22 mayo 2012

Publicada la nueva ISO 22301:2012

El pasado 15 de Mayo se llevó a cabo la publicación oficial de la nueva ISO 22301:2012, el esperado estándar que recoge los requisitos que debe cumplir un sistema de gestión de la continuidad del negocio. Esta norma, que viene a ser la evolución internacional de las normas BS 25999 -2:2007 / UNE 71599-1:2010, determina los requisitos que debe cumplir cualquier organización que quiera desarrollar un sistema capaz de gestionar de manera eficaz incidentes "graves" capaces de poner en riesgo su continuidad operativa.

La norma desarrolla, a lo largo de 7 apartados (aparte de los clásicos de introducción, referencias y terminología), los requisitos que debe cumplir un SGCN (Sistema de Gestión de la Continuidad del Negocio) en cada uno de sus ámbitos (contexto de la organización -alcance-, liderazgo -responsabilidades de la dirección-, planificación, soporte -designación de recursos-, operación, evaluación y mejora). Contiene todos los elementos de cualquier Sistema de Gestión ISO, aunque se echa de menos una mejor alineación con el marco de referencia desarrollado por ISO para los sistemas de gestión, al que sí se aproximan otras normas más veteranas.

Aunque no deja de ser una buena noticia, le sigo viendo un problema de base. ¿Podemos hablar de continuidad de negocio cuando sólo nos centramos en gestionar riesgos operativos? ¿Qué ocurre con otro tipo de riesgos (financieros, de mercado, regulatorios) que también son parte del negocio? Desde mi punto de vista, creo que el alcance de esta norma es, en sí mismo, su principal hándicap: demasiado grande para las consultoras de TI (que son principalmente las que han impulsado los SGCN hasta la fecha) y demasiado pequeño para las empresas de consultoría estratégica, que centran su actividad en otro tipo de riesgos. Pero los que realmente tienen que asumir los principios de este nuevo estándar son las empresas en general. ¿Cómo lo acogerán? ¿Verán claras sus ventajas? ¿O seguirán sin tenerlo claro? Lo veremos con el paso del tiempo...

4 comentarios:

Servicios informaticos para empresas dijo...

Cada vez es más fundamenta contar con un plan de continuidad del negocio, que garantice la prestación de los servicios en todo momento. Saludos.

Joseba Enjuto dijo...

Personalmente, no creo que tener un plan de continuidad del negocio garantice la prestación de los servicios en todo momento. Ayudar ayuda, pero garantizar...

Saúl dijo...

Creo que no garantiza, es más para reducir el impacto de un posible "incoveniente".

Joseba Enjuto dijo...

Efectivamente. De hecho, "garantizar" y "continuidad" son dos términos que no terminan de llevarse bien.