ISO 22316:2017. Seguridad y resiliencia

Desde este mes, ya se encuentra disponible la nueva norma ISO 22316:2017Security and resilience. Organizational resilience. Principles and attributes

ISO 22316: Security and Resilience – PRIMO


Cuando en una organización se dan una serie de situaciones adversas, no todas las entidades tienen la misma capacidad de enfrentarse a la situación y lograr la recuperación, debido a las características particulares de cada una. Esta norma en cuestión, tiene en cuenta lo anterior y  no aplica criterios de uniformidad

Tener la capacidad de recuperarse tras sufrir algún contratiempo es clave para superar con éxito los obstáculos que, a lo largo del tiempo, toda empresa puede ir encontrándose y fortalecer su capacidad de adaptarse a los continuos cambios del mercado

La norma ISO 22316:2017 establece una serie de pautas para incentivar la capacidad de recuperación de las diferentes organizaciones ante situaciones difíciles o que no se esperan, incluso aprovechándolas como oportunidades para ponerse a la cabeza del mercado una vez superadas con éxito. 

Esta norma ayuda de forma inteligente a crear una cultura dentro de la organización que fomente la resiliencia. 

a resiliencia es la clave para cualquier empresa que quiera prosperar en un mundo en constante cambio. La nueva norma ISO 22316 que acaba de ser publicada ayudará a las organizaciones a situarse en una mejor posición para responder a los desafíos que se planteen.

El cambio climático, las crisis económicas y las tendencias de consumo son sólo algunas de las trampas que pueden afectar dramáticamente a la manera en que una organización hace negocios y sobrevive. La resiliencia organizacional es la capacidad de una empresa para absorber y adaptarse a la imprevisibilidad, sin dejar de cumplir con los objetivos que hay que alcanzar.

Un nuevo estándar, la norma ISO 22316, proporciona un marco para ayudar a las organizaciones a estar preparadas para poner a prueba el futuro de su negocio. La ISO 22316 detalla los principios fundamentales, los atributos y las actividades que han sido acordadas por los expertos de todo el mundo.

Si interpretamos la definición de la resiliencia como la “capacidad para absorber y adaptarse en un entorno cambiante,” nos damos cuenta de que la madre naturaleza, la evolución, ha aplicado con éxito este principio desde hace bastante tiempo. Como tal, es bastante razonable adoptar este enfoque también para las organizaciones, a cargo de los seres humanos. Para la estabilidad de largo plazo y el crecimiento no hay otra receta que la capacidad de adaptación.

Orientación de la ISO 22316

Organizational Resilience – How ISO 22316 Provides Guidance for Your …

La nueva norma ISO 22316 proporciona una orientación para mejorar la capacidad de recuperación de una organización. Lo hace mediante principios que proponen atributos y actividades que contribuyen a las organizaciones a ser más resistentes. La ISO 22316 sirve como un paraguas que cubre un rango de disciplinas de gestión, las cuales deben ser lo suficientemente maduras y capaces de interactuar entre sí de una manera sinérgica.

Dos de estas disciplinas son la ISO 27001 para la gestión de seguridad de la información y la ISO 22301 para la gestión de la continuidad del negocio. Estas normas de gestión de sistemas sirven para aplicar correctamente el enfoque respectivo, de las cuales pueden obtener certificación las organizaciones.

La resiliencia organizacional amplía el concepto de preparación también a las amenazas que podrían desarrollarse lentamente, pero aún así sería fatal para la organización si estas no se anticipasen.

Enfoque estructurado

Uno de los grandes valores de la norma ISO 22316 se basa en el hecho de que propone un enfoque estructurado para la capacidad de recuperación. Mientras que las organizaciones pueden tener más o menos éxito en el camino a la resiliencia, el nuevo documento de orientación sobre la resiliencia organizacional proporciona una orientación concreta sobre lo que debe emprender.

Principios

El fundamento de la capacidad de recuperación se basa en un par de principios. Vamos a establecer dos ejemplos principalmente:

  • Los comportamientos de todos los miembros de una organización tienen que contribuir a la resiliencia organizacional y cualquier comportamiento pasivo o contraproducente debe ser evitado. Esto también significa que la fuerza de trabajo debe consistir en la resistencia del personal en sí, aumentando la resiliencia de abajo hacia arriba. Si no hay participación en la fuerza de trabajo, existe un alto grado de absentismo o si la mano de obra es una especie de lucha contra la gerencia, se incurre en comportamientos que no contribuyen a la resiliencia organizacional.
  • La diversidad de habilidades es muy importante ya que las nuevas amenazas, desafíos y oportunidades pueden proceder de diferentes áreas dentro de la organización o de su entorno. Sólo si la gestión y la mano de obra completa tiene una vista de 360° de lo que es posiblemente un riesgo o es posiblemente una oportunidad, puede aumentar su nivel de resistencia.

Atributos

Sobre la base de estos principios básicos, una organización debe exhibir una gama de atributos, apoyándolos en su camino a la resiliencia mejorada. Una vez más, vamos a echar un vistazo a dos de los atributos propuestos:

  • Comprender el contexto de la organización. Esto es muy importante para contribuir a la resiliencia organizacional, no sólo como parte de la gestión del riesgo, sino también la identificación de oportunidades.
  • Mejora continua. Por supuesto, la posición sigue cayendo hacia atrás. Esta es la razón por la que la norma ISO 22316 no deja de mencionar a este atributo. Esto no es nada nuevo para los usuarios de las normas de gestión de sistemas.

Ocupaciones

El tercer nivel de este enfoque propone una serie de actividades que contribuyen a la meta final, por ejemplo:

  • Los objetivos individuales deben ser alineados con los objetivos de la organización.
  • La claridad sobre los objetivos de la organización, los cuales pueden necesitar ser cambiados.
  • Dar seguimiento a las ideas innovadoras.
  • Pensar más allá de las actividades actuales.

Disciplinas de gestión

Por último, pero no menos importante, se sugiere a la organización la implementación y el refinamiento de una gama de disciplinas de gestión. La norma ISO 22316 propone una gama de disciplinas de gestión adicionales para ser alimentada, por ejemplo:

  • Gestión de la calidad
  • Gestión de las instalaciones
  • Control financiero
  • Gestión de la salud y la seguridad
  • Gestión ambiental
  • Gestión de riesgos

Además de eso, la inteligencia empresarial, seguimiento de las tendencias de los clientes, así como los requisitos políticos, ambientales y legales, contribuye a la resiliencia organizacional.

BS 65000: GUÍA PARA LA RESILIENCIA ORGANIZACIONAL.:

BSI ha publicado la norma BS 65000, que pretende ser una Guía para la Resiliencia Organizacional. Esta nueva norma proporciona una visión general de la capacidad de recuperación de una organización, para ello, describe los fundamentos necesarios y explica cómo implementar gradualmente la resiliencia en una organización.

BS 65000 proporciona directrices para lograr una mayor capacidad de adaptación organizativa junto con los beneficios que esto conlleva. También pretende mejorar los sistemas para la gestión de una crisis, así como las prácticas de gestión de la continuidad del negocio mediante la integración de éstos en un programa más amplio denominado “Programa sobre la capacidad de recuperación”.

Además, BS 65000 hace referencias a otras actividades como la gestión de riesgos, el denominado “horizon scanning” (Estudios de proyección económica y gestión del cambio. Algunos de los objetivos y aspectos fundamentales de esta norma BS 65000 son:

 Permitir la gestión de nivel superior para dibujar una estrategia de resiliencia organizacional que identifique los beneficios y los comportamientos de los organismos resistentes;

 Ofrecer herramientas básicas para la evaluación de las medidas de resiliencia de una organización;

 Contiene un modelo de madurez para la evaluación del desempeño;

 Incluye un test que las organizaciones pueden utilizar para evaluar sus medidas de resiliencia.

ISO 22301 CONTINUIDAD DEL NEGOCIO

Desde una perspectiva histórica reciente la norma ISO 22301 ha sido una conclusión de los esfuerzos del ámbito empresarial internacional por obtener un estándar que ayude a gestionar la Continuidad de un negocio y/o actividades de una organización.

Sinergia LC

Como precedente a este estándar se encuentra con la norma Británica BS 259999 que actuó como base e impulsora de la actual ISO 22301 Gestión de la Continuidad del Negocio publicada por la Organización Internacional de estandarización ISO

Las claves para entender la norma ISO 22301 pasan entender que se trata de

 Establecer una base común de conocimiento para entender la continuidad del Negocio

 Desarrollar e implantar una política de Continuidad del Negocio en una organización

 Acreditar la conformidad y compromiso de una organización con las mejores prácticas internacionales en Continuidad del Negocio. EL principal objetivo de esta norma es mantener la continuidad de las actividades de una organización, proteger sus intereses defendiendo los intereses de sus empleados y partes interesadas, mantener la reputación su reputación ante cualquier amenaza o circunstancia adversa.

Los principales factores que afectan a la continuidad de negocio son:

 Dependencia creciente de la tecnología.

 Interdependencia de los proveedores.  Un acto individual puede tener consecuencias planetarias.

 La competencia (feroz) no perdona interrupciones prolongadas o, simplemente, apreciables por los usuarios.

 Cualquier obligación legal o regulación sectorial. Algunos de los impactos posibles son:

 Pérdida de productividad

 Pérdida de ingresos directa

 Incremento de los costes de proceso

 Incremento en las reclamaciones de clientes

 Retraso en el suministro de productos/servicios

 Daño a la marca y la reputación

 Multas o penalizaciones

 Caída de valor de las acciones

RESILIENCIA ORGANIZACIONAL Y GESTIÓN DE RIESGOS

Tal como se presentó esta propuesta y con base en las experiencias y resultados obtenidos en el desarrollo y aplicación de esta metodología; que inicia con la encuesta que determina el nivel de madurez del modelo de resiliencia, Este nuevo marco cuenta con una serie de novedades orientadas a engranar la gestión de riesgos desde la estrategia hasta la operación, y además a hacer una implementación y gestión más adaptada a la realidad de la organización mediante la aplicación de una estructura de componentes y principios.

RESILIENCIA ORGANIZACIONAL

CONCIENCIA SITUACIONAL

Busca identificar lo que tiene más valor en la organización, las características del entorno externo e interno, los riesgos y oportunidades de la situación actual, las interdependencias y las lecciones aprendidas de experiencias pasadas propias y de terceros. En el proceso para construir resiliencia organizacional, la conciencia situacional representa la base para definir y aplicar acciones y asegurar que éstas sean las apropiadas.

FIJAR DIRECCIÓN Se establecen valores, lineamientos y estructuras, roles y responsabilidades que ayudan a la organización a ser más resiliente. El lograr mejorar el nivel de madurez en resiliencia debe ser uno de los objetivos de la organización.

BRINDAR COHERENCIA La identificación de los riesgos y la retroalimentación de información importante a todas las áreas forma parte de la cultura de la organización. Con la aplicación de disciplinas operacionales las organizaciones logran responder, anticipar y mitigar los riesgos, de forma coordinada entre las áreas y con terceros.

CAPACIDAD ADAPTIVA Se refiere a la posibilidad que tiene la organización de mantener su desempeño ante diferentes situaciones, modificando si es necesario los planes, estructuras o procesos inicialmente establecidos con acciones rápidas y flexibles. Reestructurar los planes oportunamente es la clave para que la organización tenga la capacidad de responder a eventos emergentes

FORTALECER LA ORGANIZACIÓN PARA EL CASO PUNTUAL EL ÁREA DE T.I.

Para fortalecer la organización la resiliencia debe formar parte de la cultura de la organización, por lo que ésta es medida y resultan comunes las prácticas para prevenir, simular eventos, proteger, adaptarse y recuperarse valiéndose del aprendizaje sobre las experiencias vividas y la colaboración entre sus diferentes unidades. Establecer un sistema de medición de los niveles de resiliencia con indicadores permitiría realizar un seguimiento sobre su nivel de madurez.

 VALIDAR Y REVISAR.

Consiste en realizar pruebas sobre la capacidad de resiliencia de la organización bajo diferentes escenarios. Adicionalmente, se deben efectuar evaluaciones por parte de terceros sobre las acciones de resiliencia para verificar la capacidad de respuesta, con el objetivo de realizar mejoras a favor de la resiliencia. Realizar pruebas sobre las acciones de resiliencia, ejercitar periódicamente las capacidades de resiliencia y corregir para mejorar, es primordial para aumentar la resiliencia organizacional

Organizaciones Resilientes

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies