ISO 22301

En la actualidad es inmensa la cantidad de información que llega a nuestro entorno. Por ello, es aconsejable fijar una serie de directrices para lograr administrar la información correctamente. La ISO 22301 en español te ayuda a la hora de administrar correctamente la información que llega a la organización. Puedes conocer más acerca del contenido de la norma ISO 22301 haciendo clic aquí.

Es importante conocer qué tipo de documentos se deben conservar y cuales es necesario eliminar para la mejora de los sistemas de gestión. Siempre surge la duda de cuales puede ser necesario conservar temporalmente debido a cuestiones legales. Un mayor porcentaje de organizaciones se inclina por conservar prácticamente toda la información posible. En muchos casos, la información que se almacena no es necesaria y puede ser eliminada.

Una realidad es que el hecho de eliminar información produce estrés. Por ello, la línea de actuación que se sigue es continuar almacenando información innecesaria en la organización. Además, esta situación se incrementa debido al avance tecnológico y a la posibilidad de conservar la información en los servidores.  Como resultado, es importante contar con una gran capacidad de almacenamiento para abordar esta necesidad.

Sin embargo, no debemos perder de vista que el almacenamiento innecesario de información puede convertirse en un gran problema. Esto puede provocar un perjuicio en las actividades informáticas rutinarias de la organización. Puesto que no debe conservarse la información únicamente, sino que además deben hacerse copias de seguridad.

Soluciones cotidianas

No se puede negar que las soluciones más adecuadas para este tipo de conflicto deben tratarse desde un punto de vista tecnológico y humano. Por ello, la ISO 22301 es una herramienta de gran utilidad para gestionar la información eficientemente.

Una de las prácticas más comunes para empezar a atajar esta problemática es definir una normativa y una política a través de la cual sea obligatorio eliminar todo aquel correo electrónico que no sea necesario. Los correos en copia son un ejemplo de correo innecesario pues normalmente no nos afectan directamente y son prescindibles.

Otra medida a llevar a cabo es desarrollar una categorización de datos. De esta manera puede accederse a la información que se intercambia con los clientes rápidamente. Esto favorece la toma de decisiones a la hora de decidir eliminar o mantener algún tipo de información concreta.

#ISO22301 hace más eficiente el mantenimiento de la gran cantidad de información
Click To Tweet

Al igual que es importante tomar medidas en relación al campo tecnológico, no debemos perder de vista el factor humano. Tiene incidencia en todo el proceso ya que está dirigido y actúa en relación a la política que se haya determinado previamente. Es decir, se pone a disposición del personal de la organización la herramienta a través de la cual decidir si eliminar o conservar la información. Se trata de una cuestión imprescindible para establecer en la organización una cultura de responsabilidad. Así como para corregir la filosofía o la rutina de conservación total de la información que se genera.

Amenazas internas

La organización no solo puede verse afectada por un conjunto de amenazas externas a sí misma, sino que también necesita defenderse de un grupo de amenazas a nivel interno. Es decir, amenazas dentro de la propia organización. Entre este tipo de amenazas encontramos las siguientes:

• Personal de la organización y contratistas. En este grupo podemos incluir a cualquier persona que haya formado parte de la plantilla de la organización recientemente. En ocasiones ese resentimiento puede llevar a cometer algún tipo de acción con el objetivo de hacer daño. Este daño puede ir dirigido a las infraestructuras tecnológicas de la información o incluso a la propia información crítica de la organización. Los trabajadores deshonestos pueden abusar de sus privilegios para su beneficio propio.
• Comportamientos accidentales o infracciones causadas por la propia plantilla. Las acciones que ponen en peligro la infraestructura de la tecnología de la información y la información crítica. Bien puede ser por la instalación de un software que no se encuentre autorizado o por abrir archivos adjuntos que contengan virus, accidentes fortuitos, divulgar información sensible de la organización o cualquier otra causa.
• Espionaje corporativo. Existen piratas informáticos que a veces pagan a los empleados para robar información de carácter relevante. Normalmente el tipo de empleados que llevan a cabo estas actuaciones son empleados de bajo perfil o contratistas eventuales.

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.

La entrada La norma ISO 22301 en español te ayuda a administrar la información en la organización se publicó primero en ISOTools Perú.

ISO 22301

Cuando un consultor está iniciando su carrera, seguramente tenga numerosas dudas a la hora de llevar a cabo su primer trabajo de consultoría para aplicar la ISO 22301. A continuación, vamos a ver los pasos que se deben seguir.

Pasos antes de empezar el proyecto

Al ser el primer trabajo, es normal que no se posean todos los conocimientos necesarios para aplicar la ISO 22301, por lo que es recomendable prepararse todo lo posible.

Como punto de partida debemos conocer que existen distintas plantillas para las políticas, los procedimientos y los planes, además del trabajo de consultoría. Después debemos garantizar que se establecen todas las expectativas. A continuación, debemos garantizar que se establezcan las expectativas correctas del cliente, determinar quién ejecutará el proyecto, quien organizará las reuniones, quién llevará a cabo las entrevistas y análisis, quién escribirá la documentación, etc. Lo más recomendable es documentar todo como parte de la propuesta de consultoría, o como parte del contrato de consultoría.

A continuación vamos a ver algunas recomendaciones sobre quién debe hacer qué en la sección siguiente, pero desde el primer momento debe quedar clara una cosa: el consultor externo no puede ejecutar el proyecto. El director del proyecto debe ser alguien de la propia organización, él o ella deben de conocer muy bien a los empleados, los procesos y las maneras específicas de hacer las cosas en la organización. Una de las cosas más importantes es que el jefe del proyecto tenga la autoridad suficiente para poder avanzar en el proyecto cuando sea necesario, y esto es una labor que no puede realizar el consultor externo.

En último lugar, el elemento esencial y más importante para lograr conseguir el éxito del proyecto es el apoyo de la alta dirección de la organización, siendo un apoyo real, tanto como soporte teórico, como económico, recursos humanos y la voluntad de eliminar los obstáculos que puedan ir apareciendo. Para obtener el proyecto, el director del mismo debe presentar cada uno de los beneficios que el proyecto aportará.

#ISO22301: Cómo llevar a cabo la primera auditoría
Click To Tweet

Pasos durante la ejecución

Para empezar se debe desarrollar un plan del proyecto. Los pasos de la aplicación se vienen determinados por la ISO 22301, puesto que se escriben de manera secuencial. Se deben destacar las mejores prácticas acerca de cómo se debe dividir el trabajo entre consultor y cliente:

• Gestión de proyectos. Será parte del cliente del trabajo.
• Organizar las reuniones. Esto es parte de la gestión de proyectos, de nuevo, es el trabajo del cliente.
• Quien realiza las entrevistas. Esto será frecuentemente trabajo del consultor, ya que necesita información para escribir los documentos.
• Quien realiza el análisis. El consultor será la persona encargada de tomar los controles particulares.
• La escritura y la revisión de los documentos. Debe escribir los documentos, solicitar la participación del  cliente de manera activa en la revisión de los mismos. De esta forma se consiguen las reglas adecuadas, además del compromiso de los empleados.
• La aprobación de los documentos. Es una tarea de la alta dirección.
• Garantizar que se implementen las políticas y los procedimientos. El cliente debe hacerlo con el apoyo del jefe del proyecto.

Para finalizar, podemos establecer dos consejos más sobre cómo realizar la aplicación más exitosa:

• En primer lugar, se debe recomendar que el cliente apruebe y aplique los documentos uno por uno. Podemos encontrar organizaciones que aprueban 20 políticas y procedimientos en el mismo día, lo que provoca que más tarde se observe que los empleados no son capaces de asimilarlas todas a la vez.
• En segundo lugar, se deben organizar distintas sesiones de formación y sensibilización en paralelo con la publicación de los documentos. De esta manera, la organización es capaz de transmitir a sus empleados no sólo cómo llevar a cabo ciertas actividades de seguridad del negocio, sino también por qué se necesitan.

Pasos después de la implementación

Cuando finalice el proyecto debe entregarse una presentación a la alta dirección, con el objetivo de demostrar cómo se ha llevado a cabo con éxito, y el cumplimiento de todas las expectativas previamente definidas.

Muchas cosas pueden fallar en un proyecto como este. La falta de compromiso de la alta gerencia es un ejemplo de causa que no puede corregirse en los proyectos. Si ellos no llegan a comprender el proyecto lo suficientemente bien, no van por lo tanto a invertir en él, por lo que el proyecto puede estancarse.

No es suficiente conseguir un contrato con su cliente, usted tiene que vender la idea a la alta dirección, incluso antes de comenzar con la implementación de la norma ISO 22301.

Software ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del Sistema de Gestión de Continuidad de Negocio basado en la norma ISO 22301. Se trata un software de sencilla implantación y funcionamiento, de estructura modular que permite la integración de la ISO 22301 con otras normas, como pueden ser la ISO 9001, ISO 14001 y OHSAS 18001.

La entrada ISO 22301: Cómo llevar a cabo la primera consultoría se publicó primero en ISOTools Perú.

ISO 22301

La norma ISO 22301 es una posible solución a los imprevistos que puedan aparecer en un determinado momento en la organización y que puedan poner en alerta la continuación de la misma.

Los planes de recuperación del negocio deben ser revisados y aprobados con frecuencia para:

• Incorporar y tener en cuenta todos los tipos posibles de amenazas.
• Analizar la independencia de los procesos.
• Incorporar los factores clave.
• Involucrar a todas las organizaciones y empresas considerando la importancia del apoyo de todos los empleados.

Desarrollo de una normativa internacional

Tras los acontecimientos traumáticos sufridos en los últimos años por las organizaciones a nivel general, se ha promovido el desarrollo de una fuerte normativa a nivel mundial por parte de las organizaciones para fomentar la toma de conciencia ante la necesidad, por ello deberán estar listos para vencer el posible impacto de incidentes que pueden detener la actividad de la organización.

Como respuesta a esta necesidad se puede llevar a cabo la implantación de la norma ISO 22301 que asegura la continuidad de negocio de la organización de manera normalizada y estandarizada. A través de un Sistema de Gestión de Continuidad de Negocio basado en el ciclo de PHVA (Planear – Hacer – Verificar – Actuar) de mejora continua.

El esquema general que presenta la norma ISO 22301 se compone perfectamente en cualquier Sistema de Gestión de Continuidad de Negocio existente en la empresa, que se encuentra basado en el anteriormente mencionado ciclo de mejora continua.

Los requisitos esenciales de dicho Sistema de Gestión de Continuidad de Negocio pueden concretarse de la siguiente manera:

• Definir los fines y el alcance del Sistema de Gestión.
• Conservar el ciclo de mejora continua basado en el compromiso de la dirección con un compromiso de liderazgo.
• Control y revisión.
• Supervisión del sistema.
• Apoyarse en un buen sistema de documentación.

Los principales beneficios que obtendrá la organización en el momento en el que se lleve a cabo la implantación de un Sistema de Gestión de la Continuidad de Negocio eficiente se pueden concretar en:

• Protección de los intereses de los accionistas.
• Perfeccionamiento del resultado operacional de la empresa.
• Disminución de los riesgos y, por tanto, de los costes.
• Disminución del tiempo de inactividad.
• Perfeccionamiento en la competitividad.
• Aumento de la eficiencia operativa.
• Protección de los bienes materiales.
• Perfeccionamiento del cumplimiento de la legislación en relación con la seguridad y la salud.
• Mejora de la seguridad global.
• Eliminación de las acciones que se derivan de la responsabilidad empresarial.

En el momento en el que le hacemos frente a distintas amenazas de interrupción repentina de las operaciones, se debe ser capaz de responder rápida y eficazmente, puesto que se trata de un punto clave para la continuidad de un negocio.

Los desastres son imprevisibles en el tiempo, tratándose de catástrofes naturales a una gran escala, actos vandálicos o accidentes relacionados con la tecnología y sucesos ambientales.

Los riesgos se deben a diferentes causas:

• Negligencias humanas
• Ataques externos
• Desastres naturales

#ISO22301: Para garantizar la continuidad del negocio se debe responder de forma rápida y eficiente a incidente
Click To Tweet

Pero la probabilidad de que un accidente tenga lugar y de que este afecte negativamente al negocio es totalmente real.

Las amenazas inesperadas y devastadoras empujan a las pequeñas y medianas empresas a implementar la norma ISO 22301.

La experiencia de las empresas y las organizaciones revela que actualmente estas cuentan con una herramienta que les permite identificar todas las amenazas potenciales así como proteger sus operaciones y su reputación, a la vez que protegen todos los intereses de sus inversores de un accidente o desastre imprevisible.

Numerosas organizaciones no van a esperar a que tenga lugar un desastre concreto, sino que ya aplican las herramientas que ofrece la ISO 22301 para la gestión de la continuidad de negocio.

Aun siendo consciente de la gran cantidad de incidentes de seguridad que sufren los sistemas, la mayor parte de las organizaciones no se encuentran correctamente preparadas para enfrentarlos.

¿Están listos los responsables del negocio?

Según estudios, el 80% de las organizaciones sufren un incidente grave cada dos años, y dentro de las organizaciones que sufren un incidente en sus sistemas informáticos o recursos de red, el 40% no cuentan aún con un plan de respuesta implantado. Los planes de respuesta actuales son liderados por distintos departamentos de Tecnología de la Información apoyados por los recursos externos y asesores jurídicos para cumplir con las normativas vigentes actualmente.

Teniendo en cuenta las causas y el impacto que provocan las amenazas de los incidentes es cada vez más necesario el hecho de implementar respuestas más adaptadas a las empresas, que deben contar con una gran agilidad dentro de los planes formales.

El nivel de preparación se ha reducido por la falta de comprensión acerca de las amenazas. Solo el 17% de los directivos de las empresas se siente preparado para superar cualquier tipo de incidente, mientras que el 41% de los líderes de negocio saben que estarán mejor preparados dependiendo de una buena comprensión de las amenazas. Contar con un plan formal o con un equipo especialmente preparado crea un efecto significativo en el sentimiento de preparación entre los distintos ejecutivos. La mitad de las empresas declaran no ser capaces de predecir el impacto que genera un incidente en la organización. La mejora de la reputación se ve favorecida gracias a la formalización de los planes y los procesos.

Se prevé un incremento del 80% de las organizaciones que deciden implantar un plan formal y contar con un equipo especializado que sea capaz de garantizar una respuesta ante un incidente, debido a que la mayor parte de las organizaciones cree que una respuesta de manera eficiente a un incidente puede mejorar su reputación.

El 57% de las organizaciones no informan de manera voluntaria de aquellos incidentes en los que no están legalmente obligadas a hacerlo. De hecho, solo un tercio de las empresas comparte información acerca de los incidentes con otras organizaciones para divulgar mejores prácticas y comparar con su propia respuesta.

Software ISO 22301

El Software ISOTools Excellence es una plataforma tecnológica que facilita el llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio, con el objetivo de poder identificar y controlar las posibles amenazas que se producen en la organización, según la norma ISO 22301.

La entrada ISO 22301: La solución para la continuidad del negocio se publicó primero en ISOTools Perú.