En el proceso de gestión de la Continuidad del Negocio de acuerdo a ISO 22301, dos de los aspectos que pueden resultar más difícil para las organizaciones son los relativos a la evaluación y gestión de riesgos así como la etapa centrada en estructurar el Plan de Continuidad de Negocio de acuerdo a la mencionada norma ISO 22301.

Plan de Continuidad de Negocio

Según el estándar ISO 22301, cuando hablamos de Plan de Continuidad de Negocio, nos referimos al documento que contiene los procedimientos que orientan a las organizaciones para saber cómo proceder y reanudar su actividad habitual en caso de que ocurra una interrupción.

Es decir, el Plan de Continuidad de Negocio de acuerdo a ISO 22301 pone el foco en la determinación de los planes y procedimientos para mantener la continuidad del negocio, pero no especifica el análisis ni las herramientas para el mantenimiento de tales planes.

Cómo estructurar el Plan de Continuidad de Negocio de acuerdo a ISO 22301

Veamos a continuación, las partes esenciales a tener en cuenta a la hora de estructurar el Plan de Continuidad de Negocio de acuerdo a ISO 22301:

1.- Propósito, alcance y usuarios: debe quedar claro el objetivo por el que contamos con este Plan de Continuidad de Negocio, las áreas a las que afecta y las personas que deben conocerlo.

2.- Documentos de referencia: detallar los documentos a los que este Plan está vinculado como son la Política de Continuidad de Negocio, el Análisis del impacto sobre el negocio, y la Estrategia de Continuidad de Negocio, entre otros.

 

3.- Condiciones: debemos definir una serie de requisitos para asegurar la eficacia del plan.

4.- Roles y responsabilidades: determinar las personas encargadas de gestionar los incidentes que pudieran alterar la Continuidad del Negocio.

5.- Contactos claves: identificación de los datos de contacto de las personas que están implicadas en la puesta en marcha del Plan de Continuidad de Negocio.

6.- Planificación de activación: determinar aquellos casos en los que activar el citado plan así como el método a emplear para ponerlo en marcha. Igualmente debemos detallar las condicionas bajo las que es posible desactivarlo.

7.- Comunicación: definimos la manera de proceder para comunicar el incidente entre los diferentes equipos así como hacia las otras partes interesadas.

8.- Respuesta ante el incidente: aquí especificamos cómo debe ser la primera reacción ante el incidente, con el objetivo de minimizar los daños.

9.- Sitios físicos y transporte: definir los sitios físicos y los alternativos, detallar dónde se encuentran los puntos de concentración, así como la manera de llegar desde los sitios primarios hasta los alternativos.

10.- Orden de recuperación de las actividades: aquí se elabora un listado de todo el conjunto de actividades a realizar para la recuperación con especificación del tiempo de recuperación objetivo.

11.- Planes de recuperación para las actividades: detalle paso a paso de las acciones a realizar y las responsabilidades asumir en las tareas de recuperación tanto de la mano de obra, de las infraestructuras, el software, así como de la propia información y procesos. Además, especificaremos la relación con otras actividades y partes interesadas.

12.-. Plan de recuperación de desastres: este plan de recuperación es específico para la recuperación de las infraestructuras relacionadas con la tecnologías de la información y comunicación.

13. Recursos: listado con todos los recursos necesarios para poder llevar a cabo las tareas de recuperación.

14.- Reanudación de las actividades de negocio habituales: definir como pasar de las medidas adoptadas de carácter temporal a las actividades comerciales habituales una vez resuelto el incidente.

Con estos pasos, resultará más sencillo estructurar el Plan de Continuidad de Negocio, lo cual es esencial como base para asegurar que tu organización podrá reaccionar eficazmente ante incidentes que perturben su normal funcionamiento de negocio.

También te puede interesar ISO 22301: 4 elementos clave para la gestión eficaz de la continuidad de negocio.

Software ISOTools para la Gestión de la Continuidad de Negocio según ISO 22301

Mediante el Software ISOTools, las organizaciones ven incrementada su seguridad en materia de Continuidad de Negocio, pues posibilita una más fácil identificación de riesgos que supongan impacto en dicha continuidad, consiguiendo así una mayor probabilidad de evitar interrupciones en sus operaciones. Ofrece una gestión automatizada del SGCN, lo que conlleva un aumento de la eficacia del mismo.