¿Cuál es la documentación mínima que debe tener un Sistema de Gestión de Continuidad de Negocio (SGCN)?

[vc_row][vc_column][vc_column_text]

Documentar un sistema de Gestión de Continuidad de Negocios no es una tarea fácil, sobre todo cuando no se tiene un límite en el número de piezas que lo conformaran, es por esta razón que las organizaciones se apoyan en mejores prácticas y normas como la ISO 22301:2012, empleada por las organizaciones para regular los requerimientos de los Sistemas de  Gestión de la Continuidad de Negocio, guiando en:

• La identificación de los fundamentos de un sistema de gestión de continuidad de negocio.
• El establecimiento de procesos, principios y terminología de gestión de la continuidad del negocio.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Si bien no hay un organismo que obligue el uso de esta Norma en especial para documentar un sistema de Gestión de Continuidad de Negocios, es importante tenerla en cuenta  si la interrupción de tus actividades críticas no es una opción, por lo tanto  el apego a ISO 22301:2012 es el primer paso hacia el enfoque documental correcto.

No tienes que leer toda la norma ni ser experto en interpretarla, pero si debes tener los elementos y el conocimiento de la organización necesario para realizar una identificación de las siguientes actividades y tomar el tiempo para documentarlas.

1. Establecer un contexto de la organización

• Definir el propósito del SGCN, y este propósito debe tener un apego a los objetivos que permitan la continuidad del negocio.
• Definir los factores de riesgo, estableciendo criterios de riesgo e identificando el apetito de riesgo de la organización

2. Generar un procedimiento para la identificación de requisitos legales regulatorios

• Se debe establecer, implementar y mantener actualizado un procedimiento que permita identificar las regulaciones aplicables a la Organización, así como identificar los cambios que se produzcan.
• Se debe contemplar también la comunicación a las partes interesadas.

3. Establecer un Alcance del SGCN

• Este debe documentarse contemplándose tanto los requerimientos como las necesidades de la organización.

4. Crear y Establecer una Política de Continuidad de Negocio

• Este documento lo genera la Alta Dirección, debe ser apropiada para los objetivos de la Organización sirviendo como marco de referencia para el SGCN. La política debe ser comunicada y disponible para todas las partes interesadas.

5. Establecer Objetivos de Continuidad de Negocio

• Los objetivos de continuidad de negocio deben ser medibles y alcanzables y coherentes con la Política de Continuidad y el alcance establecido en el contexto.

6. Identificar Competencias

• Se debe garantizar que el personal dispone de la competencia para desempeñar su función, así como facilitar su capacitación, y mantener evidencias de esto.

7. Elaborar un Plan de Comunicación

• Se debe documentar a quien se comunicara una disrupción, incluyendo todas las partes interesadas.

8. Elaborar un Proceso de Análisis de Riesgos e Impacto en el Negocio

• Documento en el que se establece el contexto, criterios y evaluación de potenciales riesgos, tratamientos y salidas del proceso.

9. Elaborar el Análisis de Impacto de Negocio

• En el que se identifiquen las actividades críticas del negocio y se evalúen el impacto de no realizar dichas funciones en el tiempo, así como la identificación de RTO, RPO, MTPD, etc.

10. Elaborar los Procedimientos de Continuidad de Negocio

• Estos se derivan de la información recolectada en el BIA y RA su propósito es indicar los principales pasos a seguir por cada rol en caso de disrupción.

11. Elaborar Procedimientos de Respuesta a Incidentes

• La finalidad de estos procedimientos es dejar en claro los roles y responsabilidades de las personas involucradas, así como la metodología de gestión de los incidentes, entre otros requerimientos.

12. Elaborar Procedimientos de vuelta a la normalidad

• Una vez se ha finalizado la contingencia, la vuelta al servicio habitual debe ser lo más ágil posible en un inicio para los servicios y posteriormente para los colaboradores, elaborando una serie de procedimientos en los que se indiquen los pasos a seguir para volver a la operación normal.

13. Recolectar Resultados de monitorización y evaluación

• Dentro de un proceso de mejora continua, se recomienda realizar monitoreo de las actividades, analizarlas y evaluarlas, los resultados deben mantenerse como evidencia del proceso.

14. Recolectar Evidencia de no conformidades

• Como resultado de las no conformidades detectadas, se deben tomar las medidas para dar tratamiento a las no conformidades, registrando las acciones a tomar como evidencia.

15. Evaluar y Revisar acciones post-incidente

• Tras un incidente que detone la activación del Plan de Continuidad, se debe realizar una revisión documentada las acciones tomadas, como evidencia.

16. Plantear una Auditoría Interna

• Se deben realizar auditorías internas bajo un plan de acción. Conservando los informes como evidencia.

17. Mantener Revisiones por parte de la Alta Dirección

• La Alta Dirección debe estar involucrada revisando el SGCN bajo un plan de trabajo registrando las revisiones.

18. Detectar No conformidades y acciones tomadas

• Es recomendable mantener un registro de la evaluación de las no conformidades y las acciones que decidan tomarse.

19. Generar Resultados de acciones correctivas

• Es recomendable mantener un registro de los cambios que se generan con las auditorias y las acciones tomadas.

20. Elaborar Plan de Capacitación

• Identifica las capacitaciones que son necesarias en función a los roles y las responsabilidades plasmadas en los documentos anteriores. Sigue la planeación establecida por la organización.

21. Diseñar Plan de Pruebas

Es el ejercicio fundamental de la validez de los sistemas de gestión, con la realización de las pruebas, las organizaciones se sitúan en un estatus de madurez en la toma de decisiones frente a un evento disruptivo, los planes de pruebas constan de elementos como una planeación y entregables de sanción y acciones correctivas ante los hallazgos detectados.

22. Gestionar un Plan de Mantenimiento

• Que permita dar una revisión a la documentación de forma periódica permite garantizar que la información está acorde a los objetivos de la Organización, así como se revisan que los procedimientos estén actualizados. Por otro lado, la revisión y actualización de las pruebas y procedimientos garantiza que se dispone de información reciente en caso de que haya que activar el Plan de Continuidad.

La información presentada es una guía sobre los posibles documentos con los que una organización debe contar para tener un SGCN, esta documentación puede ser tan extensa como la organización lo requiera, no es obligatorio tener un documento para cada uno de los requisitos que solicite la Norma ISO 22301:2012, este trabajo puede simplificarse un poco al desarrollar documentos integrados, no perdiendo de vista que estos deben seguir siendo funcionales para tener una recuperación del negocio.

En cuanto a la funcionalidad de los documentos se debe mantener un equilibrio entre la cantidad de documentos y el contenido que los soporta, al final son documentos que se manejaran en una operación de negocio “critica” y deben ser simples en estructura para facilitar su operación, actualización y revisión por parte de las partes interesadas.

[/vc_column_text][/vc_column][/vc_row]