Asegurando la continuidad
con las normas BS 25999 y
la ISO 22301
analiza en detalle las normas de gestión de la continuidad de los negocios actualmente en desarrollo, y examina la influencia de la BS 25999
Hay una cierta cantidad de normas nacionales sobre la continuidad de los negocios disponibles para aquellas organizaciones interesadas en obtener la certificación, incluyendo la BS 25999.
Desarrollada por el BSI, y utilizada en todo el mundo, la BS 25999 fue publicada en dos partes. La BS 25999-1, de lineamientos, fue publicada en el año 2006 y la especificación (BS 25999-2) en 2007. Desde su publicación, la norma ha sido referenciada frecuentemente y, más importante, la terminología, los principios y la metodología han sido absorbidas por muchos otros documentos. El resultado es que hay un acuerdo generalizado sobre las buenas prácticas de la gestión de la continuidad de los negocios, las que están siendo comprendidas e implementadas por una gran cantidad de organizaciones de todo el mundo.
La BS 25999 y otros documentos, tales como la ISO 31000 sobre la gestión de riesgos, la NFPA 1600 sobre la gestión de emergencias y desastres y la ANSI/ASIS SPC 1 sobre la resiliencia de las organizaciones, han sido referenciadas cuando se desarrollaron las nuevas normas internacionales de la continuidad de los negocios, ISO 22399 e ISO 22301.
ISO 22301 vs BS 25999
Las organizaciones están ansiosas por comparar la ISO 22301 con la BS 25999, especialmente aquéllos que ya están certificados BS 25999 o están analizando certificarse con esta norma. La ISO 22301 contiene todos los principios y procesos incluidos en la BS 25999 y parece difícil que se incluyan requisitos adicionales en la versión final de la norma. Estas son buenas noticias para muchos, pero seguramente habrá algún cambio en el periodo de discusión pública.
Como es el caso de la BS 25999, la norma ISO será publicada en 2 partes. La ISO 22301 es una norma de especificaciones y se espera que esté disponible en Octubre 2011. Y una norma, sin nombre todavía, será una norma con lineamientos a ser publicada a fines del 2012.
Parece que el comité ISO que está desarrollando estas dos normas ya logró consenso sobre la terminología, los principios y los procesos a ser usados en las normas, todos alienados con la norma BS 25999. Una revisión de la BS 25999 y la ISO 22301 confirma que ambas incluyen las siguientes secciones:
- Establecimiento de la política
- Alcance y objetivos de la continuidad de los negocios
- Establecimiento del compromiso de la dirección
- Conducción de un análisis de impacto en los negocios
- Control de documentos y registros
- Establecimiento de los recursos requeridos y la necesidad de realizar ejercitaciones
- Revisión y mejora continua del sistema de gestión de la continuidad de los negocios.
Es importante notar que ambas normas utilizan el concepto de un sistema de gestión de la continuidad de los negocios. El concepto de utilizar el marco de un sistema de gestión para gestionar y mejorar continuamente la política, procedimientos y procesos de una organización es ampliamente conocido. Además, el comité técnico directivo (TMB) de la ISO está apoyando el uso de un nuevo formato de tal manera que todas las normas de sistemas de gestión tengan una estructura común y texto común para elementos idénticos, tales como liderazgo, planificación y apoyo.
Racionalización
Esta racionalización de las normas de sistemas de gestión , tales como la BS 25999 y la ISO 22301, así como las ISO 9001, ISO 14001 y la ISO 27001, parece razonable y no debería cambiar la esencia del texto de la de continuidad de los negocios. Sin embargo, el formato de la ISO 22301 será considerablemente diferente al de la BS 25999. Esta diferencia en la estructura no debería tener ningún impacto significativo sobre el uso, el cumplimento y la certificación. Vale la pena tener en cuenta que aunque los requisitos de la ISO 22301 y la BS 25999 están muy alineados entre sí, el documento ISO con lineamientos, que está en preparación, probablemente propondrá algunas mejoras que serán de gran ayuda.
El comité del Reino Unido que participa en la confección de la ISO 22301 y de la otra norma de lineamientos ha estado muy active en los últimos años. Tan pronto como se publicó la BS 25999, comenzó a trabajar para fortalecer algunos aspectos. Aunque nada mostraba que la BS 25999 tuviera errores, el comité arribó a la conclusión que sería beneficioso tener lineamientos adicionales en la ejercitación y el ensayo, los aspectos humanos de la continuidad, recuperación, la gestión de las relaciones con terceras partes y la gestión de crisis. Estos documentos seguramente serán un complemento de la BS 25999. El grupo del Reino Unido también participó en el desarrollo de la nueva norma de continuidad de los Estado Unidos – provisoriamente identificada como ANSI ASIS/BSI BCM 01 - a ser publicada a comienzos del 2011. Todos estos documentos serán de gran ayuda para el comité ISO que está desarrollando la nueva norma de lineamientos.
Debido a que un texto con lineamientos no puede ser introducido en la ISO 22301, los requisitos de esta norma internacional serán muy parecidos a los de la BS 25999. Esto es tranquilizador para aquellas organizaciones que ya están certificadas según la BS 25999, o están pensando en hacerlo. La norma ISO de lineamientos está sus primeras etapas, y seguramente será influenciada por los nuevos documentos sobre la ejercitación, recuperación, aspectos humanos de la continuidad y de las crisis. Esta situación le da al grupo ISO una excelente oportunidad no sólo para desarrollar una norma con requisitos sólidos, pero también para producir una norma de lineamientos que incluya los enfoques y guías más actualizados en el tema de la continuidad de los negocios..
Sobre el autor
David Adamson es gerente de comités en el BSI. Es responsable por las áreas de seguridad, continuidad de los negocios y la gestión de los riesgos.
