¿Para qué una 'Política de Continuidad del Negocio'? #BusinessContinuity

La cláusula 5.2 del estándar ISO 22301 establece que “the BCMS is compatible with the strategic direction of the organization”. En un reciente artículo de Dejan Kosutic, se concluye que uno de los mecanismos que nos permiten lograrlo es contar con una política o directiva que —formalmente documentada y aprobada— sirva de enlace entre la alta dirección y el programa de continuidad del negocio.
¿Para qué?

  • En primer lugar, la alta dirección deberá definir lo que quiere lograr con la continuidad del negocio —nadie le toma importancia a aquello que no desea—. En muchos casos, los altos ejecutivos no tienen idea de cómo la continuidad del negocio puede ayudar a sus empresas, por lo que no encuentran ninguna razón (motivación) para dar soporte —ni muchos menos para auspiciar— las iniciativas y esfuerzos relacionados con el programa de continuidad.
  • En segundo término, la alta dirección necesita un documento fácil de entender, y que le permita controlar todo lo que sucede dentro del programa. Ellos no necesitan conocer los detalles —de la evaluación de riesgos o del análisis de impacto—; lo que sí necesitan es saber quién es responsable del programa y qué esperar de éste.


¿El cómo?
  • La política debe definir el marco de trabajo para establecer el alcance y los objetivos de la continuidad del negocio en la organización —a partir de su naturaleza y sus propios objetivos estratégicos—. Debe definir cómo se proponen, aprueban y revisan estos objetivos.
  • Debe mostrar el compromiso de la alta dirección para con el cumplimiento de los requerimientos de todos los grupos de interés, y con el mejoramiento continuo del programa de continuidad —a través de algún tipo de declaración (statement)—.
  • Debe ser comunicada al interior de la compañía, pero también —si fuese conveniente— a los grupos de interés. Debe definirse un responsable para esta comunicación permanente.
  • La política debe ser revisada periódicamente —debe designarse esta responsabilidad—.
  • Deben definirse las responsabilidades de los componentes (momentos) clave de la gestión de continuidad del negocio —por ejemplo, quién es responsable de las operaciones y la coordinación del día-a-día, quién es responsable en el nivel ejecutivo, etc.—.
  • Debe quedar claro la forma de medir el logro de los objetivos de la continuidad del negocio, a quién se le reporta, con qué periodicidad, etc.

Fuente:
Kosutic. D. (2013, junio). The purpose of Business continuity policy according to ISO 22301. ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/2013/06/04/the-purpose-of-business-continuity-policy-according-to-iso-22301/

Comentarios

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

Repasando el MTPD (o período máximo tolerable de interrupción)