pY3PoG

AENOR39reaccionar de forma inmediata antecualquier evento que interrumpasus servicios. La realidad es que cualquierorganización puede sufrir un incidenteque afecte a su continuidady, dependiendo de la forma en quese gestione dicho incidente, las consecuenciaspueden ser más o menosgraves. Últimamente se ha popularizadoel término resiliencia para referirsea la capacidad de recuperación antedesastres conseguida por una organizacióngracias a su SGCN.No sólo las catástrofes ambientales,tales como incendios o inundaciones,pueden causar daños adversos a unaorganización. También pueden causargrandes daños incidentes serios de seguridaden los sistemas, como delitoscibernéticos, robo de información sensible,daños en las infraestructuras y enlos servicios, o fallos en el suministroeléctrico. Los desastres pueden ocurriren cualquier momento y sus consecuenciassobre las organizaciones queno tienen un Plan de Continuidad deNegocio pueden llegar a ocasionar inclusoel cierre de las mismas.Según la Cámara de Comerciode Londres, un 43% de las organizacionesdespués de un accidente noDisponer de las Normas UNE-EN ISO 22301 y UNE-EN ISO22313 en el ámbito europeo y nacional acercará losSistemas de Gestión de la Continuidad del Negocio (SGCN)a las organizaciones, y en especial a las pymespodrán continuar sus operaciones,viéndose obligadas a cerrar; el 80%tendrán que hacerlo en menos de 13meses; un 50% se verán forzadas a cerrarantes de cinco años después deldesastre y un 53% de los clientes deestas organizaciones no recuperaránlas pérdidas causadas por los dañosderivados. Aunque los efectos inmediatosparecen ser la pérdida de beneficios,hay otros efectos derivados quepueden causar un gran impacto en lacompañía. Es el caso del impacto enla reputación o la pérdida de ventajacompetitiva frente a otras compañías.Pero no hay que centrarse exclusivamenteen el sector TIC. Cualquierorganización, independientemente desu dimensión y el sector al que pertenezca,encontrará valor en la implantacióny mantenimiento de un SGCN.Cualquier negocio, y cualquier áreadentro de él, puede ser objeto deaplicación de un SGCN, desglosandoadecuadamente las actividades y estudiandosu implantación a cada unade las partes y a todo el conjunto. Porejemplo, en el área de Recursos Humanos,podrían identificarse varias actividadescomo administración de personal,gestión de nóminas, control depresencia, etc.; y en ventas, la comercializaciónde productos, gestión deimpagos, facturación, etc.Para desarrollar todo el potencialque proponen estas nuevas normasen la mejora de procesos de una organización,es preciso no quedarse solamenteen los impactos de tipo operativo.Es decir, en aquellas actividades paralas que resulta relativamente sencillala evaluación de los costes económicoscausados por la interrupción de susactividades, bien sean directos, comoel coste de las horas de trabajo perdidaspor los empleados, o indirectos. Se

AENOR40LOS DATOSFigura 1Ejemplos de partes interesadas que hay queconsiderar en sectores públicos y privadosCiudadanosClientesDistribuidoresAccionistasInversoresPropietariosAseguradorasGobiernoReglamentariosSuministradoresde servicios derecuperaciónFigura 2Entendimiento de la organizaciónSuministradoresy sociosexternosProducto/ServicioOtro personalFuente: Figura 4 (Norma UNE-EN ISO 22313: 2015)Producto/ServicioLA ORGANIZACIÓNGestiónAlta direcciónLos que establecen políticas y objetivos para el SGCNLos que preparan y gestionan la continuidad del negocioLos que mantienen procedimientosde continuidad del negocioPropietarios de procedimientos de continuidad del negocioPersonal para respuesta a incidentesLos que tienen autoridad para recurrirPortavoces autorizadosEquipos de respuestaLA ORGANIZACIÓNContratistasObjetivo de la organizaciónProducto/ServicioContextointernoCompetidoresMedios decomunicaciónComentaristasCorporacionesde comerciantesVecindarioGrupos de presiónServiciosde emergenciasOtras agenciasde respuestaServiciosde transporteFamiliaresdel personalContextoexternoUNE-EN ISO 22301Y UNE-EN ISO 22313deben tener en cuenta otros impactosque no hay que minusvalorar, comolos legales o contractuales, y otros másintangibles como la imagen y reputación.Estos impactos pueden tenerconsecuencias a largo plazo muchomayores que las pérdidas inmediatascausadas por una interrupción.Cada una de las partes que conformanel modelo “Planificar-Hacer-Verificar-Actuar”son indispensables paragarantizar la eficacia de un SGCN.PlanificarPara una planificación óptima, esesencial el entendimiento de la organizacióny de su contexto, de las necesidadesy expectativas de las partesinteresadas. Así, podrá tomarseuna decisión razonada sobre el campode aplicación del SGCN; esto es,qué partes de la organización debenincluirse en el sistema.Otro pilar de la planificación es laimplicación de la alta dirección, quedebe asegurar que se establecen losobjetivos de continuidad del negocioy se comunican a las funciones y nivelesaplicables. Estos objetivos de continuidaddeben ser coherentes con lapolítica de continuidad de negocio, teniendoen cuenta el nivel mínimo deproductos y servicios que es aceptablepara que la organización consiga susobjetivos; deben ser mensurables, yestar supervisados y actualizados segúnsea apropiado.ActividadActividadesde apoyoBienesy recursosActividad Actividad Actividad Actividad ActividadDependenciay actividades de apoyoBienes y recursosFuente: Figura 6 (Norma UNE-EN ISO 22313:2015)ClientesHacerSe trata de establecer criterios para losprocesos, realizar el control de procesosde acuerdo con los criterios y mantenerla información documentada paratener la seguridad de que los procesosse realizan según lo planificado.Esta información debe incluir los requisitoslegales, las prioridades de los tratamientosde riesgos, el resultado delanálisis de impacto en el negocio y dela apreciación del riesgo, y los requisitosde actualización y de confidencialidadde esta información.

OPINIÓNAENOR41CésarPérez-ChirinosPresidenteAEN/CTN 196/SC 1VerificarLos dos primeros vértices del cuadradoPDCA no tienen sentido sin la supervisiónde lo que se ha planificado eimplantado. La organización debe determinarqué se debe supervisar y medir,los métodos y plazos que debenpreverse para ello, y los análisis y evaluaciones.Cuando sea necesario debeactuar para solventar los resultados adversosantes de que se produzca unano conformidad y conservar la informacióndocumentada como evidencia.En última instancia, la verificaciónes responsabilidad de la alta dirección.ActuarEstá íntimamente relacionado con lamejora continua. La organización debemejorar de manera continua la idoneidad,adecuación y eficacia del SGCN,utilizando para ello procesos del propiosistema como el de liderazgo, planificacióno evaluación del rendimiento.El modelo PDCA descrito en detalleen la Norma UNE-EN ISO 22301se apoya en la UNE-EN ISO 22313,que proporciona directrices sobre losrequisitos especificados en la primera.De hecho, su estructura editorial esidéntica, presentando los mismos encabezados,pero sin repetir los requisitos,términos y definiciones. En el capítulo4 sobre la Planificación, se incluyeCURSOS DE AENOR RELACIONADOS• Fundamentos de continuidadsegún la Norma ISO 22301• Implantación de un SGCNsegún la Norma ISO 22301• Auditoría de la NormaISO 22301una figura que abarca todas las posiblespartes interesadas (ver figura 1)En el capítulo 8, que se correspondecon “Hacer” del modelo PDCA, semuestra una figura sobre el entendimientode la organización, que puedeayudar al análisis de impacto enel negocio y la valoración del riesgo.(Ver figura 2). En el mismo capítulo setrata la estrategia de continuidad delnegocio y posibles acciones para determinarla,protegiendo las actividadesprioritarias, estabilizando, continuando,reanudando las mismas, y mitigando,respondiendo y gestionando losimpactos. Así, ambas normas utilizadascomo un tándem proporcionan unmarco sólido para la puesta en marchay correcta implantación de un SGCN.El modelo de Gestión de la Continuidaddel Negocio está alineadocon otros como el de Seguridadde la información (UNE-ISO/IEC27001), Gestión del Servicio de TI(UNE-ISO/IEC 20000-1) o Gestiónde la Calidad (UNE-EN ISO 9001)con el objeto de facilitar la consistencianecesaria y permitir la sinergia enla implantación y operación de cadaaspecto degestión. Concretamente, laNorma UNE-ISO/IEC 27001 contemplala continuidad del negocio comoun elemento clave dentro de la gestiónde la seguridad de la información. ◗La resiliencia nose improvisaLas fuertes nevadas que interrumpieron en eneroy febrero la vida cotidiana en la zona norte de España,aislando pueblos durante varios días, deberíanservir para entender la importancia de una gestiónintegral de la capacidad de reanudación de suministrosy servicios imprescindibles.Aunque otros acontecimientos crean la aparienciade que las mayores amenazas a la protecciónde los ciudadanos provengan de acciones deliberadasde gran impacto (terrorismo y sabotajeinformático), lo cierto es que lo que ahora denominamos“continuidad de negocio” tiene mucho másque ver con lo que históricamente se ha venido denominandoen España “protección civil” y la capacidadde reanudar el abastecimiento de recursosvitales ante cualquier interrupción circunstancial.Esta capacidad de reanudación (que ahora se denominaresiliencia) no se puede improvisar. Requiereque las organizaciones proveedoras se doten demedios alternativos que sustituyan a los que habitualmenteproporcionan estos suministros o serviciosy que puedan haberse perdido, temporal o definitivamente,ante circunstancias extraordinarias.Además, deben comprobar regularmente que estosmedios alternativos están listos para ser utilizadosen cualquier momento bajo la dirección de los equiposde gestión de crisis encargados de reanudar lossuministros o servicios interrumpidos; posiblemente,en coordinación con las autoridades e, incluso,con competidores en circunstancias normales peroque son los únicos que pueden aportar medios muyespecializados ante un incidente grave.La privatización de muchos suministros y serviciosesenciales para la población hace imprescindiblela existencia de sistemas de gestión de la continuidadde negocio, potencialmente auditables porterceros independientes, tanto en el ámbito públicocomo en la empresa privada, que garanticen que losproveedores más resilientes no son injustamentecomparados con otros que, ante circunstancias excepcionales,no tienen la misma capacidad de compromisocon sus beneficiarios o clientes.