ISO 22301 Pla de continuïtat del negoci

Pla de continuïtat del negoci

Què li aporta un pla de continuïtat del negoci?

Un pla de continuïtat del negoci (Business Continuity Plan o BCP) d’acord amb la norma ISO 22301 explica com una organització ha de recuperar i restaurar les seves funcions critiques, després d’una interrupció total o parcial no desitjada o d’un desastre.

Un pla de continuïtat està vinculat amb la gestió de riscos d’acord amb la norma ISO 31000. Indica com caldria actuar davant possibles incidents que poden implicar perill. Té en compte incidents tecnològics,  locals (com ara incendis, o inundacions), incidents regionals, nacionals o internacionals.

Fases d'implementació

Per planificar la continuïtat del negoci es fa seguint les fases següents:

  1. Plantejament. A partir de l’anàlisi i avaluació de riscos, mesurant l’impacte econòmic en el cas d’interrupció dels processos crítics. Tres aspectes clau per l’anàlisi:
    • Criticitat dels recursos d’informació relacionats amb els processos crítics del negoci.
    • Període de recuperació crític abans d’incórrer en pèrdues significatives.
    • Sistema de classificació de riscos.
  2. Selecció d’estratègies per a la recuperació. A la gestió de la continuïtat del negoci, recomanem aplicar una combinació de mesures correctives i accions de millora per:
    • Eliminar del tot les amanaces.
    • Minimitzar la probabilitat de que passi.
    • Minimitzar l’efecte.

    Hem de tenir en compte que les interrupcions més prolongades i més costoses, en particular els desastres que afecten a les instal·lacions, requereixen recuperació (offsite).

  3. Gestió del pla de continuïtat del negoci pel seu desenvolupament. Implica tenir en compte:
    1. Personal requerit
    2. Àrees de treball
    3. Registres vitals- Backups d’informació
    4. Aplicacions crítiques.
    5. Dependències d’altres àrees.
    6. Dependències de terceres parts.
    7. Criticitat dels recursos d’informació.
    8. Participació del personal de seguretat informàtica i els usuaris finals.
    9. Anàlisi de tots els tipus de recursos d’informació.
  4. Proves i manteniment del pla de continuïtat del negoci. Per mesurar si s’accepten els riscos residuals, mesurar la resilència, i si escau establir procediments nous. Sols fent simulacres del Pla podrem assegurar que aquest és eficient i eficaç. Hem de tenir en compte que abans o després, qualsevol organització es trobarà amb una incidència de seguretat.

Et podem ajudar a fer i mantenir el pla. Pregunta’ns com.