Español
English 
Deutsch 
日本語 
Hrvatski 
Português 
This entry was posted on Monday, February 21st, 2011 at 20:59 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.
Según diversas fuentes, la principal norma sobre continuidad del negocio BS 25999-2 será reemplazada por la norma internacional ISO 22301 hacia fines de 2011. (Actualización: la nueva fecha programada es para junio o julio de 2012) Este tipo de transiciones es normal; lo mismo sucede con la mayoría de las normas de gestión, como sucedió, por ejemplo, con la ISO 27001, que en 2005 sustituyó a la BS 7799-2. Entonces, ¿cuáles son los principales cambios que introducirá la ISO 22301 en comparación con la BS 25999-2?
Una aclaración importante al respecto: como la ISO 22301 aún no ha sido publicada, la versión final de la norma todavía no existe; por lo cual, algunas de las cosas que he escrito aquí podrían no estar en dicha versión. Estoy utilizando una versión preliminar publicada en el sitio Web BSi Draft Review en febrero de 2011.
La ISO 22301 tendrá el siguiente título: ISO 22301, Seguridad de la sociedad: Sistemas de continuidad del negocio. Requisitos. Aunque “seguridad de la sociedad” pueda sonar un poco extraño en el contexto de continuidad del negocio, veamos cómo lo define ISO: “…estandarización en el área de seguridad de la sociedad, orientada a incrementar las habilidades en gestión de crisis y continuidad del negocio; por ejemplo, a través de mayor interoperatividad técnica, humana, organizativa y funcional, como también concienciación situacional compartida entre todas las partes interesadas”.
A primera vista, es evidente que la estructura de la ISO 22301 es muy diferente a la de la BS 25999-2; aunque todos los elementos básicos de esta última, sí están incluidos en la ISO 22301.
Veámoslo con mayor profundidad.
Semejanzas…
La mayor semejanza es que todos los elementos principales de continuidad del negocio de la BS 25999-2 también estarán presentes en la ISO 22301: política de continuidad del negocio, análisis del impacto en el negocio, evaluación de riesgos, estrategia de continuidad del negocio (en ISO 22301 se denominará “opciones de continuidad del negocio”), planes de continuidad del negocio, prueba y verificación, etc.
El Análisis del impacto en el negocio probablemente sea dividido en varios puntos y demandará mayor precisión. Los requisitos para los planes de continuidad del negocio, incluidos los procedimientos de respuesta y los planes de recuperación, también están mucho más detallados; por ej., la parte de comunicación.
La parte de gestión de la BS 25999-2 también será transferida a la nueva norma: control de documentos, auditoría interna, revisión por parte de la dirección, medidas correctivas y preventivas, gestión de recursos humanos, etc. (una aclaración, estos elementos están presentes en todas las otras normas de gestión: ISO 9001, ISO 14001, ISO 27001…).
Sin embargo, la documentación será denominada “información documentada”, y a las medidas preventivas se les dará el nombre de “medidas para atender incidentes e inquietudes”.
…y diferencias
En la ISO 22301, el modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA, por sus siglas en inglés), en comparación con la BS 25999-2, está desarrollado con menos claridad aún; a pesar de que la BS 25999-2 no es tan clara como la ISO 27001 sobre este punto.
La ISO 22301 obviamente pondrá mucho más énfasis en establecer los objetivos, en verificar el rendimiento y en las mediciones; acercando, de esta forma, la continuidad del negocio a la forma de pensar de la alta dirección.
Siguiendo esa línea, la ISO 22301 instala expectativas más definidas en relación a la gestión y las resume en una única sección.
La ISO 22301 solucionará una de las falencias de la BS 25999-2 y demandará una planificación y preparación de recursos para asegurar la continuidad del negocio mucho más detallada ya que esos requisitos ahora son más extensos y están estructurados con mayor claridad.
Por último, lo que será distinto de la ISO 22301, por ser una norma internacional, es que las entidades de certificación serán mucho más exigentes en su certificación, por lo cual obtendrá más reconocimiento con mayor rapidez.
Como conclusión, se puede afirmar que todos los elementos básicos de de la BS 25999-2 probablemente estén incluidos también en la ISO 22301; sólo que en ésta, serán más precisos y exigentes. Las organizaciones que ya han implementado la BS 25999-2 y deseen “actualizarse” a la ISO 22301, deberán prestar mayor atención a los detalles y deberán invertir más tiempo en la preparación y mantenimiento de sus sistemas. Por otro lado, la ISO 22301 seguramente les ayudará a potenciar su nivel de resiliencia y de credibilidad; lo mismo que sucedió con la ISO 27001 seis años atrás, cuando reemplazó a la BS 7799-2.
This post is also available in: Inglés, Alemán, Japonés, Croata, Portugués, Brasil
