Es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de la Continuidad del Negocio. Publicada por la Organización Internacional de Normalización (ISO), esta norma proporciona a las organizaciones un marco claro para planificar, establecer, implementar, operar, monitorear, revisar, y mejorar un sistema que les permita responder eficazmente a interrupciones y garantizar la continuidad de sus operaciones críticas.

Está diseñada para ayudar a las organizaciones a identificar amenazas potenciales, evaluar sus impactos y desarrollar estrategias de recuperación que les permitan seguir operando en caso de desastres naturales, fallos tecnológicos, crisis financieras, pandemias u otros eventos disruptivos. Además, promueve la resiliencia organizacional al asegurar que los procedimientos y recursos necesarios estén disponibles para minimizar el impacto de cualquier interrupción, protegiendo tanto a los empleados como a los activos clave de la empresa.

No solo mejora la capacidad de recuperación de una organización, sino que también refuerza la confianza de los clientes, accionistas y otras partes interesadas, demostrando un enfoque proactivo hacia la gestión de riesgos y la continuidad del negocio en situaciones de crisis.

Los elementos más importantes son los requisitos clave que las organizaciones deben implementar para establecer y mantener un Sistema de Gestión de la Continuidad del Negocio (SGCN). Estos elementos están diseñados para garantizar la resiliencia ante interrupciones y asegurar que las operaciones críticas puedan mantenerse o restablecerse rápidamente. A continuación, se destacan los componentes esenciales:

1. Contexto de la Organización

La organización debe comprender su contexto interno y externo, así como las necesidades y expectativas de las partes interesadas (clientes, proveedores, empleados) para definir el alcance del sistema de gestión de la continuidad del negocio.

2. Liderazgo y Compromiso

La alta dirección debe demostrar su compromiso con la continuidad del negocio asignando recursos adecuados y fomentando una cultura de resiliencia. Debe establecer una política clara de continuidad del negocio y asegurarse de que esté alineada con los objetivos estratégicos de la organización.

3. Evaluación de Riesgos y Análisis de Impacto en el Negocio (BIA)

Se debe realizar un análisis de impacto en el negocio (BIA) para identificar los procesos críticos y evaluar los impactos potenciales de una interrupción. También es crucial realizar una evaluación de riesgos para identificar las amenazas y vulnerabilidades que podrían afectar la continuidad de las operaciones.

4. Estrategia de Continuidad del Negocio

Con base en el BIA y la evaluación de riesgos, la organización debe desarrollar estrategias para asegurar la disponibilidad de recursos y la capacidad de seguir operando o recuperarse rápidamente ante una interrupción.

5. Plan de Continuidad del Negocio (BCP)

La organización debe establecer y documentar un Plan de Continuidad del Negocio que incluya procedimientos claros para responder y recuperarse de eventos disruptivos. El plan debe detallar los pasos a seguir para mantener o restaurar las operaciones críticas dentro de un tiempo aceptable.

6. Preparación y Respuesta ante Incidentes

Se deben definir planes específicos de respuesta ante incidentes, que incluyan procedimientos de activación del plan de continuidad, notificación a las partes interesadas, y coordinación durante la gestión de la crisis.

7. Competencia y Conciencia

La organización debe garantizar que el personal relevante esté capacitado y sea consciente de sus roles y responsabilidades en relación con la continuidad del negocio. Esto incluye entrenamientos regulares y la participación en simulacros o ejercicios.

8. Comunicación

La organización debe establecer procedimientos de comunicación interna y externa durante y después de un incidente. Esto incluye la coordinación con las partes interesadas clave, como clientes, proveedores, autoridades y empleados, para asegurar una respuesta coherente y oportuna.

9. Monitoreo, Medición y Evaluación del Desempeño

Se deben implementar mecanismos de monitoreo y medición para evaluar continuamente la eficacia del sistema de gestión de la continuidad del negocio. Esto incluye auditorías internas, revisiones de desempeño y la evaluación de los resultados de los ejercicios y simulacros.

10. Mejora Continua

La organización debe revisar y mejorar de manera continua su sistema de gestión de la continuidad del negocio basándose en los resultados de los monitoreos, auditorías y lecciones aprendidas de eventos reales o simulacros. Esto incluye la actualización del BCP y la revisión de los riesgos y el BIA según sea necesario.

11. Revisión por la Dirección

La alta dirección debe realizar revisiones periódicas del sistema de gestión de la continuidad del negocio para garantizar su adecuación, efectividad y alineación con los objetivos estratégicos de la organización.

12. Cumplimiento Normativo y Legal

La organización debe asegurarse de cumplir con las leyes, regulaciones y requisitos aplicables que puedan influir en su capacidad de operar de manera continua.

Estos elementos permiten que una organización esté preparada para enfrentar interrupciones, proteger sus operaciones críticas, y asegurar la continuidad del servicio a sus clientes y partes interesadas.