AENOR 41 César Pérez-Chirinos Presidente AEN/CTN 196/SC 1 OPINIÓN La resiliencia no se improvisa Las fuertes nevadas que interrumpieron en enero y febrero la vida cotidiana en la zona norte de Espa-ña, aislando pueblos durante varios días, deberían servir para entender la importancia de una gestión integral de la capacidad de reanudación de suminis-tros y servicios imprescindibles. Aunque otros acontecimientos crean la apa-riencia de que las mayores amenazas a la protec-ción de los ciudadanos provengan de acciones de-liberadas de gran impacto (terrorismo y sabotaje informático), lo cierto es que lo que ahora denomi-namos “continuidad de negocio” tiene mucho más que ver con lo que históricamente se ha venido de-nominando en España “protección civil” y la capa-cidad de reanudar el abastecimiento de recursos vitales ante cualquier interrupción circunstancial. Esta capacidad de reanudación (que ahora se de-nomina resiliencia) no se puede improvisar. Requie-re que las organizaciones proveedoras se doten de medios alternativos que sustituyan a los que habi-tualmente proporcionan estos suministros o servi-cios y que puedan haberse perdido, temporal o de-finitivamente, ante circunstancias extraordinarias. Además, deben comprobar regularmente que estos medios alternativos están listos para ser utilizados en cualquier momento bajo la dirección de los equi-pos de gestión de crisis encargados de reanudar los suministros o servicios interrumpidos; posiblemen-te, en coordinación con las autoridades e, incluso, con competidores en circunstancias normales pero que son los únicos que pueden aportar medios muy especializados ante un incidente grave. La privatización de muchos suministros y servi-cios esenciales para la población hace imprescindi-ble la existencia de sistemas de gestión de la conti-nuidad de negocio, potencialmente auditables por terceros independientes, tanto en el ámbito público como en la empresa privada, que garanticen que los proveedores más resilientes no son injustamente comparados con otros que, ante circunstancias ex-cepcionales, no tienen la misma capacidad de com-promiso con sus beneficiarios o clientes. CURSOS DE AENOR RELACIONADOS Verificar Los dos primeros vértices del cuadra-do PDCA no tienen sentido sin la su-pervisión • Fundamentos de continuidad según la Norma ISO 22301 • Implantación de un SGCN según la Norma ISO 22301 • Auditoría de la Norma ISO 22301 de lo que se ha planificado e implantado. La organización debe de-terminar qué se debe supervisar y me-dir, los métodos y plazos que deben preverse para ello, y los análisis y eva-luaciones. Cuando sea necesario debe actuar para solventar los resultados ad-versos antes de que se produzca una no conformidad y conservar la infor-mación documentada como eviden-cia. En última instancia, la verificación es responsabilidad de la alta dirección. Actuar Está íntimamente relacionado con la mejora continua. La organización debe mejorar de manera continua la idonei-dad, adecuación y eficacia del SGCN, utilizando para ello procesos del pro-pio sistema como el de liderazgo, plani-ficación o evaluación del rendimiento. El modelo PDCA descrito en deta-lle en la Norma UNE-EN ISO 22301 se apoya en la UNE-EN ISO 22313, que proporciona directrices sobre los requisitos especificados en la prime-ra. De hecho, su estructura editorial es idéntica, presentando los mismos en-cabezados, pero sin repetir los requisi-tos, términos y definiciones. En el capí-tulo 4 sobre la Planificación, se incluye una figura que abarca todas las posi-bles partes interesadas (ver figura 1) En el capítulo 8, que se correspon-de con “Hacer” del modelo PDCA, se muestra una figura sobre el entendi-miento de la organización, que pue-de ayudar al análisis de impacto en el negocio y la valoración del riesgo. (Ver figura 2). En el mismo capítulo se trata la estrategia de continuidad del negocio y posibles acciones para de-terminarla, protegiendo las actividades prioritarias, estabilizando, continuan-do, reanudando las mismas, y mitigan-do, respondiendo y gestionando los impactos. Así, ambas normas utiliza-das como un tándem proporcionan un marco sólido para la puesta en marcha y correcta implantación de un SGCN. El modelo de Gestión de la Con-tinuidad del Negocio está alinea-do con otros como el de Seguridad de la información (UNE-ISO/IEC 27001), Gestión del Servicio de TI (UNE-ISO/IEC 20000-1) o Gestión de la Calidad (UNE-EN ISO 9001) con el objeto de facilitar la consisten-cia necesaria y permitir la sinergia en la implantación y operación de cada aspecto degestión. Concretamente, la Norma UNE-ISO/IEC 27001 contem-pla la continuidad del negocio como un elemento clave dentro de la gestión de la seguridad de la información. ◗
302
To see the actual publication please follow the link above