¿Para qué una 'Política de Continuidad del Negocio'? #BusinessContinuity

-
La cláusula 5.2 del estándar ISO 22301 establece que “the BCMS is compatible with the strategic direction of the organization”. En un reciente artículo de Dejan Kosutic, se concluye que uno de los mecanismos que nos permiten lograrlo es contar con una política o directiva que —formalmente documentada y aprobada— sirva de enlace entre la alta dirección y el programa de continuidad del negocio.
¿Para qué?

  • En primer lugar, la alta dirección deberá definir lo que quiere lograr con la continuidad del negocio —nadie le toma importancia a aquello que no desea—. En muchos casos, los altos ejecutivos no tienen idea de cómo la continuidad del negocio puede ayudar a sus empresas, por lo que no encuentran ninguna razón (motivación) para dar soporte —ni muchos menos para auspiciar— las iniciativas y esfuerzos relacionados con el programa de continuidad.
  • En segundo término, la alta dirección necesita un documento fácil de entender, y que le permita controlar todo lo que sucede dentro del programa. Ellos no necesitan conocer los detalles —de la evaluación de riesgos o del análisis de impacto—; lo que sí necesitan es saber quién es responsable del programa y qué esperar de éste.


¿El cómo?
  • La política debe definir el marco de trabajo para establecer el alcance y los objetivos de la continuidad del negocio en la organización —a partir de su naturaleza y sus propios objetivos estratégicos—. Debe definir cómo se proponen, aprueban y revisan estos objetivos.
  • Debe mostrar el compromiso de la alta dirección para con el cumplimiento de los requerimientos de todos los grupos de interés, y con el mejoramiento continuo del programa de continuidad —a través de algún tipo de declaración (statement)—.
  • Debe ser comunicada al interior de la compañía, pero también —si fuese conveniente— a los grupos de interés. Debe definirse un responsable para esta comunicación permanente.
  • La política debe ser revisada periódicamente —debe designarse esta responsabilidad—.
  • Deben definirse las responsabilidades de los componentes (momentos) clave de la gestión de continuidad del negocio —por ejemplo, quién es responsable de las operaciones y la coordinación del día-a-día, quién es responsable en el nivel ejecutivo, etc.—.
  • Debe quedar claro la forma de medir el logro de los objetivos de la continuidad del negocio, a quién se le reporta, con qué periodicidad, etc.

 Fuente:
Kosutic. D. (2013, junio). The purpose of Business continuity policy according to ISO 22301. ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/2013/06/04/the-purpose-of-business-continuity-policy-according-to-iso-22301/

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más