta clusula introduce los requerimientos necesarios
para establecer el contexto del SGCN tal como debe
aplicar a los requerimientos y necesidades de la
organizacin dentro de un alcance determinado.
La clusula tambin requiere que la organizacin
determine su apetito al riesgo, as como los aspectos
legales y regulatorios que apliquen a la organizacin.
El ISO 22301 requiere que la organizacin determine
qu ser cubierto por la continuidad del negocio, as
como tambin qu ser excluido. La organizacin
tiene la exigencia de comunicar a las partes, tanto
internas como externas, el alcance del SGCN.
CLUSULA 5: LIDERAZGOEsta clusula hace un buen resumen de las exigencias
a la alta gerencia de la empresa, en relacin a su rol
en el SGCN. Hay nuevos requerimientos para la alta
gerencia, tales como:
1 ASEGURARSE QUE EL SGCN ESCOMPATIBLE CON LA DIRECCIN
ESTRATGICA DE LA ORGANIZACIN.
2 INTEGRACIN DE LOS REQUERIMIENTOSDEL SGCN EN LOS PROCESOS DE
NEGOCIOS.
3 COMUNICAR LA IMPORTANCIA DE UNAEFICAZ GESTIN DE LA CONTINUIDAD
DEL NEGOCIO.
CLUSULA 6: PLANEACINEsta clusula requiere que la organizacin claramente
defna los objetivos de continuidad del negocio y
desarrolle proyectos para alcanzarlos. Estos objetivos
deben estar relacionados a la poltica de continuidad
del negocio y deben ser conmensurables. Al establecer
los objetivos se debe considerar el nivel mnimo de
productos y servicios que seran aceptables para que
la organizacin pueda alcanzar sus objetivos globalesde negocio.
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
5/6
CLUSULA 7: SOPORTE
La clusula 7 detalla el soporte requerido para
establecer, implementar y mantener un efcaz SGCN.
Esto cubre los recursos requeridos, las competencias
humanas, toma de conciencia y comunicaciones con
partes interesadas, as como requerimientos para la
gestin documentaria.
Esta seccin, al cubrir toma de conciencia, es bastante
especfca ya que exige que todas las personas bajo
el control de la organizacin estn conscientes de
la poltica de continuidad del negocio, entender
su contribucin al logro de efcacia del SGCN y
las implicancias de no tener conformidad con sus
requerimientos. Tambin, las personas deben conocer
su rol en un momento de alteracin.
La mayor adicin en la clusula 7 es el tema de
comunicaciones. Este es un punto importantsimo al
gestionar cualquier alteracin en la organizacin.
CLUSULA 8: OPERACIN
Clusula 8.1 La clusula planifcacin operacionaly control es nueva. Esta clusula requiere que la
organizacin asegure la existencia de procesos que
hayan sido desarrollados para gestionar que los riesgos
al SGCN estn correctamente implementados.
Clusula 8.2.2 El Business Impact Analysis,
introduce un nuevo trmino: esquemas de tiempo
priorizados. Este trmino se relaciona con el conocido
Recovery Time Objective(RTO) y defne el orden y los
tiempos para la recuperacin de actividades crticas
que soportan los productos y servicios claves.
El trmino Maximum Tolerable Period of Disruption
(MTPD), el cual es defnido en la seccin 3 del estndar,
no es usado en la norma. Pero en la clusula 8.2.2 (c)
plantea que la organizacin debe establecer esquemas
de tiempo priorizados para reanudar operaciones.
FIGURA N 4
CATEGORIZACIN DE LAS CLUSULAS EN GLOBALES Y FOCALESISO 22301:2012
SISTEMA DE GESTIN
Y ALCANCE 4.3
POLTICA SGCN 5.3
OBJETIVOS Y PLANES PARA
ALCANZARLOS 6.1
COMPETENCIAS DEL PERSONAL 7.2
TOMA DE CONCIENCIA 7.3
CONTROL DE INFORMACIN
DOCUMENTADA 7.5.3
AUDITORIAS INTERNAS 9.2REVISIN GERENCIAL 8.7.1
NO CONFORMIDAD Y ACCIN
CORRECTIVA 10.1
MEJORA CONTINUADA 10.2
BUSINESS IMPACT
ANALYSIS 8.4.33
EVALUACIN
DEL RIESGO 8.4.34
EVALUACIN
PROCEDIMIENTOS
DE CONTINUIDAD 8.7.2
OPCIONES DE
CONTINUIDAD
DEL NEGOCIO 8.4.4
EJERCICIOS
Y PRUEBAS 8.6.1
FOCAL
GLOBAL
ESTABLECIMIENTO
REQUERIMIENTOSDE RECURSOS 8.4.4.2
ESTRUCTURA RESPUESTA
A INCIDENTES
PLANES CONTINUIDAD 8.4/8.5.5
-
5/28/2018 Iso 22301 2012 en Continuidad Del Negocio
6/6
GESTION OCT . DIC 2012 30
que apoyan los productos/servicios claves, en unnivel especco aceptable, tomando en consideracin
el tiempo en el cual, los impactos, de no reanudaroperaciones se convertiran en inaceptables. Como sepuede apreciar, el concepto del MTPD sigue vigente.
Clusula 8.2.3 La evaluacin del riesgo le prestaatencin de que ciertos aspectos nancieros
y obligaciones gubernamentales requieren decomunicacin, a distintos niveles de detalle, de losriesgos que pudieran alterar las actividades priorizadas.
Clusula 8.4.2 La estructura para respuestaa incidentes ha expandido sus requerimientos;especcamente la necesidad para identicar
impactos de amenazas que justican la iniciacin
de una respuesta formal y la necesidad de utilizar lasalvaguarda de vidas humanas como primera prioridad,al establecer comunicados internos y/o externos.
Clusula 8.4.5 Recuperacin es un nuevorequerimiento. El estndar plantea que la organizacindebe tener procedimientos documentados para poderrestablecer y retornar las actividades del negociode medidas temporales creadas para soportar losrequerimientos normales de la organizacin.
IMPLANTACIN DEL ISO 22301:2012
Cuando una organizacin desea iniciar la implantacindel modelo ISO 22301:2012 siempre se genera lainterrogante de por dnde empezar? Ser conveniente
iniciar con el Business Impact Analysis? O con laestructura para responder a incidentes? En n, hay una
serie de opciones disponibles.
La manera adecuada es ir de lo general a lo particular.En la gura N 4, se han categorizado las clusulas de la
norma en globales y focales. Para el inicio del procesode implantacin es recomendable atender primero alas clusulas globales y luego iniciar las focales. Lasclusulas globales, permiten crear la plataforma inicialen la construccin del SGCN. Las clusulas focales son laparte netamente tcnica de la norma y requieren para sudesarrollo de la infraestructura que desarrollan las globales.
El comit 223 de ISO est actualmente trabajando enla elaboracin del Lineamiento 22313. Este documentoconsistir en buenas prcticas y recomendaciones,indicando qu prcticas una organizacin debieradesarrollar para implementar un SGCN ecaz. Este
documento podr ser utilizado como gua para laimplantacin del modelo, o tambin para efectosde usarlo como autoevaluacin. Se estima que estedocumento estar publicado a nales de 2012 o primer
trimestre de 2013.
CONCLUSIONES
A nivel mundial, con las nuevas reglas de los mercadosinternacionales, las empresas tienen la obligacin depoder demostrar que son proveedores conables. Ante
la presencia de cualquier evento alterador, de tener unSGCN implementado las empresas pueden, dentro de untiempo estimado, reanudar sus operaciones y continuarofreciendo sus productos y servicios. Un SGCN es laindicacin que los proveedores son conables.
El estndar ISO 22301:2012 engloba las distintasmetodologas y buenas prcticas en continuidad delnegocio generadas en los ltimos casi 20 aos.
Las empresas que hayan implementado y certicado el BS
25999-2:2007 tienen un lmite de tiempo para realizar lamigracin al nuevo modelo.
Las organizaciones que estn implementando un SGCNbajo el esquema BS 25999-2:2007 deben iniciar latransicin hacia el ISO 22301:2012.
Alberto Alexander Servat, Ph.D. por la University of Kansas, M.A. porla Northern Michigan University y Licenciado en Administracin por laUniversidad de Lima, tiene amplia experiencia acadmica en institucionesde posgrado peruanas e internacionales. Es auditor lder de Sistemas deGestin de la Calidad ISO 9000, certicado por el International Register of
Certicated Auditors (IRCA), Inglaterra.
Tambin es auditor lder del ISO 14000, certicado ante el (EARA),
Inglaterra y el (RAB), EE.UU., as como auditor lder del Modelo deGestin de Seguridad de Informacin ISO 27001:2005 certicado anteInternacional Register of Certicated Auditors (IRCA), Inglaterra. Su ms
reciente publicacin es Diseo y Gestin de un Sistema de Seguridad deInformacin; ptica ISO 27001:2005. Ha sido fundador y director gerentede la rma consultora Eciencia Gerencial y Productvidad S.A., con sede en
Venezuela. Actualmente, desempea las mismas funciones para AmricaLatina desde Per.
Referencias Bibliogrcas
Alexander, Alberto. Diseo y Gestin de un Sistema de Gestin deSeguridad de Informacin: ptica ISO 27001:2005. Editorial AlfaOmega 2007. Colombia.
ISO 22301. Societal Security - Business Continuity ManagementSystems-Requirements 2012.
Sharp, John. The Route Map to Business Continuity managementmeeting the requirements. British Standards Institute, UnitedKingdom.