Gestión de continuidad del negocio: la revisión de la ISO 22301 y sus cambios

Monica iso, normas 0 Comments

Menos texto, más flexibilidad; menos prescriptividad, más pragmatismo, que, en pocas palabras, es la nueva versión de la norma ISO 22301 para sistemas de gestión de continuidad de negocios (BCMS). Aunque la revisión no trae cambios drásticos, la nueva versión del estándar es una mejora definitiva y traerá aún más valor para sus usuarios.

Desde su publicación inicial en 2012, la norma ISO 22301 se ha convertido en el punto de referencia internacional para los sistemas de gestión de la continuidad empresarial. Según una encuesta de ISO, más de 4000 organizaciones tienen un certificado ISO 22301.

En enero de 2019, ISO publicó la norma ISO / DIS 22301: 2019, que es un borrador de la nueva versión. Aunque puede haber cambios entre el borrador y la versión final, ya da una idea clara de qué esperar.

Las buenas noticias: los cambios son limitados

Comencemos con el punto principal: si ya tiene la certificación ISO 22301: 2012, no debería tener ningún problema con la transición. Una comparación de lado a lado muestra que no ha habido cambios estructurales importantes en el estándar.

Como la versión 2012 de ISO 22301 ya contaba con la Estructura de alto nivel, en lugar de reescribir todo el estándar, el grupo de trabajo podría centrarse en la redacción y la claridad. Muchas secciones redundantes se han reducido, las definiciones se han vuelto más consistentes y el texto se ha vuelto más lógico.

Las grandes noticias: volver a la esencia de BCM

Lo que es particularmente interesante es la cantidad de requisitos que se han reducido a su esencia. La Sección 4.1 es un buen ejemplo: mientras que la versión 2012 prescribe lo que una organización debe hacer (¡y documentar!) Para entender la organización y su contexto, la nueva versión simplemente establece la necesidad de “determinar los problemas externos e internos” sin especificar lo que esto conlleva. No dice qué aspectos deben tenerse en cuenta, ni incluye un requisito para documentar este proceso. Algo similar está sucediendo en la sección 7.4 sobre comunicación: la nueva versión es marcadamente menos prescriptiva.

Otro requisito que se ha recortado es la participación de la alta dirección (5.2). Tanto la versión anterior como la nueva requieren que la administración superior se comprometa con la política de BCM. Sin embargo, mientras que la versión anterior llegó a requerir que la administración superior “participe activamente en el ejercicio y la prueba”, la nueva versión es más pragmática en su enfoque y se enfoca en lo que realmente se necesita para mantener un sistema de gestión de la seguridad de los datos.

Otros cambios

Además de una gran cantidad de ajustes menores con poco o ningún impacto para los sitios certificados, hay algunos cambios que vale la pena destacar:

  • Uno de los pocos requisitos nuevos es la cláusula 6.3, que requiere que las organizaciones realicen cambios al BCMS “de manera planificada”. Aunque técnicamente este requisito es nuevo, el contenido de la cláusula no debería ser una sorpresa para nadie.
  • La Sección 8.2.2 sobre Análisis de impacto empresarial (BIA) ahora estipula que el BIA debe tomar categorías de impacto como punto de partida. Si bien muchas organizaciones ya están definiendo categorías de impacto en su BIA, la nueva versión de la norma lo hace obligatorio.
  • La Sección 8.3 ha cambiado su nombre de “Estrategia de Continuidad de Negocios” a “Estrategias y soluciones de continuidad de negocios”. Esto refleja el aumento del pragmatismo de la norma: el enfoque no se centra tanto en desarrollar una gran estrategia para garantizar la continuidad del negocio, sino en encontrar soluciones para riesgos e impactos específicos:

“La organización debe identificar y seleccionar las estrategias de continuidad del negocio en función de los resultados del análisis de impacto en el negocio y la evaluación de riesgos. Las estrategias de continuidad del negocio estarán compuestas por una o más soluciones “.

  • El término “apetito de riesgo” se ha eliminado de la norma. En la versión de 2012, “apetito por el riesgo” se definió como la “cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener”. El nuevo estándar, sin embargo, es correcto abolir el término. El “apetito por el riesgo” no solo es un tema subjetivo, sino que, en última instancia, también es irrelevante: lo que importa no es el riesgo que una organización está dispuesta a asumir, sino el nivel en el que el impacto de no reanudar las actividades sería inaceptable para una organización.
Cronología y transición

La nueva versión de ISO 22301 se encuentra actualmente en fase de borrador. El comité técnico responsable de la revisión espera que la norma se publique en el otoño de 2019, como ISO 22301: 2019. Después de la publicación, habrá un período de transición de tres años. Esto significaría que todos los certificados a la versión 2012 perderían su validez en el otoño de 2022.

Noticias relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *