La norma ISO 22301: ¿Cómo llevar a cabo la realización de un Análisis de Impacto?

ISO 22301

Todos los acontecimientos que no se prevén, como pueden ser los que son provocados por los fenómenos meteorológicos adversos, pueden provocar la interrupción de las actividades comerciales y ponen en peligro el aseguramiento del funcionamiento, crecimiento y supervivencia de las mismas. Por todo esto, la capacidad estratégica y táctica de la organización para planificar y actuar ante incidentes o interrupciones que afectan a su actividad resulta imprescindible con el fin de asegurar la continuidad del negocio dentro de un nivel aceptable. Es recomendable la lectura ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio.

Los Sistemas de Gestión de Continuidad de Negocio basados en ISO 22301 son herramientas que permiten que las organizaciones se encuentren preparadas ante la aparición de cualquier tipo de acontecimiento mediante la implementación de diferentes mecanismos que aseguran la continuidad de los procesos clave, la protección del servicio a los clientes y la imagen que proyectan las organización. Todo esto se consigue llevando a cabo un análisis de los riesgos a los que se exponen las organizaciones y los procesos, además de las consecuencias que provocarían.

La norma ISO 22301 de Gestión de la Continuidad de Negocio define los diferentes requisitos que deben cumplir con los diferentes sistemas de gestión. Se realizaron una serie de declaraciones con las que pudimos conocer que la preparación de las empresas para actuar ante una situación de emergencia de manera eficaz, requiere de un cambio de cultura ya que las personas y las organizaciones necesitan tener en cuenta si el riesgo es inherente a la hora de tomar todas las decisiones de la actividad.

Como resultado, se debe tener en cuenta como actuará la organización si se encuentra con una interrupción de la actividad ya que no hay una solución única para engendrar el cambio cultural necesario, aunque la comunicación sea adecuada ayuda a conseguir el éxito.

Análisis de Impacto

El factor tiempo se muestra como un factor crucial en cualquier escenario de recuperación ante las interrupciones y debe ser determinado de manera particular para la empresa y la actividad que realiza. Mientras que en algunos escenarios o actividades se pueden soportar tiempo más largos, en el sector bancario esto solo puede suponer el cierre definitivo de operaciones.

La primera decisión importante que se debe tomar de una forma mucho más compleja para desarrollar dentro de la implantación de la norma ISO 22301, es determinar las necesidades de usar una consultoría externa o encomendar la tarea al responsable del sistema de continuidad del negocio.

La primera tarea que se debe desarrollar será la elaboración de algunos cuestionarios que recojan información y elijan alguna herramienta para la elaboración del procedimiento a seguir.

Comunicación

El análisis del impacto en el negocio se debe desarrollar mediante entrevistas con los responsables de las principales actividades de riesgo en la organización, complementada con talleres de formación y sensibilización sobre las actividades de la continuidad del negocio, procurando mostrar de manera práctica como realizar el análisis.

Elegir una metodología

El siguiente paso es determinar todas las actividades críticas y realizar un análisis de impacto de incidencias poniéndonos en el peor de los casos posible que tenga en cuenta toda la infraestructura necesaria para desarrollar la actividad.

El método de evaluación

Para organizar de una manera correcta la recogida de datos debemos construir un sistema de evaluación sistemático con escalas de tiempo y evaluación cualitativa y cuantitativa del impacto que nos permite después establecer los criterios adecuados.

En este sentido, debemos tener en cuenta todas las infraestructuras y servicios necesarios frente a su impacto con los clientes, ya sean internos o externos.

• Bases de datos aplicaciones y archivos
• Servicios como el correo electrónico, intranet, etc.
• Sistema de aprovisionamiento
• Instalaciones y aprovisionamiento energético
• Sistemas de comunicación

El objetivo de esta encuesta será establecer el límite aceptable de tiempo de interrupción o de transacciones perdidas. El criterio de evaluación será el daño económico.

Objetivos de la continuidad de negocio

• Establecer los límites de capacidad de operación.
• Establecer los recursos mínimos necesarios para mantener una capacidad de respuesta adecuada como el personal, el software, las telecomunicaciones, ect.
• Establecer los diferentes niveles y relaciones de dependencia dentro de la empresa.
• Establecer los niveles de dependencia de terceros.

Toma de decisiones

Se corresponde con el responsable del sistema establecer la correcta evaluación del impacto real de cada cuestionario de evaluación revisando los criterios de evaluación de cada responsable, para asegurase que cada punto se ha considerado en su justa medida. Si dejamos rellenar los cuestionarios a cada responsable de la actividad, lo más posible es que los niveles de impacto no sean considerados correctamente si no se tiene una visión del conjunto.

Finalmente una evaluación cruzada de los datos obtenidos nos permite establecer los recursos necesarios para evitar los impactos no deseados y que deben avistarse a toda costa.

Evaluación final

Como conclusión podemos compilar todos estos resultados en un informe de análisis de impacto en el negocio. Sin embargo, las organizaciones más pequeñas pueden simplemente elaborar un resumen de todos los resultados de la estrategia de continuidad de negocio.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.