Diego Berea, director de Ozona Consulting
Principalmente viene dada por la definición de sistemas de gestión integrados donde la ISO 22301 de continuidad de negocio convive con otras normas como la ISO 27001 de seguridad de la información o la ISO 20000 de gestión de servicios.
La ISO 22301, publicada en 2012, ha despertado un gran interés en las organizaciones interesadas en formalizar su estrategia de continuidad de negocio. Casi todas las organizaciones han ido implementando a lo largo del tiempo ciertas medidas de continuidad y recuperación ante desastres, pero pocas pueden asegurar haber llevado a cabo un planteamiento holístico que cubra todos los aspectos clave de la continuidad de negocio y las interdependencias entre ellos.
Gracias a la ISO 22301 puede asegurarse que se cuenta con un sistema de gestión de la continuidad de negocio completo y alineado con la estrategia de continuidad de la organización.
La implantación de un sistema de gestión de continuidad de negocio está calando especialmente en organizaciones que ya disponían des sistemas de gestión de servicios ISO 20000 y de gestión de la seguridad de la información ISO 27001. Éstos conforman la base técnica necesaria para asegurar la continuidad. Permiten alinear la tecnología –tanto a nivel de provisión de servicios como de gestión de riesgos- con la estrategia de continuidad de negocio.
Por supuesto que seguir estos estándares permitirá a las compañías obtener ventajas de organización en su área TI, de productividad en los departamentos técnicos, pero también en su relación con otras compañías en el momento de establecer relaciones de negocio. Cada vez más los pliegos de condiciones y los requisitos para optar a un contrato con una empresa o una administración pública demandan la certificación en normas que aseguren la calidad del servicio prestado y la información con la que se trabaja.
En este universo normativo, la tendencia tanto por parte de las compañías de consultoría, como de los propios expertos editores de las normas es la de integrar estas ISOs para obtener así calidad global.
Cómo se llega a la integración
Hay que partir de la base de que uno de los mayores retos en la implantación de un sistema de gestión –ya sea de gestión de servicios, de seguridad de la información o de continuidad de negocio- es pasar de la teoría a la práctica. Hay que lograr compatibilizar los trabajos del día a día con las iniciativas necesarias para la implantación del sistema de gestión. No es un trabajo fácil y hay que vencer resistencias a muchos niveles.
Contar con una visión clara de lo que se quiere lograr es imprescindible para el éxito de la implantación. Sin embargo, tan importante como tener la meta clara es definir un roadmap adecuado al nivel de madurez de la organización tanto a nivel de procesos, como a nivel organizativo o de herramientas. Contar con la experiencia de un consultor especialista es un factor crítico para lograr una hoja de ruta realista. Debe asegurarse que las diferentes acciones se definen en el orden adecuado para que la organización las pueda asimilar.
¿Qué se consigue con la integración de las normas?
Si analizamos el porqué de esta nueva tendencia donde la integración es la clave, hay que ver los múltiples beneficios que se pueden obtener. En primer lugar, incrementar la credibilidad de la compañía de cara a sus clientes internos y externos, al poder obtener la certificación en más de una norma, todas relacionadas con la continuidad del negocio y la mejor prestación de los servicios de TI.
Además, no hay requisitos duplicados o contradictorios, se trata de normas que se complementan, lo que permite generar sinergias en la implantación y en la operación de los sistemas de gestión. Algo que repercute directamente en el ahorro, es decir, habrá un menor coste en la configuración, operación y auditoría.
El súmmum de la integración es lo que podríamos denominar Calidad “Cum Laude” y es cuando unimos la ISO 22301, la ISO 20000 y la ISO 27001. En este caso, se proporcionará una amplía garantía en la nuestros servicios TI ante clientes y partners, y lo más importante, asegurará que las compañías realmente ofrezcan disponibilidad de servicio en todo momento. Y con un coste de implantación en tiempo, recursos y dinero mucho menor que si se hiciera de forma separada
