Las organizaciones deben estar preparadas para garantizar la continuidad del negocio en cualquier momento. Los entornos en los que se mueven las empresas son cambiantes y a menudo corren riesgos que deben tener cierta previsión. La ISO 22301, una norma internacional centrada en la gestión de la continuidad, ofrece un marco sólido para que las compañías estén listas ante cualquier eventualidad, ya sea un desastre natural, un ciberataque o una falla en la cadena de suministro.

ISO 22301

Si estás buscando implementar un Sistema de Gestión de Continuidad del Negocio (SGCN) conforme a la ISO 22301, es esencial documentar ciertos procedimientos clave. Estos procedimientos son fundamentales para el buen funcionamiento del sistema, y además también te ayudarán a estar preparado y a responder de manera efectiva cuando se presente una interrupción.

1. Política de Continuidad del Negocio ISO 22301

El primer paso para implementar un sistema de continuidad efectivo es crear una política formal. Este documento establece el compromiso de la alta dirección con la continuidad del negocio y proporciona directrices sobre cómo se gestionarán los incidentes. La política debe estar alineada con los objetivos estratégicos de la organización.

La gestión eficaz de la continuidad del negocio no solo protege a la empresa, sino que también refuerza la confianza de los clientes y partes interesadas.
Click To Tweet

2. Análisis de Impacto en el Negocio (BIA)

El BIA es una piedra angular de la ISO 22301. Este análisis evalúa cómo las interrupciones afectarían las operaciones críticas y establece el tiempo máximo de recuperación (RTO). Con un BIA documentado, puedes priorizar recursos y definir planes de contingencia eficaces para minimizar el impacto de una crisis.

3. Evaluación de Riesgos

Es crucial que las empresas identifiquen y evalúen los riesgos potenciales que podrían interrumpir sus operaciones. La evaluación de riesgos incluye amenazas como desastres naturales, ataques cibernéticos o fallos tecnológicos. Documentar estos riesgos te permitirá diseñar estrategias preventivas para mitigarlos.

4. Estrategias de Continuidad del Negocio

Una vez que conozcas los riesgos y el impacto de las interrupciones, necesitas desarrollar y documentar las estrategias que asegurarán la continuidad de las operaciones críticas. Estas estrategias incluyen soluciones de recuperación rápida y métodos para mantener los servicios esenciales operando, incluso bajo presión.

5. Procedimientos de Respuesta y Recuperación

En una situación de crisis, tener procedimientos claros de respuesta y recuperación es fundamental. Estos procedimientos deben detallar quién es responsable de cada acción, cuándo deben actuar y cómo deben llevar a cabo las actividades de recuperación. Un plan bien documentado garantiza una reacción coordinada y efectiva.

6. Plan de Continuidad del Negocio (BCP)

El BCP es el corazón de la ISO 22301. Este documento contiene la información necesaria para que una empresa siga operando durante y después de una interrupción significativa. Un BCP bien elaborado es esencial para garantizar que tu organización esté preparada para cualquier contingencia.

7. Plan de Comunicación durante una Crisis

La comunicación efectiva es clave durante una crisis. Este plan debe detallar cómo se manejarán las comunicaciones internas y externas, incluyendo empleados, clientes y proveedores. Un plan de comunicación claro reduce la confusión y asegura que todos estén informados durante la crisis.

8. Monitoreo, Auditoría y Revisión

Para que un sistema de continuidad sea efectivo a largo plazo, necesita ser monitoreado y revisado regularmente. Documentar los procedimientos de auditoría y revisión es crucial para asegurar que el sistema esté actualizado y alineado con las mejores prácticas.

9. Capacitación y Simulacros

La ISO 22301 exige que las organizaciones realicen simulacros y capacitaciones periódicas para preparar a sus empleados. Documentar estas actividades es importante para asegurar que todos los implicados comprendan su papel durante una interrupción y estén familiarizados con los planes de respuesta.

10. Control de Documentos ISO 22301

La gestión documental es clave para asegurar que todos los procedimientos estén accesibles y actualizados. Mantener un control estricto sobre los documentos del SGCN garantiza que todos los empleados y equipos puedan acceder a la información correcta en el momento adecuado.

La documentación adecuada en un sistema de continuidad del negocio basado en la ISO 22301 es fundamental para que las organizaciones puedan anticipar, responder y recuperarse de cualquier interrupción. Al documentar estos procedimientos clave, las empresas no solo cumplen con los requisitos de la norma, sino que también fortalecen su resiliencia frente a posibles crisis.

La gestión eficaz de la continuidad del negocio no solo protege a la empresa, sino que también refuerza la confianza de los clientes y partes interesadas. Si tu organización aún no ha documentado estos procedimientos, ahora es el momento de comenzar.

¿Cómo puede ayudar ISOTools a implementar la ISO 22301?

La plataforma tecnológica ISOTools ofrece una solución integral para la gestión de la ISO 22301, facilitando la documentación y el control de todos los procedimientos necesarios. Con ISOTools, las organizaciones pueden automatizar el seguimiento de su Sistema de Gestión de Continuidad del Negocio, simplificando el análisis de impacto, la evaluación de riesgos y la creación de planes de continuidad.

Además, ISOTools permite una gestión eficiente de los simulacros, auditorías y revisiones, asegurando que los planes estén actualizados y se ajusten a las mejores prácticas. La plataforma también facilita la comunicación interna en situaciones de crisis, garantizando que los equipos puedan acceder rápidamente a la información crítica.

The post ¿Qué procedimientos documentar según la ISO 22301? appeared first on PMG SSI - ISO 27001.

Seguridad de la Información (SI)

La transformación digital vertiginosa que vivimos en nuestra sociedad es foco de innumerables ataques y estrategias fraudulentas. Por ello, la Seguridad de la Información ha cobrado una especial relevancia para proteger nuestros datos de posibles amenazas que puedan afectar su confidencialidad, integridad y disponibilidad. Todos estos problemas inherentes en SI pueden poner en riesgo la continuidad de nuestro negocio.

En otras palabras, se trata de intentar que la información se mantenga lo más segura y protegida posible. Para ello se crean protocolos contra accesos no autorizados, modificaciones no autorizadas, divulgaciones no autorizadas, interrupciones no autorizadas y destrucción no autorizada.

La seguridad de la información abarca diversos aspectos, tales como la seguridad de los sistemas informáticos, la seguridad física de los equipos y las instalaciones, la seguridad de las comunicaciones, la gestión de los accesos y las identidades, la gestión de los riesgos, la concientización y la capacitación de los usuarios, y la gestión de incidentes de seguridad.

La norma ISO 22301 es un estándar internacional que establece los requisitos para un Sistema de Gestión de Continuidad del Negocio (SGCN). Esta norma proporciona un marco para que las organizaciones planifiquen, implementen, revisen y mejoren continuamente su capacidad para protegerse de las interrupciones del negocio y para responder y recuperarse rápidamente de ellas. Trabajando en colaboración con la ISO 27001, Sistemas de Gestión de Seguridad de la Información, creará un sistema global perfectamente blindado en torno a estas malas prácticas.

Situaciones comprometidas SI

Todas estas situaciones mencionadas anteriormente pueden poner en riesgo la continuidad de nuestro negocio. Las claves para prevenirlas es saber identificarlas a tiempo para tomar las medidas adecuadas. Aquí te dejamos una relación de las más habituales:

Interrupción del servicio

Una interrupción en el servicio de SI puede ocurrir por una falla en el hardware, software, o problemas de conectividad. Esto puede impedir que las operaciones del negocio se realicen adecuadamente y, en algunos casos, puede detener por completo el funcionamiento del negocio.

Pérdida de datos

Si el negocio depende de los datos para llevar a cabo sus operaciones, una pérdida de datos puede ser muy perjudicial. La pérdida de datos puede ocurrir por errores humanos, fallas de hardware, virus informáticos o desastres naturales.

Ataques cibernéticos

Los ataques cibernéticos pueden ser muy perjudiciales para un negocio, ya que pueden robar información confidencial o interrumpir el servicio de SI. Los ataques cibernéticos pueden ser llevados a cabo por hackers, crackers, grupos de cibercriminales o incluso por empleados deshonestos.

Desastres naturales

Los desastres naturales, como terremotos, incendios, inundaciones y tormentas pueden afectar la continuidad del negocio si destruyen los equipos informáticos o interrumpen el suministro de energía eléctrica. Si los datos no están respaldados y almacenados en un lugar seguro, pueden perderse para siempre.

Errores humanos

Los errores humanos son comunes en cualquier organización y pueden afectar la continuidad del negocio si se producen en el ámbito de los SI. Los errores humanos pueden incluir el borrado accidental de archivos importantes, la introducción incorrecta de datos o la eliminación accidental de registros críticos.

Fugas de información

Una fuga de información puede ocurrir por errores humanos, problemas de seguridad en el software o hardware, o por la falta de medidas adecuadas de seguridad. Una fuga de información puede resultar en la pérdida de información confidencial, la cual puede ser utilizada en contra del negocio o sus clientes.

Mal uso de la información

El mal uso de la información puede ocurrir por parte de empleados deshonestos o por terceros que han obtenido acceso no autorizado a la información del negocio. El mal uso de la información puede tener consecuencias graves para el negocio, incluyendo la pérdida de la confianza del cliente y la pérdida de ingresos.

Es importante que los negocios implementen medidas de seguridad adecuadas para proteger sus sistemas de información y datos confidenciales, y que tengan planes de contingencia en lugar para hacer frente a estas situaciones y minimizar el impacto en la continuidad del negocio.

Software de gestión de Seguridad de la Información

Realizar una evaluación de riesgos es importante para identificarlos con el fin de tomar medidas preventivas adecuadas. El Software ISOTools incluye una especialización en Seguridad de la Información que te permitirá:

• Implementar medidas de seguridad física
• Asegurar que los equipos y las instalaciones para que estén protegidos de accesos no autorizados.
• Establecer políticas de seguridad para la gestión de la seguridad de la información, tales como políticas de contraseñas, acceso a la red, control de acceso, gestión de incidentes de seguridad, etc.
• Capacitación y concientización del personal. Es fundamental que todos los usuarios comprendan la importancia de la seguridad de la información y su rol en la prevención de riesgos.
• Realizar pruebas de seguridad y evaluaciones periódicas para identificar posibles debilidades y tomar medidas para corregirlas.

Un sistema de gestión completo, confiable y eficaz con más de 25 años de experiencia en el sector, y a la vanguardia en el área tecnológica.

The post ¿Qué situaciones de SI pueden afectar la continuidad del negocio? appeared first on PMG SSI - ISO 27001.

Riesgos para la continuidad del negocio

La continuidad del negocio es un riesgo muy importante que preocupa al 47,2% de las empresas latinoamericanas. En gran medida esos riesgos vienen derivados de problemas con la ciberseguridad.

Según una encuesta realizada a las organizaciones en torno a qué dificultades consideran más perjudiciales para la estabilidad de su empresa, casi la mitad de ellas consideraron sumamente prioritario la continuidad de su negocio.

En la gestión de riesgos, es fundamental considerar diferentes situaciones que puedan poner en peligro la operación de una organización. Estas serían interrupciones abruptas en la tecnología y telecomunicaciones, ciberataques, condiciones climáticas y fenómenos naturales, entre otros.

Para estar preparados ante estas situaciones, las organizaciones deben contar con un Sistema de Gestión de Riesgos de Ciberseguridad actualizado, y un Plan de Continuidad de Negocio. No obstante, es necesario que el plan se ponga a prueba en diferentes escenarios y se ajuste regularmente para que sea efectivo.

Los profesionales en gestión de riesgos pueden contribuir a la continuidad del negocio fortaleciendo los equipos internos, definiendo claramente el apetito de riesgo de la organización, enfocándose en el análisis financiero y promoviendo la innovación. Además, es importante que consideren a todos las partes interesadas en el plan de continuidad, desde los clientes hasta los empleados, los inversionistas, el gobierno y la comunidad en general.

Los ciberataques pueden originarse desde cualquier parte del mundo, con lo cual cualquier país es susceptible de poder sufrirlos. Sin embargo, sí que encontramos países que debido a su infraestructura tecnológica, la cantidad de usuarios o el nivel de seguridad son más propensos. Entre ellos encontramos países como Brasil y Méjico, entre otros.

Gestión de riesgos de Ciberataques

En este aspecto juega un papel de suma importancia un Sistema de Gestión de Seguridad de Ciberataques. Te dejamos aquí recogidas sus principales características para un funcionamiento correcto:

1. Análisis de riesgos: Identificar las vulnerabilidades de la organización y las amenazas externas. Si determinamos los riesgos a los que está expuesta la infraestructura de tecnología de la información podremos empezar a actuar sobre ella.
2. Política de seguridad de la información: Desarrollar y mantener una política de seguridad de la información que defina claramente las medidas de seguridad y los procedimientos. Se  protegerá así la infraestructura de tecnología de la información.
3. Gestión de incidentes de seguridad: Tener un plan de respuesta a incidentes de seguridad que especifique los procedimientos a seguir en caso de que se produzca un ciberataque. Esto incluye la identificación temprana del incidente, la contención del problema, la investigación, la recuperación y la evaluación post-incidente.
4. Monitorización de seguridad: Monitorizar y registrar la actividad en la red y en los sistemas informáticos para detectar cualquier actividad sospechosa o no autorizada.
5. Evaluación y gestión de riesgos de terceros: Evaluar el riesgo de seguridad de los proveedores de servicios externos y otros terceros con acceso a la red de la organización y establecer medidas para mitigar los riesgos.
6. Formación y concienciación en seguridad: Proporcionar formación y concienciación en seguridad a los empleados. Estos comprenderán las amenazas de seguridad y sabrán cómo actuar en caso de un incidente de seguridad.
7. Actualizaciones y parches: Mantener actualizados los sistemas y aplicaciones con las últimas actualizaciones y parches de seguridad para reducir la exposición a vulnerabilidades conocidas.
8. Pruebas y auditorías de seguridad: Realizar pruebas regulares de seguridad para identificar vulnerabilidades y probar la eficacia del sistema de seguridad, y realizar auditorías periódicas para asegurar el cumplimiento de las políticas de seguridad de la organización.
9. Evaluación post-incidente: Realizar una evaluación después de cada incidente de seguridad para identificar las lecciones aprendidas y mejorar el sistema de gestión de ciberataques en el futuro.

La transformación digital y el aumento de la ciberdelincuencia

Es importante tener en cuenta que cualquier país o empresa puede ser vulnerable a los ciberataques. Es fundamental tomar medidas de seguridad adecuadas para proteger la información y los sistemas críticos.

En resumen, la continuidad del negocio es un riesgo que debe ser considerado en la gestión de riesgos. Para hacerle frente, es fundamental contar con un Sistema de Gestión de Riesgos de Ciberseguridad actualizado y un Plan de Continuidad de Negocio. Este debe ajustarse regularmente y ponerse a prueba en diferentes escenarios. Los profesionales en gestión de riesgos pueden contribuir fortaleciendo los equipos internos, definiendo claramente el apetito de riesgo de la organización, enfocándose en el análisis financiero y promoviendo la innovación, y considerando a todos las partes interesadas en el plan de continuidad.

Software de gestión de riesgos de ciberseguridad

ISOTools puede ayudarte en la tarea de proteger tus activos de la información. A través del Software de Gestión de Riesgos de Ciberseguridad para agilizar la gestión de la Seguridad de la información.

Un Sistema de Gestión de Seguridad de la Información de calidad y a la vanguardia de las últimas tecnologías. Debido a la transformación digital cada día encontramos delitos nuevos relacionados con las redes e internet. Esta solución podrá simplificar las gestiones dentro de tu organización y te ofrecerá la tranquilidad que necesitas.

The post Riesgos más importantes para las organizaciones en Latinoamérica appeared first on PMG SSI - ISO 27001.

ISO 22301:2019

Como podréis imaginar al leer el título del artículo, por fin se ha publicado ISO 22301:2019. Han pasado 7 meses desde la publicación del anterior borrador ISO DIS 22301 y por fin, ha llegado el momento de la publicación de la versión oficial de ISO 22301:2019. Esta actualización ha llegado de la mano del comité técnico ISO/TC 292 de Seguridad y resistencia.

La norma ISO 22301:2019 sustituye a la versión anterior versión de 2012. Al igual que todas las normas publicadas por esta organización, su ciclo de vida dura 5 años pasando por fases preliminares, de propuesta, preparatorias, comité, investigación, aprobación, publicación, revisión y retirada de la norma.

En este caso, la norma se encarga de los Sistemas de Gestión de Continuidad de Negocios. En otras palabras, ayuda a las organizaciones a la gestión de un plan de continuidad para que, en caso de emergencia, las consecuencias que les puedan ocurrir afecten en la menor medida posible.

Información general de ISO 22301:2019

Este nuevo documento especifica los requisitos para implementar, mantener y mejorar un sistema de gestión que ayude a las organizaciones a proteger, reducir la posibilidad de que ocurran, estén preparadas, puedan responder y se recuperen ante interrupciones de negocio cuando se produzcan.

Los requisitos que especifica la norma son genéricos y están dirigidos a todo tipo de organizaciones sin importar tamaño, tipo y naturaleza de la organización. La aplicación de esos requisitos depende de la complejidad y entorno en el que opere la organización.

Por lo tanto, esta norma se puede aplicar a las organizaciones que:

• Implementen o dispongan de un Sistema de Gestión de Continuidad de Negocio.
• Busquen asegurar la conformidad con una política de continuidad de negocio.
• Necesiten continuar con la entrega de sus productos y servicios de forma aceptable debido a una interrupción
• Necesiten mejorar su resiliencia a través de la aplicación efectiva de Sistema de Gestión de Continuidad de Negocio.

Al mismo tiempo, el documento puede utilizarse para evaluar la habilidad de las organizaciones para cumplir con sus propias necesidades y obligaciones de continuidad de negocio.

Publicada ISO 22301:2019, la actualización de la anterior versión de 2012
Click To Tweet

¿En qué ha cambiado con respecto a la versión anterior?

En general, cuando una norma se revisa y se publica la nueva versión, suelen introducirse nuevos elementos y cambios. Sin embargo, en este caso existe una particularidad. La norma no ha incluido nuevos requisitos, sino que ha aclarado los ya existentes. Todo esto con el objetivo de que se entiendan mejor a la hora de que los apliquen las organizaciones.

De forma resumida, los cambios que se han apreciado son los siguientes:

• Actualización de los requisitos con respecto con los de la versión de 2012 y aclaración para una mejor comprensión de los requisitos.
• La cláusula 8 incluye casi en su totalidad los requisitos que son específicos de la continuidad de negocio.
• También ha habido una reestructuración en la cláusula 8 que permite esa aclaración de los requisitos clave.
• Varios de los términos específicos de continuidad de negocio también se han analizado y modificado para aclararlos.

Cambios en la cláusula 8 de ISO 22301:2019

Como hemos dicho, la cláusula 8 es la que ha sufrido la mayor reestructuración de todas, dejando la estructura de la siguiente forma:

8.1 Planificación y control operacional
8.2 Análisis de impacto empresarial y evaluación de riesgos

• 8.2.1 General
• 8.2.2 Análisis de impacto empresarial
• 8.2.3 Evaluación de riesgos

8.3 Estrategias y soluciones de continuidad empresarial

• 8.3.1 General
• 8.3.2 Identificación de estrategias y soluciones.
• 8.3.3 Selección de estrategias y soluciones.
• 8.3.4 Requisitos de recursos
• 8.3.5 Implementación de soluciones

8.4 Planes y procedimientos de continuidad comercial

• 8.4.1 General
• 8.4.2 Estructura de respuesta
• 8.4.3 Advertencia y comunicación
• 8.4.4 Planes de continuidad del negocio
• 8.4.5 Recuperación

8.5 Programa de ejercicios
8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.

Hay que recordar que la norma ISO 22301:2019 está estructurada según el estándar de alto nivel para las normas de requisitos de sistemas de gestión (HLS) de ISO, por lo que mantiene 10 cláusulas al igual que otros estándares normativos como ISO 9001, ISO 45001, ISO 14001 e ISO 27001 entre otros.

Software ISOTools

Por suerte, la tendencia que sigue ISO en las últimas publicaciones de sus normas está basada en la estandarización y compatibilidad de las mismas. Esto quiere decir que cada vez se facilita más la integración de varios sistemas, ya que muchos de ellos siguen la misma estructura. No obstante, a pesar de las facilidades ofrecidas, es muy complicado realizar una buena gestión sin una herramienta. La cantidad de ventajas que ofrece un software como ISOTools Excellence son innumerables, ¿quiere empezar a conocerlas?

The post Nueva ISO 22301:2019. Novedades y principales cambios del nuevo estándar de continuidad de negocio appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Continuidad de Negocio

En un Sistema de Gestión de Continuidad de Negocio es necesario realizar simulacros y planes con el fin de contemplar las consecuencias de cualquier índole (costos económicos, problemas de logística) y las mejores acciones para mitigar los riesgos y restablecer la situación ante contingencias de todo tipo. Por ejemplo: un incendio, averías importantes en la maquinaria, una epidemia de gripe o, incluso, que abandone la empresa una profesional importante para la organización y con un perfil difícil de reemplazar.

A través de estos simulacros es posible conocer con exactitud, por ejemplo, cuánto pueden tardar los bomberos ante una llamada de emergencia o el tiempo que se tarda en derivar la energía eléctrica a un generador de emergencia en caso de corte de fluido eléctrico.

El posterior análisis de los resultados del simulacro permite prever cuáles son las consecuencias asociadas a un determinado evento pero, sobre todo, posibilita poner en marcha correcciones y acciones de mejora.

Esta información nos permitirá conocer cuatro tipos de indicadores que son claves de cara a conocer el grado de alcance de nuestro Sistema de Gestión de Continuidad de Negocio: los objetivos mínimos de la continuidad del negocio (OMCN); el período Máximo Tolerable de Interrupción (MPTB); el objetivo de Tiempo de Recuperación (RTO) y el objetivo de Punto de Recuperación (OPT). A continuación los detallamos:

En un Sistema de Gestión de Continuidad del Negocio, es fundamental contar con un software de automatización para llevar una gestión eficaz.
Click To Tweet

Objetivos mínimos de la continuidad del negocio (OMCN)

Es fundamental que en el propio Sistema de Gestión de Continuidad de Negocio se defina nivel mínimo de la prestación de servicio o de la producción que es aceptable para que la organización no entre en quiebra (o tenga unas pérdidas muy importantes) durante la interrupción.

Al establecer los objetivos, se debe considerar el nivel mínimo de productos y servicios para que la organización pueda alcanzar sus objetivos globales de negocio.

En la cláusula 8.2.2 del estándar ISO 22301:2012 se define el término “esquemas de tiempo priorizados”, que está relacionado con el OMCN y define el orden y los tiempos para la recuperación de actividades críticas que soportan los productos y servicios claves.

Período Máximo Tolerable de Interrupción (MPTB)

En este caso se pretende identificar el tiempo límite que una empresa puede estar sin el funcionamiento de una maquinaria determinada, porque en este caso el riesgo operacional se dispara y se puede dar una situación de quiebra técnica. Es decir, se establece un máximo de tiempo para poner en marcha el plan de contingencia.

Este término está definido en las sección 3 del estándar y, aunque no es usado en la norma, la cláusula 8.2.2 (c) plantea que la «organización debe establecer esquemas de tiempo priorizados para reanudar operaciones que apoyan los productos y servicios claves, en un nivel específico aceptables, tomando en consideración el tiempo en el cual, los impactos, de no reanudar operaciones, se convertirían en inaceptables».

Objetivo de Tiempo de Recuperación (RTO)

El RTO es el periodo de tiempo seguido tras un incidente dentro del cual la actividad o recursos deben ser reasumida. Está ligado con el tiempo de recuperación y se trata de un tiempo menor que el tiempo máximo tolerable en el cual se debe restablecer el plan de contingencia para asumir el producto o servicio dentro de la maquinaria.

Está ligado también al objetivo mínimo de la continuidad del negocio, ya que uno depende directamente del otro.

Objetivo de Punto de Recuperación (OPT)

Es el punto en que los recursos (humanos, tecnológicos, logísticos…) han quedado restaurados y, por lo tanto se permite la actividad. Es un concepto también muy ligado tanto al período máximo tolerable y al tiempo de recuperación.

Software para gestionar un Sistema de Gestión de Continuidad del Negocio

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del Sistema de Gestión de Continuidad del Negocio según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

The post Indicadores clave en un Sistema de Gestión de Continuidad de Negocio appeared first on PMG SSI - ISO 27001.

Resiliencia organizacional

No cabe ninguna duda de que los cambios han sido los grandes causantes de la evolución de la sociedad desde el origen de los tiempos. Con la llegada de cada cambio se ha generado un coste de oportunidad que ha permitido a aquellos que han apostado por este, ponerse a la cabeza de un determinado contexto. De ahí que la resiliencia organizacional sea uno de los requisitos más importantes para que una compañía pueda resistir al momento de constante cambio en el que nos encontramos.

Actualmente nos encontramos en un periodo muy vertiginoso en lo que a los cambios se refiere. El cambio climático está contribuyendo a que los fenómenos naturales se produzcan de una manera más rápida y drástica; la economía puede experimentar cambios con cualquier decisión de un país o gigante empresarial y la tecnología evoluciona más rápido de lo que jamás lo ha hecho.

Aquellas empresas que no tienen la capacidad de adelantarse a cualquier tipo de cambio, por muy inesperado que sea, acabarán desapareciendo. Vivimos en la sociedad de la innovación y, los tecnológicos son uno de los fenómenos que provocan más cambios en el mercado.

¿Qué entendemos por resiliencia organizacional?

La resiliencia organizacional se entiende como “la capacidad de una organización o compañía para anticiparse, prepararse, responder y adaptarse a un posible cambio exponencial, así como a las interrupciones repentinas que este pueda producir, para sobrevivir y prosperar”.

Una compañía que apuesta por la resiliencia organizacional no solo se preocupa por gestionar los riesgos para sobrevivir en el momento. Su visión va más allá, a situaciones futuras. La preocupación de estas organizaciones radica en superar la prueba del tiempo. Es por esto, por lo que el paso del tiempo es quien demuestra si una compañía ha llevado a cabo un buen plan de resiliencia organizacional.

Esta apuesta por la resiliencia no se resuelve con una sola actuación. Las empresas deben de aplicar esta estrategia en todos sus departamentos y trabajadores. Con esto se pretende que, desde la alta dirección, hasta el último becario la compañía esté comprometida con todos los métodos de excelencia y calidad que se decidan aplicar.

La #ResilienciaOrganizacional es un requisito clave para que una compañía pueda resistir al momento de constante cambio en el que nos encontramos.
Click To Tweet

Como debe actuar una organización resiliente

Se podrían destacar tres claves que toda compañía que apueste por la resiliencia organizacional deberían de aplicar.

• La adaptabilidad en la estratégica: Cualquier sector o departamento de la organización deberá ser capaz de actuar ante situaciones cambiantes con éxito. Esto deberá de hacerse sin olvidar la tarea que debe de llevar a cabo.
• Aplicar un liderazgo ágil: Que sea capaz de enfrentarse a situaciones de riesgo con la mayor confianza posible. La rapidez en este tipo de acciones también será clave ya que esto permitirá ponerse a la cabeza en determinadas acciones.
• Contar con una dirección robusta: Los cargos que estén a la cabeza de cada departamento deberán de demostrar que son fieles a la cultura corporativa y apuestan por esto.

La confianza y la buena gestión, la base de la resiliencia

La confianza en el producto y en las personas que forman el equipo humano de una compañía son esenciales para conseguir la resiliencia organizacional. Se entiende que esta confianza en el producto, así como en los profesionales se debe a que la excelencia es un rasgo de la propia organización.

La certificación en normas como ISO 22301 de Sistemas de Continuidad de Negocio es una buena iniciativa para alcanzar la resiliencia organizacional. Una empresa que certifica esta norma de continuidad de negocio, demuestra que apuesta por la permanencia de sus servicios en el tiempo. Se entiende que no se puede alcanzar dicha certificación si los servicios o productos ofrecidos no cumplen unos mínimos de calidad.

Software para ISO 22301

No cabe duda de que la digitalización es una de las iniciativas que toda compañía deberá de afrontar para poder alcanzar la resiliencia organizacional. La digitalización de los sistemas de gestión ayudará a la compañía a automatizar procesos clave en la mejora continua.

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio. Identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, por ejemplo con la ISO 27001 para los Sistemas de Gestión de Seguridad de la Información ya que el software es totalmente modular.

The post Resiliencia organizacional. La clave para adaptarse al cambio en las organizaciones appeared first on PMG SSI - ISO 27001.

Continuidad de negocio

El plan de continuidad de negocio es un documento que se mantiene vivo, de forma regular se encuentra constituido, testeado y comprendido de manera transversal en cuanto a las necesidades de una organización. Se pueden establecer una serie de pasos clave para construir un plan de continuidad de negocio.

Definir los elementos que se deben proteger

Es lo primero que se deberá plantear a la hora de definir un plan de continuidad de negocio, de tal forma que se identifique lo que si nos falta la empresa no pueda funcionar.

El #plandecontinuidad de negocio es un documento vivo, constituido y testeado en cuanto a los stakeholders de una organización.
Click To Tweet

Revisar los niveles de protección

Es necesario establecer a qué nivel de servicio mínimo es necesario llegar cuando un elemento protegido cae, con el fin de mantener la continuidad de negocio.

Si el elemento que se debe proteger queda inoperativo por un apagón como por ejemplo, el que se generó en Argentina y Uruguay hace unas semanas, sería necesario que se buscara un emplazamiento alternativo. Por lo que, en este caso, sería necesario definir un Punto de Recuperación Objetivo (RTO), es decir, qué cantidad de pérdida de datos durante un desastre la compañía considera tolerable, y el Tiempo de Recuperación Objetivo (RTO), siendo el máximo tiempo en el que se puede mantener el negocio inoperativo.

Identificar todos los requisitos de protección

Cuando se establece que es lo que debe ser protegido y con qué alcance, hay que definir de forma exacta qué es necesario para conseguir estos niveles de protección, y la implicación tienen en ello los trabajadores, sedes y sistemas relacionados.

Si seguimos con el ejemplo del apagón de hace unas semanas, puede que resulte necesario contar con una segunda oficina, en la que se debería tener en cuenta la distancia la que se encuentra, si se tendría que desplazar todo el equipo y quien será quien tenga acceso a ella.

Momento de fallo y acciones

Para poder establecer los requisitos de protección, es necesario que se defina lo que significa fallo en cada elemento protegido.

Cualquier fallo se debe contemplar en un escenario de fallo, en el que se encuentran asociadas una serie de acciones.

Roles y responsabilidades

A la hora de realizar la planificación de las acciones para cada escenario de fallo, es necesario que se especifiquen los pasos a seguir, los roles y las responsabilidades que tendrá cada persona dentro de la organización a la hora de llevar a cabo los pasos establecidos.

Por ejemplo, en el caso del apagón, los roles podrían ser los siguientes:

• Responsable de instalaciones, deberá informar al responsable de la segunda oficina de que se procede a activar el plan de continuidad de negocio.
• Equipo TI: deberá transportar y configurar los equipos y sistemas en la segunda ubicación para que el staff pueda trabajar.
• Recursos humanos: deberá coordinar las comunicaciones internas para asegurar que todos los empleados se han enterado de lo ocurrido y puedan regresar al trabajo lo más rápido posible.

Rollback

Una vez que se ha producido el fallo, los objetivos principales persiguen devolver al negocio a la normalidad. Sin embargo, la necesidad de volver tan rápido como sea posible a un nivel mínimo de operación es algo más crítico para las empresas.

Para llevarlo a cabo es necesario establecer un sistema de rollback que facilite el regreso a un punto funcional y recuperar desde ahí la operatividad mínima. Este planteamiento resulta más eficiente, en cuanto a costes, que mantener una réplica completa del modelo operativo principal preparado para ponerse en marcha en caso de fallo, aunque esta última es, evidentemente, la opción que más garantías presenta.

Testing

Es uno de los elementos más críticos de cualquier plan de continuidad de negocio. Es el momento en el que se debe demostrar que el plan se comprende fácilmente, es fiable y efectivo. Como algo normal, el plan de continuidad de negocio se prueba de forma bianual, aunque se recomienda llevar a cabo tests en cada elemento protegido como mínimo una vez al año.

El concepto de activo va un paso más allá en el plan de continuidad de negocio, se trata de utilizar de forma recurrente los requisitos de protección en paralelo a los elementos protegidos, cada parte a la mitad de capacidad. En el caso que estamos analizando del apagón en Argentina, Chile y Uruguay es muy necesario que se realicen pruebas sobre cómo puede actuar el sistema al producirse un apagón, además las personas deben saber cómo deben realizar ante una situación así.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

The post La importancia del plan de continuidad de negocio ante eventos de origen desconocido appeared first on PMG SSI - ISO 27001.

Método AMEF

Muchos Sistemas de Gestión de Continuidad de Negocio (SGCN), sobre todos los implantados por organizaciones del sector industrial, se basan en el Análisis del Modo y Efectos de Fallo (Método AMEF), que es una herramienta que permite determinar acciones de prevención a partir de la identificación de riesgos en el análisis de potenciales fallas en: productos, servicios, procesos o sistemas, con el fin de establecer los controles adecuados que eviten la ocurrencia de las mismas.

Con el Método AMEF es posible reconocer o identificar errores o fallas potenciales, principalmente en los procesos de producción, con el propósito de eliminarlos o de minimizar el riesgo asociado a las mismas.

Principales beneficios del Método AMEF

Los beneficios de la implantación del Método AMEF en un sistema son:

• Identificar fallas o defectos antes de que estos ocurran.
• Incrementar la confiabilidad de los productos/servicios.
• Conseguir procesos de desarrollo más cortos.
• Documentar los conocimientos sobre los procesos.
• Incrementar la satisfacción del cliente.
• Mantener el Know-How en la compañía.

Además de estudiar e identificar los posibles fallos que puedan comprometer la continuidad de una cadena de producción o de un negocio, mediante el Método AMEF lo que se hace es clasificar esos riesgos según su importancia.

A partir de ahí, es posible obtener una lista detallada que servirá para priorizar cuáles son los modos de fallo más relevantes que son importante solventar por uno o varios de los siguientes motivos:

• Son los errores más peligrosos para la continuidad de los procesos productivos.
• Pueden resultar muy molestos o perjudiciales para terceros: clientes, proveedores y otros grupos de interés.
• Tienen muchas posibilidades de que se produzcan, es decir, su frecuencia es alta.

Con el #MetodoAMEF es posible identificar fallas potenciales en los procesos de producción, con el propósito de eliminarlos o de minimizar el riesgo
Click To Tweet

Etapas del análisis del Método AMEF

Los pasos para realizar un análisis AMEF son los siguientes:

1. Crear un grupo de trabajo

El primer paso consiste en crear un grupo de trabajo de 4 o 5 personas que tengan conocimientos sobre el producto, servicio o proceso que se está desarrollando. Lo ideal es que el equipo sea multidisciplinar y que incluya varios perfiles diferentes.

2. Enumerar los posibles fallos

La principal función de este equipo es enumerar todos los posibles fallos que pueden llegar a comprometer la fluidez y el funcionamiento normal de un determinado proceso de producción.

3. Establecer un índice de prioridad

Tras detectar las posibles incidencias detectadas, estas deben ser clasificadas según su importancia. Un posible modelo de clasificación en el siguiente:

El objetivo final del análisis AMFE es que tengamos todos los posibles fallos controlados, habiendo actuado para disminuir el NPR de los más graves.

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

The post El método AMEF en el sector industria. Beneficios y etapas de análisis appeared first on PMG SSI - ISO 27001.

Plan de Continuidad de Negocio

Han sido muchas las ocasiones en las que algunas compañías se han visto muy dañadas por no contar con un plan de Continuidad de Negocio a la hora de experimentar una interrupción en su negocio. Las circunstancias pueden ser de lo más dispares:

• Errores en la infraestructura externa, lo que por ejemplo puede ocasionar que los productos no puedan entregarse.
• La organización no tiene la infraestructura suficiente como para ofrecer productos o servicios.
• La empresa no tiene los recursos suficientes para desarrollar sus actividades.

El último gran ejemplo lo hemos experimentado recientemente cuando hace apenas una semana Google anunció que suspendía los negocios con Huawei, que requieran la transferencia de productos de hardware y software. Parece ser que este será el primero de más rechazos, según se ha anunciado, tras la inclusión de la compañía china en una lista negra de comercio por el gobierno de Donald Trump.

Algunas compañías se han visto muy dañadas por no contar con un #Plande ContinuidaddeNegocio
Click To Tweet

El Plan de Continuidad de Negocio. El plan de B de las compañías

El Plan de Continuidad suele estar asociados a situaciones de emergencia o crisis dentro de una compañía. Se podría decir que estos son la respuesta de las organizaciones a algunos de los riesgos que pueden obstaculizar o entorpecer su labor empresarial.

Todas las compañías, independientemente de su tamaño, estructura, tipo de liderazgo, sector comercial o actividad, deberían de contar con un plan de continuidad que les permita seguir funcionando en el caso de que se produzcan circunstancias adversas en cualquiera de sus facetas.

A pesar de esto, es más habitual encontrar este tipo de planes en las empresas de mayor tamaño y presupuesto y no en medianas y pequeñas empresas. Debido fundamentalmente a dos motivos:

• Cuentan con más recursos para invertirlos en este tipo de iniciativas
• También porque las estructuras más complejas requieren de un mayor control en cuanto a riesgos labores y seguridad interna.

Los planes de continuidad no son nunca iguales ya que cada organización tendrá sus propias necesidades. Sin embargo, todos comparten tres principios básicos para asegurar la actividad de las empresas:

• Proteger la salud de los trabajadores y sus familias.
• Mantenerse activo en el mercado o escenario.
• Atacar las recomendaciones y los consejos de las autoridades.

ISO 22301 la norma que te ayudará a afrontar posibles crisis

ISO 22301 es el estándar normativo que aporta a las organizaciones el marco de acción necesario para poder garantizar la continuidad del negocio y su sostenibilidad en el tiempo. Esta norma, establece el proceso y los principios para que cualquier compañía pueda seguir funcionando ante la irrupción de eventuales riesgos.

En el peor de los casos, la interrupción de la continuidad de negocio en una organización puede provocar que esta desaparezca, por ejemplo, por ocasionarse daños irremediables o pérdidas económicas que no pueden ser asumidas entre otras causas.

En el caso que analizábamos al principio parece ser que Huawei ya contaba con un Plan de Continuidad de Negocio, lo que les ha permito según afirman las fuentes, poder ir desarrollando un software de manera paralela con el objetivo de poder hacer uso de él en casos como el que ha ocurrido. De hecho, los propios responsables de la compañía han declarado que este ha sido un caso que ya habían analizado y para el cual ya habían puesto medios en el caso de que pudiera llegar a sufrirse.

No se sabe muy bien cuál será el futuro de la compañía, lo que si es cierto es que la rápida actuación a través del Plan de Continuidad de Negocio quizás sea uno de los factores más importantes para poder salvarse.

Software para gestionar un Plan de Continuidad de Negocio

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento de un Sistema de Gestión de Continuidad de Negocio, según ISO 22301.

Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.

The post Un plan de Continuidad de Negocio. La herramienta que puede salvarle de un veto de Google appeared first on PMG SSI - ISO 27001.

Borrador ISO DIS 22301

Hace unos meses que la Organización Internacional de Normalización (ISO) publicó el primer borrador de lo que será la nueva edición del estándar normativo de requisitos para Sistemas de Gestión de Continuidad de Negocio ISO 22301. Se tiene previsto que a partir del segundo semestre de este mismo pueda ser publicado, una vez se complete su proceso de revisión.

Como ya es sabido, al igual que la vigente norma, la ISO DIS 22301 especifica la estructura y los requisitos que se deben tener en cuenta la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio.

Debido a que ISO 22301 ha sido uno de los primeros estándares ISO que se alineo a la estructura de alto nivel (HLS) para estándares de requisitos de sistemas de gestión ISO, dicha estructura es obligatoria y hace que los cambios en el documento se centren fundamentalmente en los requisitos.

Los requisitos están mucho más alineados a la estructura de alto nivel (HLS). Por tanto, algunos aspectos operativos son eliminados, manteniéndose en un enfoque estratégico. Estos también cuentan con una mayor simplicidad, con el objetivo de que puedan ser comprendidos, pero siempre, manteniendo el objetivo fundamental: la gestión de continuidad del negocio.

#ISODIS22301 especifica la estructura y los requisitos que se deben tener en cuenta la hora de implementarla y mantener el Sistema de Gestión de Continuidad de Negocio.
Click To Tweet

Según ISO DIS 22301, en un Sistema de Gestión de Continuidad de Negocio destacan tres aspectos clave, relacionados con:

1. Comprender todas aquellas necesidades que tiene una organización, así como la necesidad de establecer políticas de continuidad del negocio.
2. Operar y mantener procesos, capacidades y estructuras de respuesta para poder estar seguros de que una organización sobrevivirá a las interrupciones, esto se hace llevando a cabo una monitorización y revisión del desempeño y la efectividad del Sistema de Gestión de Continuidad de Negocio.
3. La mejora continua basada en medidas cualitativas y cuantitativas.

Entre las principales modificaciones que se llevan a cabo en este borrador de la norma, se pueden destacar:

• El primero de ellos hace referencia al cambio en el nombre de la norma. Esto se debe a el cambio en el TC 292, que ha pasado de «Societal security Business continuity management systems Requirements» a «Security and resilience Business continuity management systems Requirements».
• La definición de continuidad del negocio es similar a la de la la ISO 22300.2018, esta se define como «la capacidad de una organización para continuar entregando productos y servicios dentro de periodos de tiempo aceptable en la capacidad predefinida relacionada con una interrupción».
• En el apartado referente a contexto y organización, la cláusula 4.1 (Comprensión de la organización y sus contextos) se reduce.
• Haciendo referencia al liderazgo, las clausulas 5.1 y 5.2 se unen y quedan como 5.1 (Liderazgo y compromiso).
• En el apartado de planificación se agrega una clausula 6.3, referente a Planificación de cambios en el SGCN.
• En el aparatado 8, referente a operación, se producen varias modificaciones: la cláusula 8.3 cambia a «Estrategias y soluciones de continuidad de negocios»; la cláusula 8.4 cambia a «Establecer e implementar procedimientos de continuidad de negocios» y la cláusula 8.5 cambia a «Programa de ejercicios»
• Finalmente, en el apartado 9, que hace referencia a la evaluación del desempeño, el punto 9.1.2 cambia a «Evaluación de planes, procedimientos y capacidades de continuidad de negocios»

Actualmente, ISO DIS 22301 está en estado de consulta para los países que forman parte de ISO con la intención de que pueda ser revisada y comentada, contribuyendo así a mejorar su contenido. Cualquier tipo de comentario, observación o corrección solo podrá ser enviado a través de un organismo de normalización que sea miembro de la Organización Internacional de Normalización (ISO) o de algún organismo especializado, que esté debidamente registrado.

Actualmente no es recomendable que sea aplicada de manera exacta, ya que existe la posibilidad de que sufra algún tipo de cambio significativo.

Software para la gestión de un Sistema de Continuidad de Negocio

ISOTools es un software que permite simplificar las tareas derivadas de la implementación del estándar ISO 22301 para los Sistemas de Gestión para la Continuidad de Negocio.

Con ISOTools podrá gestionar el contexto de la organización, el liderazgo y la planificación, logrando la facilitación de las tareas derivadas de la identificación y gestión de riesgos, reduciendo los periodos de inactividad y la posibilidad de ocurrencia y costes, permitiendo que las organizaciones cuenten con las medidas necesarias.

The post Borrador ISO DIS 22301. Actualización de la norma de sistemas de gestión de continuidad de negocio appeared first on PMG SSI - ISO 27001.