TheSupe87 - Fotolia
Entienda los estándares de BC y resiliencia, y cómo cumplirlos
Siga estos nueve pasos para, en primer lugar, identificar los estándares pertinentes de continuidad de negocio y resiliencia y, en segundo lugar, poner en marcha un programa de cumplimiento exitoso en su organización.
El COVID-19 arroja una nueva luz sobre los estándares y regulaciones que rigen la continuidad del negocio, o BC (por sus siglas en inglés), y la resiliencia.
En la última década se ha producido un notable aumento del número de directrices de BC. Las empresas han respondido a estas nuevas normas estableciendo puntos de referencia adicionales de cumplimiento y seleccionando a empleados para que se acrediten profesionalmente como auditores de BC.
A raíz del COVID-19, el cumplimiento de los estándares de BC y de resiliencia se ha vuelto aún más importante.
Lograr el cumplimiento es esencialmente un proceso de dos pasos: En primer lugar, las empresas deben identificar qué estándares o reglamentos de BC y resiliencia son más relevantes. En segundo lugar, deben poner en marcha un programa que demuestre cómo se logra el cumplimiento.
Estándares y regulaciones pertinentes
La tabla 1 enumera algunas de las normas ISO más relevantes. Las normas aplicables dependerán de cada empresa y de los sectores a los que sirva. Los sectores bancario y financiero, por ejemplo, cuentan con normativas federales y estatales que abordan cuestiones de BC y resiliencia. Estas organizaciones pueden decidir lograr el cumplimiento de esos puntos de referencia particulares en lugar de las normas mundiales. El objetivo clave es lograr y demostrar el cumplimiento de uno o más estándares y reglamentos pertinentes.
La Tabla 2 es una lista parcial de los estándares, regulaciones y buenas prácticas de Estados Unidos desarrolladas por una serie de organizaciones, entre ellas ASIS International, National Fire Protection Association, Federal Financial Institutions Examination Council, ISACA, Financial Industry Regulatory Authority, Federal Emergency Management Agency y NIST. Disaster Recovery Journal actualiza continuamente sus prácticas generalmente aceptadas para la BC, y la serie de estándares NIST Special Publication 800 es una buena fuente de orientación sobre TI.
Pasos para lograr el cumplimiento de los estándares de BC y resiliencia
Los siguientes pasos ilustran cómo las empresas pueden lograr y demostrar el cumplimiento. La palabra clave aquí es demostrar. La confirmación del cumplimiento puede realizarse mediante documentos que indiquen cómo la organización satisface los requisitos establecidos por una norma específica. La mayoría de las normas están organizadas en capítulos, secciones, subsecciones y otros formatos de esquema. Las empresas pueden simplificar el proceso seleccionando una sección específica y describiendo después cómo se ha logrado el cumplimiento.
El objetivo principal es lograr y demostrar el cumplimiento de uno o varios estándares y reglamentos pertinentes.
- Obtenga la aprobación de la dirección para iniciar el proceso de cumplimiento de los estándares, y explicar cómo el cumplimiento beneficiará a la organización.
- Establezca un equipo que incluya representantes de varios departamentos relevantes, como BC/resiliencia, gestión de riesgos, TI, administración, finanzas, auditoría interna y RR.HH.
- Investigue estándares, reglamentos y documentos de buenas prácticas pertinentes y decida qué documentos son los más relevantes para la organización. Obtenga las versiones actuales de esos documentos.
- Informe a los miembros del equipo sobre el (los) estándar(es) seleccionado (s) para que tengan una comprensión básica de los requisitos. Si es posible, invierta más tiempo en la auditoría interna, ya que puede ser la unidad que finalmente evalúe y certifique que se ha logrado el cumplimiento.
- Considere contratar profesionales externos si la auditoría interna no puede participar en las actividades de cumplimiento. Busque proveedores que hayan sido certificados como auditores para normas específicas de BC/resiliencia, como la ISO 22301:2019. Dos organizaciones que proporcionan tales acreditaciones son el Disaster Recovery Institute International y el International Consortium for Organizational Resilience. Alternativamente, compruebe las empresas de consultoría de BC para ver si tienen empleados que están certificados como auditores de estándares.
- Establezca una correspondencia entre el (los) estándar (es) seleccionado (s) y los programas de BC/resiliencia existentes, e identifique los casos en que los programas no se ajustan a ellas.
- Desarrolle un plan para actualizar el programa de BC/resiliencia para resolver los problemas de incumplimiento, y ejecute el plan.
- Organice una auditoría interna o un tercero con experiencia para evaluar el programa de BC/resiliencia revisado y validar que se han resuelto los problemas de incumplimiento. Informe a la alta dirección de los resultados de dicha evaluación y pregunte si desean realizar una auditoría formal de cumplimiento.
- Organice una auditoría formal si la alta dirección lo requiere. Los resultados de esa auditoría documentarán formalmente el cumplimiento de los estándares y reglamentos pertinentes.
Una vez que se crea que la organización ha alcanzado sus objetivos, realice evaluaciones y/o auditorías periódicas para garantizar que se mantiene el cumplimiento.