ISO 22301, nueva norma ISO para la gestión de la continuidad de negocio

Dave Austin, editor principal de la norma ISO 22301, desgrana la estructura y la utilidad de este estándar internacional único.

Era necesario contar con una norma internacional de referencia que reconociera las buenas prácticas en la gestión de la continuidad de negocio. Varios estándares nacionales intentaron abordar este asunto, como los de Singapur, Australia, el Reino Unido y los EE.UU. El Reino Unido introdujo la norma BS25999, que proporcionó la definición de un sistema de gestión estándar a través del cual las organizaciones podrían, por primera vez, obtener una certificación acreditada. Sin embargo, las organizaciones que operan internacionalmente pidieron un estándar internacional único, así que ISO TC223 empezó a desarrollar la ISO 22301.

ISO 22301 define un sistema de gestión estándar para BCM (gestión de la continuidad de negocio Business Continuity Management), que puede ser utilizado por cualquier organización, de cualquier tamaño e independientemente del sector económico, público o privado.

Las compañías podrán así obtener una certificación acreditada de acuerdo con este estándar y demostrar que están siguiendo las buenas prácticas de gestión del negocio.  Esto se puede utilizar ante legisladores, reguladores, clientes, potenciales clientes y otras partes interesadas. También se debe tener en cuenta que proporciona una oportunidad al director de continuidad del negocio para mostrar a la alta dirección que se cumple con una norma reconocida.

Mientras que la ISO 22301 puede ser utilizada para la certificación y que cuenta con requisitos sencillos que describen los elementos centrales de la gestión de continuidad del negocio, se está desarrollando una norma de orientación más amplia (ISO 22313) que proporcionará mayor detalle sobre cada uno de los requisitos de la norma ISO 22301. Aun así, ISO 22301 también puede ser utilizada dentro de una organización para medirse a sí misma. La influencia del estándar será, por lo tanto, considerablemente más grande que si solamente  se toma como opción su certificación.

ISO 22301

ISO 22301 ha adoptado la nueva estructura de alto nivel definida en la guía 83 de ISO a la que se irán alineando progresivamente otros estándares ISO. Esto garantizará la coherencia con todas las normas de sistemas de gestión futuras o de las revisiones y hará más fácil el uso integrado con, por ejemplo, ISO 9001, ISO 20000 o ISO 27001.

ISO 22301 ha sido desarrollado por el comité técnico ISO/TC 223 Societal Security que desarrolla estándares para  la protección de la sociedad y en respuesta a incidentes, emergencias y  desastres provocados por actos intencionados y actos humanos involuntarios, e incluso fallos técnicos. Se utiliza una perspectiva  todo-desastre para cubrir de forma adecuada y proactiva, las  estrategias reactivas en todas las  fases antes, durante y después de un incidente. El grupo de Societal Security es multi-disciplinario e implica participantes tanto del ámbito público, como de los sectores privados, e incluso organizaciones sin ánimo de lucro.

Respecto a su estructura, el estándar está dividido en diez cláusulas principales y empieza definiendo el alcance, referencias normativas, términos y definiciones. A continuación, se presentan los requisitos de la norma: contexto de la organización, liderazgo, planificación, soporte, operaciones – donde está el cuerpo principal de la continuidad del negocio -, evaluación y mejora.

La ISO 22301 pone de relieve la necesidad de una estructura bien definida para dar respuesta a incidentes, de modo que cuando se produzcan,  se escalen de manera oportuna y que las personas que tienen el poder de tomar las medidas necesarias, puedan  hacer frente a la situación. Es un estándar que puede integrarse fácilmente con sistemas de gestión de servicios ISO 20000 o sistemas de gestión de la seguridad ISO 27001 y aprovecha parte del trabajo realizado para implementar estos otros estándares.