Buenas prácticas empresariales en materia de continuidad

Qué pasa en la actualidad

El año pasado, el título noveno de la ley 110-53 le encomendaba la tarea al Departamento de Seguridad Nacional, (DHS por sus siglas en inglés) de liderar el desarrollo, implementación y administración de un programa de certificación voluntaria para BCM en el sector privado, ayudando a definir una norma de facto para este proceso. El DHS no ha recomendado todavía una norma para adaptarse a este programa de certificación voluntaria, y la orientación que la agencia proporciona para ayudar a realizar un plan de empresa para casos de desastre, en el sitio Web Ready.gov del DHS, no coincide con el alcance necesario para una iniciativa BCM plena, y mucho menos para un programa de certificación.
En este momento, la única norma auditable BCM disponible que pueda ayudar a los ejecutivos de nivel C a identificar completamente los procesos, y a hacer más resilentes aquellos que se han de proteger, es la BS 25999 de la British Standard Institution.

La norma BS 25999, que celebra su primer aniversario en noviembre, está compuesta en realidad por dos documentos (disponibles para la compra).

La primera parte es un código de práctica que establece la terminología, alcance y objetivos de un plan BCM, mientras que la segunda parte comprende la especificación que enumera los pasos que deben seguirse para satisfacer los objetivos de negocio. La segunda parte está destinada a ser auditable y certificable, proporcionando la base de comparación necesaria para ampliar las relaciones exteriores.

Proveedores de terceros, como BSI Management Systems, actualmente realizan las pruebas de certificación, mientras que otros, como Avalution, proporcionan servicios de consultoría para ayudar a poner en marcha un BCM piloto o para guiar un creciente desarrollo de la iteración.

Estos y otros proveedores de servicios pueden llegar a proporcionar estrategias y orientación imparcial y objetiva, ayudando a sus clientes a alcanzar la etapa de certificación. En última instancia, sin embargo, el Departamento de Seguridad Nacional ha encargado a la Junta Nacional de Acreditación (ANAB, en inglés) para la Calidad de la Sociedad Americana perteneciente al Instituto Nacional Americano de Normas, la administración del programa de certificación, de modo que los procesos de certificación proporcionados por los proveedores como BSI Management Systems puedan evolucionar con el tiempo.

Sin embargo, los directivos de BSI Management Systems se apresuran a señalar que las empresas no tienen que certificar su aplicación de la norma BS25999 para obtener beneficios tangibles.

“Usted puede adoptar BCM en la organización como una mejor práctica para iniciar el proceso interrogatorio que le indique dónde están los procesos y las personas clave, y para establecer qué hacer para mantener la sostenibilidad en la organización”, dijo VanderVen.

Añadió que planificar con un ojo puesto en la norma ayuda a los directivos de empresa a entender mejor sus compañías.

“La norma BS 25999 hace que la organización inicie un examen de cuáles son verdaderamente sus procesos, pero que no son evidentes necesariamente” ha dicho VanderVen. “Hemos tenido clientes que venían a nosotros pensando que tenían 80 actividades distintas que creían que necesitaban rastrear, pero resultó que había 18 procesos importantes que verdaderamente marcaban la diferencia en sus empresas. Entonces, eran capaces de asegurarse que esos 18 procesos clave eran susceptibles de ser mantenidos y protegidos”.

Si bien BS 25999 es un estándar reconocido a nivel mundial (y uno que reconoce el DHS), se están llevando a cabo proyectos para establecer un estándar de EE.UU. para BCM. Ejecutivos de ASIS Internacional, por ejemplo, recientemente notificaron al ANSI que empezarían a trabajar en un nuevo estándar BCM.

Según VanderVen, la British Standards Institution está trabajando con ASIS en el desarrollo de esta norma, cuyo desarrollo está previsto que comience este mes. VanderVen prevé que ASIS utilice en gran medida la BS 25999 como su base, con la intención de que la nueva propuesta se convierta en un ISO (International Organization for Standardization) estándar en dos o tres años de plazo.