¡Implementa la Continuidad del Negocio con Kahuna APP! Aquí te contamos todo sobre ISO 22301 Sistemas de Gestión de Continuidad del Negocio.

Hoy vamos a hablar de un tema que muchas empresas se han planteado como consecuencia de la pandemia de COVID-19, ya que tuvieron que buscar una salida a la hora de reinventar su negocio.

Es de común acuerdo que hubo varias organizaciones que no estaban preparadas para migrar a lo digital o permanecer cerradas por mucho tiempo ya que su actividad quizás no era ‘esencial’ y debieron reinventarse para darle continuidad al negocio.

Por eso, en el día de la fecha vamos a estar hablando de la norma ISO 22301 Sistemas de Gestión de la continuidad del negocio.

Y como siempre, tenemos un invitado muy especial, experto en la materia que nos ayudó a despejar un montón de dudas relacionadas a esta norma y cómo las organizaciones podrían beneficiarse de ella.

Ahora sí, le doy formalmente la bienvenida a Fabián Descalzo*, nuestro invitado especial de hoy.

Bueno para comenzar, en el día de hoy vamos a hablar de la norma ISO 22301 Continuidad del Negocio y te voy a hacer la primera pregunta:

¿Cuál es principalmente la esencia de la norma ISO 22301 Continuidad del Negocio?

La esencia en sí de la norma es identificar aquellos requisitos que son necesarios para que cualquier compañía asegure que todos sus procesos críticos de negocio puedan ser recuperados frente a una contingencia.

Asimismo, busca que esos procesos puedan estar disponibles tanto para sus clientes, proveedores o cualquier otra compañía que deba acceder a ellos.

Para conseguir este objetivo, la norma tiene un enfoque orientado a la resiliencia, haciendo un mayor énfasis aquellas actividades relacionadas a la preparación y mantenimiento de las acciones y los recursos que se van a utilizar durante y después de una contingencia.

¿Cuáles pueden ser estas actividades? Por ejemplo el diseño, desarrollo y mantenimiento de documentación, procedimientos, manuales, respuestas específicas a determinados incidentes.

También es importante destacar que los incidentes pueden ser del tipo fabriles, relacionados a una explosión, industriales, de producción o más ligados a incidentes de seguridad y ciberseguridad, por ejemplo en el ámbito de la tecnología.

Diría incluso hasta con los recursos humanos o personal adicional que se requiera frente a una contingencia o personal mínimo que se necesita para trabajar en esta situación. 

La norma asimismo prevé también el hecho de establecer un programa de pruebas y verificaciones sobre estos procedimientos alternativos.

El principal objetivo es el de dentificar aquellos requisitos que son necesarios para que cualquier compañía asegure que todos sus procesos críticos de negocio

Primero, ¿nos podrías comentar el concepto de resiliencia?

Es un concepto que empezó a emplearse principalmente desde la parte humana y personal, por el hecho de hacer frente a una situación adversa. 

Los primeros que empezaron a trabajar con este concepto fueron los psicólogos, desde el punto de vista humano.

Este concepto nació en los años 50 y al principio se pensaba que la resiliencia venía con las personas, es decir que no cualquiera podría ser resiliente o tenía la capacidad de sobreponerse a una pérdida o un tipo de situación en particular.

Después, con el tiempo, se conoció que las personas eran capaces de prepararse para ser resilientes. A través de sesiones de terapia o aprender de los errores, ayudaba a cambiar esta situación en las personas.

Lo mismo sucedió para las organizaciones: poder conocer el contexto y cómo utilizarlo en pos de las compañías las hizo resilientes. 

Es por eso que el sentido de la norma y el por qué orientarse a la resiliencia ayuda a que las organizaciones estén preparadas para hacer frente a una situación adversa.

Esta situación adversa le sucede a todas las áreas de la organización?

Los riesgos están enfocados en los procesos críticos de la organización y no necesariamente tiene que abordarla en su totalidad.

De hecho, una estrategia definida puede llegar a ser ante una contingencia no hacer nada, porque dicha situación no tiene una afectación directa al negocio y porque probablemente tratar de poner en producción esta actividad generará mayor gasto que la propia detención.

En conclusión, no necesariamente se aplica a toda la organización o todos los procesos, sino que se focaliza en aquellos que son críticos.

Los riesgos están enfocados en los procesos críticos de la organización y no necesariamente tiene que abordarla en su totalidad.

¿Qué aspectos se evalúan en una auditoría?

Desde el punto de vista de las auditorías se tiene como primera instancia la aplicabilidad de todos los requisitos de la norma, por eso estamos certificando y siguiendo el Sistema de Gestión basado en la ISO 22301.

Desde el punto de vista de los especialistas en Continuidad del Negocio, el principal foco está en cómo la compañía ha interpretado cada uno de los requisitos para hacerlos aplicables. 

Esta parte del entendimiento es muy importante, porque no solo dependerá de las distintas definiciones que establece la organización, sino que se especifican las pautas de cómo capacitar internamente a los diferentes grupos de interés.

Los grupos de interés son los directores, los usuarios finales, el personal técnico, de tecnología, o mandos medios, por ejemplo. 

Cada uno tiene diferentes aspectos y responsabilidades dentro del Sistema de Gestión de Continuidad del Negocio que se deben tener en cuenta al momento de delinear los requisitos.

Incluso más, los actores de interés deben tener una doble preparación: en circunstancias normales y en contingencias. 

Esto significa que para poder ser resiliente y estar listo ante una situación adversa, se deben generar los recursos necesarios y las capacitaciones para saber utilizar las herramientas disponibles y hacerle frente a la contingencia.

Todo esto trae aparejado muchos otros conceptos importantes de continuidad, como la necesidad en la gestión de proyectos, el análisis y mitigación de riesgos, la preparación y respuesta a incidentes, etc.

De alguna manera, si las compañías manejan estos conceptos en su totalidad, mejora la cultura interna y la madurez de la empresa, que justamente es lo que le dará mayor resiliencia.

¿Cómo se elige a la persona adecuada?

No se seleccionan a las personas por su idoneidad, sino que es al revés. 

Se deben preparar a todas las personas que ejecutan procesos críticos de la organización para poder desarrollar el rol que le toque dentro de la contingencia de la manera que requiere la organización.

Es decir, no se elige a una persona porque sea idónea para la continuidad, sino para que ejecute las mismas tareas pero en modo contingencia. Esa persona debe recibir la capacitación en continuidad.

¿Creés que las organizaciones certificadas en ISO 22301 estaban mejor paradas a la hora de sobrellevar la pandemia?

Sí, obviamente porque se han preparado con anticipación y de hecho aquellas que se han certificado maduraron notablemente y se supieron manejar dentro de los conceptos de resiliencia.

En algunos casos seguramente hayan tenido que modificar sus procesos o protocolos por el tipo de contingencia.

Muchas compañías durante el 2020 hicieron home office y lo que muy pocos pensaron es que en realidad no se estaba haciendo home office, sino que se estaba trabajando en contingencia desde la casa.

Desde ese lugar, el objetivo está en hacer ver el nuevo enfoque para que la gente pueda tener una mejor preparación y sensibilidad respecto de las cosas que hace trabajando desde su casa con los sistemas de la compañía, etc.

En conclusión, las empresas que estaban certificadas en Continuidad del Negocio antes de la pandemia sí estaban mejor preparadas y todo esto ayudó más todavía a encontrar oportunidades de mejora y fortalecer los negocios.

El objetivo está en hacer ver el nuevo enfoque para que la gente pueda tener una mejor preparación y sensibilidad respecto de las cosas que hace trabajando desde su casa

¿Quién se iba a imaginar que iba a haber una pandemia?

Diría más, en el antes y el después de la pandemia, una de las preguntas que yo le hacía a nuestros clientes era: ¿cuántos pusieron en sus mapas de riesgos los relacionados a esta situación?, ¿cuántos incluyeron una pandemia y qué medición le habrían dado?

Después, ¿cuántos documentaron lo que hicieron durante la pandemia para poder mitigar el riesgo y poder volver a operar?

La verdad es que la documentación da previsibilidad.

Y con esto llegamos a una conclusión: si no somos metodológicos y si no pensamos de forma metodológica, vamos a vivir resolviendo incidentes y volviendo a ver cómo se resuelve algo por no haber documentado la etapa anterior.

¿Cuántas organizaciones empezaron con su proceso de certificación después de la pandemia?

Muchas optaron por formalizar todo lo que tenían como un proceso de continuidad. 

Formalizarlo es hacer un trabajo más serio respecto a un análisis de impacto al negocio, llevar algún tipo de implementación interna.

También lo que se movió mucho fueron los cursos relacionados a la implementación del sistema de gestión. Las organizaciones estuvieron más enfocadas en mejorar lo que tenían para posteriormente implementarlo de forma efectiva.

El próximo paso que tenemos como meta es que las organizaciones entiendan lo importante de la certificación para asegurarse de la mejora continua y de una metodología continua.

Si no somos metodológicos y si no pensamos de forma metodológica, vamos a vivir resolviendo incidentes y volviendo a ver cómo se resuelve algo por no haber documentado la etapa anterior.

¿En qué otros aspectos puede ayudar esta norma a las organizaciones?

Sabemos que para desarrollar un plan de continuidad lo que hace falta es hacer un análisis de impacto al negocio, revisar riesgos y probabilidades y poder establecer y analizar diferentes impactos, sean tangibles o intangibles.

Este análisis le sirve mucho a las organizaciones para poder trasladarlo a otro tipo de estrategias relacionadas con la gestión de proyectos, riesgos en particular o para tener mejor calidad de información dentro de la empresa.

Las estrategias, por ejemplo, ligadas a las finanzas, tienen un impacto económico y operativo realmente importante, porque inclusive la empresa podría ahorrarse dinero si el análisis de impacto está bien desarrollado.

Te propongo un ejemplo: si yo tuviera el riesgo de pérdida de datos y podría tomar como un proceso clave la asignación de presupuestos para los backups, sería factible pronosticar la metodología de los presupuestos asignados a tecnología, cómo se están resguardando los datos, etc.

¿Por qué es importante que las empresas estén certificadas en ISO 22301?

El hecho de poder asegurar de una forma metodológica la continuidad del negocio es uno de los aspectos clave, porque estando certificadas y recibiendo auditorías externas, tendrán una mejor visión de cómo están trabajando en su resiliencia y cuán realmente preparados están para la continuidad.

Eso es lo que básicamente hace el reporte de un auditor cuando brinda el resultado de una auditoría o su recomendación para que renueves la certificación.

En conclusión, se asegura el negocio.

¿Cualquier empresa puede certificar esta norma?

Esta norma es para cualquier tipo de empresa y rubro, no hay limitaciones ya que es aplicable a cualquier tipo de procesos, tanto tecnológicos, industriales, financieros, etc.

De hecho, todos deberíamos pensar en cómo diseñar nuestras estrategias de continuidad frente a determinados tipos de riesgos.

Por ejemplo, los americanos han desarrollado mucho todo lo que tiene que ver con la continuidad en el negocio, principalmente por los problemas que han tenido y tienen con tornados o desde el punto de vista del entorno.

Hay una entidad que se llama FEMA, que es la Agencia Federal del Manejo de Emergencias, que es una entidad de Estados Unidos, la página es www.fema.gov.

Quienes entren a esta web, podrán ver que diseñan o tienen las bases para poder desarrollar un plan de contingencias hogareño o para entidades de estudio, escuelas, universidades, hasta para iglesias o sitios de culto.

Cómo aprovisionarse de agua, alimentos, etc. Lo mismo que piensan en organizaciones, lo bajan al nivel de la comunidad. 

Por lo tanto, la norma puede ser aplicable a cualquier tipo de organización, a cualquier tipo de procesos, ya que no es una norma técnica y apunta principalmente a lo que tiene que ver con la sociedad, no es únicamente para organizaciones.

Todos deberíamos pensar en cómo diseñar nuestras estrategias de continuidad frente a determinados tipos de riesgos.

Súper interesante lo que aprendimos hoy, muchas gracias por tu tiempo y participación en el programa.

Gracias por esta invitación, y por el espacio para que este tipo de experiencias se puedan transmitir y cada vez haya más gente que se sume tanto para aplicarlo o para enseñar a llevarlo adelante.

Implementa la Continuidad del Negocio con Kahuna APP

Con Kahuna APP es posible llevar adelante un mapa de riesgos y así poder determinar las acciones a seguir según las especificaciones de la norma ISO 22301 Sistemas de Continuidad del Negocio.

Esto es debido a que Kahuna APP se adapta perfectamente a la estructura de alto nivel de las normas ISO, permitiendo integrar en una misma plataforma una o más normas de forma simultánea con el fin de ganar tiempo a la hora de pasar por auditorías, controles o cuaqueir tarea que esté relacionada al Sistema de Gestión o cualquier tipo de flujo de trabajo.

Si quieres conocer más de nuestra herramienta, ingresa aquí

¡No te olvides de seguirnos en Redes Sociales!

https://facebook.com/APPKahuna

https://instagram.com/APPKahuna

https://linkedin.com/company/APPKahuna

* Fabián es d??????? ?? ??? ????????? ???? ?? ????????????? ?? ???????? ???????́????? ?? ?? ???????? ??????? ???? ???????? ???????? (????), ?? ?????????, ????? ??? ??????????. Posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.  Asimismo es Miembro Titular del Comité Directivo y Presidente de la Comisión de Educación de ISACA, Miembro del Comité Académico del “Cyber Security for Critical Assets LATAM” para Qatalys Global y Miembro del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers). Y por si no fuera poco, también es Docente del Diplomado Universitario en Accounting Tech en la Universidad Argentina de la Empresa, Docente de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA) y Docente en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.