earthquake-3167693_1920

La evolución de la Gestión de Continuidad de Negocios con ISO 22301:2019

by Negocios

Imagínese en el siguiente escenario “Es viernes a eso de las 9 am y se encuentra en una reunión de trabajo con su equipo en las instalaciones de la empresa donde labora, y en ese momento ocurre un fuerte sismo que provoca la muerte y lesión de parte del personal, daños severos en la infraestructura física y tecnológica, afectaciones a los servicios entregados a los clientes, entre otros. Usted es de los afortunados sobrevivientes y al estar en la zona de seguridad post incidente se da cuenta de todo el caos que se vive, la histeria colectiva, la incertidumbre en las personas y la gran pregunta que se escucha por todos lados ¿Y ahora qué hacemos?”.

Haga la reflexión sobre lo anteriormente leído y piense si es capaz en estos momentos la organización para la que trabaja de responder ante eventos como el anteriormente descrito. Analice si la organización es capaz de:

  • Poder salvaguardar la vida de sus colaboradores,
  • Reconocer sus tiempos de recuperación operativa,
  • Implementar las medidas eficientes para poder restablecer los servicios de la empresa,
  • Dar una respuesta a clientes, proveedores, publico en general sobre el estado de la operatividad de la empresa post evento,
  • Restaurar la operación al punto en el que se encontraba antes del incidente
  • Reconocer de cuanto es la pérdida monetaria por cada hora de operación perdida.

Si su respuesta es que considera poco probable que un evento como el descrito ocurra, déjeme decirle que está equivocado, el articulo presentado por BBC (2018), “Los países del mundo (y de América Latina) con mayor riesgo en caso de sufrir una catástrofe natural” cita lo siguiente:

“El país con menos riesgo es Qatar. El que corre más riesgo es Vanuatu, una isla en el Pacífico Sur. Los países que más riesgo corren en América Latina están todos en Centroamérica”, y nos muestra el siguiente mapa de calor de riesgo:

Esto nos refleja la alta probabilidad de sufrir la materialización de eventos como huracanes, inundaciones, terremotos, etc. Sin olvidar otros escenarios disruptivos como Ataques informáticos, Escenarios sociales (manifestaciones, guerras, huelgas, etc.), Epidemias o pandemias, que también pueden ser capaz de impactar la continuidad de las operaciones de una empresa (en mayor o menor medida) y en algunas ocasiones llevándola incluso a su cierre.

Producto de todas las incertidumbres y la incapacidad de las organizaciones de poder dar respuestas efectivas a los escenarios anteriormente descritos fue lo que llevó a la creación de la primera edición del estándar internacional ISO 22301 en mayo 2012 que consistía en los requerimientos para implementar un Sistema de Gestión de Continuidad de Negocios y cuya estructura de alto nivel permite que se pueda alinear con las normas ISO 9001: Gestión de Calidad o ISO:27001: Gestión de Seguridad de la Información.

Usted se podrá preguntar, ¿De qué forma esta norma ISO 22301 vino a apoyar como resolver las incógnitas descritas anteriormente? La respuesta es sencilla, el enfoque de la estrategia de implementación de ISO 22301:2012 y sus requerimientos están orientados principalmente a los puntos descritos en la siguiente imagen:

I. Imagen del Núcleo de un Sistema de Continuidad de Negocios

Estos puntos permiten a una organización ser más eficiente en su gestión de continuidad de negocios, sin embargo, la ejecución de esta norma no resultaba fácil para las organizaciones, lo cual derivó en que las mismas no optaran de primera instancia en su implementación.

Esto llevó a la creación de barreras por parte de las organizaciones como resalta Martin Caddick (2018), en su estudio “Why BCM is Failling in our complex world”, y que se puede ver en la siguiente imagen:

II. Imagen con Barreras organizacionales para implementar Gestión de Continuidad de Negocios.

Nota: BCM es la nomenclatura en inglés de Gestión de Continuidad de Negocios.

Para superar estas barreras y facilitar a las organizaciones la implementación de la norma ISO 22301, el comité ISO/TC 292 (Comité Técnico de ISO de Seguridad y resiliencia) ha venido trabajando en los últimos años en la actualización de la versión 2012 de la norma, y en la creación de una nueva edición orientada a la simplificación, con términos más claros, fácil de asimilar y con un contenido más consistente; De manera que se distinga de una forma más simple los requerimientos de implantación (el Qué) y la guía de ejecución (el cómo).

A continuación, voy a resaltar alguno de los principales cambios de la versión 2012 a la versión 2019:

III. Imagen con aspectos generales de cambio de ISO 22301 de la versión 2012 a la nueva versión 2019.

Fuentes: Donika Gashi & Vesa Hyseni (2019) “What to expect from the revised version of the ISO 22301 standard” y Dr. Wolfgang H. Mahr (2019), “ISO 22301:2019, What will change”.

Los puntos anteriores se pueden considerar como las principales directrices de cambio según se reflejó en el DIS (Draft international Standard) emitido a en el primer trimestre de 2019.

Es muy importante resaltar que la remoción del término “Apetito de riesgo” ha correspondido a la necesidad de darle un mayor enfoque al nivel de impacto de no asumir las medidas necesarias para mitigar, volviendo que la consecuencia de la disrupción de ciertas actividades en la organización se enmarque como INACEPTABLES.

Si bien esta nueva versión ha tardado casi 7 años en darse, se puede decir que los nuevos cambios se orientan a facilitar la implementación del estándar en continuidad de negocios y de esa forma que las organizaciones tengan mayores opciones de superar las consecuencias de eventos disruptivos.

Que las organizaciones adopten una cultura de resiliencia y se encuentren mejor preparadas para afrontar escenarios como el descrito al inicio de este artículo es la misión clave que trae esta nueva versión de la norma ISO 22301.

Siempre es un gusto para mí poder compartir un poco de conocimiento y experiencia. Espero este articulo haya sido de su agrado.

¡Saludos Cordiales!

Créditos a las Publicaciones de:

  • Donika Gashi & Vesa Hyseni (2019) “What to expect from the revised version of the ISO 22301 standard”, PECB.
  • Dr. Wolfgang H. Mahr (2019), “ISO 22301:2019, What will change”, PECB.
  • Martin Caddick (2018), en su Estudio â€œWhy BCM is Failling in our complex world”, PECB.
  • BBC, (27 Nov 2018), BBC News, https://www.bbc.com/mundo/noticias-internacional-46357919