Unidad 5: ISO Introducción y objetivos

Transcripción

1 Unidad 5: ISO Introducción y objetivos 1. Presentación de la norma 2. Generalidades 3. Cómo interpretar la norma? 4. Clausulas 5. Justificación estratégica de una certificación 6. El proceso de certificación 0. Introducción y objetivos Continuamos conociendo las normas que enmarcan la práctica de BCM, ahora con un estándar certificable y auditable. En esta unidad usted: Conocerá el nuevo estándar certificable y auditable que le proporcionará a su empresa la capacidad de certificar ante terceras entidades su práctica y acciones relacionadas a BCM. 1

2 1. Presentación de la norma La norma ISO22301:2012 Seguridad de la sociedad Sistemas de gestión de la continuidad del negocio, establece los requisitos para diseñar, establecer, implementar, operar, monitorear, revisar, mantener y continuamente mejorar un sistema de gestión documentado que permite proteger así como reducir la probabilidad de ocurrencia, para responder ante la ocurrencia de un evento de interrupción que pueda llegar a presentarse. Esta norma viene a sustituir a la BS Gestión de Continuidad de Negocio parte dos. Aparece como respuesta a la creciente necesidad de las organizaciones de implementar sistemas de gestión, que les permitan asegurar la continuidad de sus operaciones bajo circunstancias adversas. Este nuevo estándar es resultado de la evolución y compilación de lineamientos, mejores prácticas y estándares existentes avalados por los expertos en el campo. Este estándar es certificable y auditable y su implementación se apoya en el estándar ISO 22313, como bien se hizo mención en la unidad anterior. 2. Generalidades El estándar establece los requerimientos para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión documentado, el cual proteja, reduzca la probabilidad de ocurrencia, prepare y responda antes de que ocurra cualquier evento, así como recuperar la interrupción que pueda presentarse, afectando la continuidad de la operación de una organización. Todos los requerimientos son genéricos de tal manera, que puedan ser aplicables a todo tipo de empresa sin importar su giro, tamaño o naturaleza. La aplicación de todos los requerimientos va a depender del ambiente y la complejidad operacional que presente la organización. Este estándar puede ser utilizado por cualquier organización, sin importar su tamaño, sector, presencia en el mercado o estructura para: Diseñar, implementar, mantener y mejorar un sistema de gestión de continuidad Asegurar el cumplimiento de la política de continuidad de negocio de la organización Demostrar conformidad a terceras personas Certificar / registrar su sistema de gestión de continuidad por un tercer cuerpo de certificación Auto determinar y auto - declarar el cumplimiento con el estándar ISO

3 Además, el estándar puede ser utilizado para evaluar la capacidad de un organización para recuperarse de un evento adverso, y cumplir con sus obligaciones. En resumen, existen tres puntos importantes a considerar respecto a la norma ISO 22303:2012: 1. Es un estándar que indica los requerimientos para implementar un Sistema de Gestión de Continuidad de Negocio adecuado a las necesidades de la organización. 2. La organización que se alinea a lo establecido en el estándar puede buscar una certificación. 3. El documento sustituye al estándar publicado por el BSI, el BS 25999, parte dos. 3. Cómo interpretar la norma? Como bien se dijo, esta norma establece los requerimientos mandatorios que una organización debe cumplir para medir su capacidad de recuperación, y representa el cuerpo completo de una auditori, en caso de solicitarla, por lo tanto está escrita denotando los requisitos obligatorios que cada entregable debe cumplir. Recuerde que para obtener más explicaciones y ejemplos de implementación puede auxiliarse de la norma ISO22313, la cual estudiamos en la unidad anterior. 4. Clausulas La norma se encuentra compuesta por 10 cláusulas, de la uno a la tres se tocan los temas de: alcance, es decir que tipo de empresas aplican el estándar, y para que pueden usarlas. La cláusula dos, menciona las referencias normativas y la tercer clausula, se refiere a los términos y definiciones utilizados por el estándar. A continuación describiremos brevemente el contenidos de la clausula cuatro, en adelante. Cláusula 4: Contexto de la organización Esta cláusula, establece la necesidad de conocer el contexto en el que opera la organización, tanto interno como externo. Hace énfasis en que la organización debe establecer su apetito de riesgo, sus requerimientos legales y regulatorios, así como establecer claramente el alcance y alineación al negocio del sistema de gestión de continuidad. 3

4 Cláusula 5: Liderazgo Hace énfasis en el liderazgo y responsabilidad que la Alta Dirección debe demostrar para con el sistema. Propiamente la Alta Dirección, es la responsable de establecer los alcances y objetivos del programa, así como de impulsar las actividades necesarias para asegurar el éxito de éste, y de permear la práctica hacia la organización. Cláusula 6: Planificación Estable que la organización debe planear acciones para hacer frente a posibles riesgos, en orden de prevenir su ocurrencia o reducir sus efectos. También establece que se deben fijar objetivos de continuidad consistentes con la política y requerimientos de la organización, estos deben ser medibles, monitoreados y actualizados. La organización debe planear como va a lograr esos objetivos, asignando responsables, acciones, recursos y tiempos, así como la manera de evaluar los resultados de dichas acciones. Cláusula 7: Soporte Esta cláusula, detalla los elementos básicos para diseñar, implementar y gestionar un sistema de gestión. Primeramente pide garantizar los recursos necesarios para que el sistema de gestión sea exitoso. También pide determinar y garantizar que el personal involucrado cuente con las competencias necesarias, así como generar conciencia en el resto de los colaboradores sobre la importancia e impacto del sistema en la organización. Además toca el tema de la comunicación, al señalar la importancia de contar con planes para comunicarse tanto interna como externamente, haciendo uso de estructuras, mensajes y medios que se consideren adecuados. Finalmente, esta cláusula hace referencia a la elaboración, actualización y control de la documentación que requiere tanto el estándar como la organización. Cláusula 8: Operación Establece los requerimientos para operar el sistema de gestión, es la sección donde se pide identificar y documentar las prioridades de recuperación, así como los riesgos a los que se encuentran expuestas. 4

5 También pide establecer las estrategias de continuidad, los procedimientos y los planes para ejecutarlas, probarlas y actualizarlas. Cláusula 9: Evaluación del desempeño Establece el requerimiento y pautas para monitorear, medir, analizar y evaluar los resultados del sistema, con el fin de asegurar que el sistema está alineado a los objetivos estratégicos de la organización, siendo éste actual y efectivo, cumpliendo con la regulación vigente, de las mejores prácticas internacionales y con el mismo estándar. Cláusula 10: Mejora Esta cláusula, busca identificar los puntos de mejora del sistema, y tomar las acciones preventivas y correctivas necesarias, de esta manera se genera la mejora y la continua alineación con las necesidades de la organización. 5. Justificación estratégica de una certificación El ambiente actual, es sumamente competitivo, el cual exige que una organización sea capaz de demostrar que su implementación sea exitosa ante las las mejores prácticas, a nivel mundial en materia de continuidad de negocio. Basándose en los tres pilares de la gestión de una organización, una certificación ayuda a: Ser más productivos y rentables, ya que busca aumentar la competitividad basado en procesos eficaces y eficientes y buscar la satisfacción de mercado Dar un tratamiento integral a los riesgos de la organización Garantizar la permanencia del negocio a largo plazo 5

6 6. El proceso de certificación El proceso de certificación se lleva de la siguiente manera: 1. Decidir bajo que norma se correrá el proces, y que organismo certificador lo llevará a cabo. 2. Se realiza una PRE-AUDITORIA que consiste en: a. Revisar la documentación desarrollada por la organización, de acuerdo alos requeridos por la norma. b. Revisar cada documento en detalle y validar su conformidad con la norma en cuestión. 3. Si la documentación es correcta, se pacta el evento de AUDITORIA, donde se revisa la IMPLEMETACIÓN de los documentos revisados. 4. Si todo sale conforme a lo que establece la norma, la entidad certificadora recomienda a la organización, el momento en llevar a cabo la certificación. 5. Al obtener el certificado deseado (con vigencia de 3 años), la organización se compromete a realizar anualmente auditorías mayores o con terceros, de algunas partes del sistema, además de cumplir con su propio calendario de auditoría interna, que sirve además, como evidencia de seguimiento formal. 6