Cómo evaluar riesgos dentro del marco de la ISO 22301

En esta sesión Milena Capera, experta en compliance en Pirani, nos enseña qué es la 22301 y cuál es su relación con la gestión de riesgos, importancia de la ISO 22301, cómo identificar un riesgo de continuidad de negocio, por qué es clave evaluar riesgos en la gestión de continuidad del negocio, y pasos para evaluar riesgos en continuidad de negocio.

¿Qué es la 22301 y cual es su relación con la gestión de riesgos?

La ISO 22301 es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Continuidad del Negocio (SGCN). Su objetivo principal es ayudar a las organizaciones a prepararse, responder y recuperarse de incidentes disruptivos, como desastres naturales, ciberataques o fallos operativos, garantizando la continuidad de sus operaciones y la entrega de productos o servicios críticos.

• Análisis de riesgos y amenazas: Identificar eventos que pueden interrumpir la continuidad del negocio.
• Evaluación del impacto en el negocio (BIA): Determina cómo afectan estos riesgos a los procesos críticos.
• Desarrollo de estrategias de mitigación: Implementa controles para reducir la probabilidad e impacto de los riesgos.
• Pruebas y simulaciones: Asegura que los planes de continuidad sean efectivos frente a incidentes reales.
• Mejora continua: Permite revisar y actualizar la estrategia de continuidad en función de nuevas amenazas.

Importancia de la ISO 22301 en la continuidad de negocio

• Protección frente a interrupciones
• Confianza de clientes y partes interesadas
• Cumplimiento legal y regulatorio
• Mejora de la resiliencia organizacional
• Identificación de actividades críticas
• Preparación para escenarios complejos

¿Cómo identificar un riesgo de continuidad de negocio?

Un riesgo de continuidad de negocio es cualquier evento o circunstancia que pueda interrumpir las operaciones críticas de una organización y afectar su capacidad para continuar prestando sus servicios esenciales.

Para identificar si un riesgo afecta la continuidad del negocio, deben tener en cuenta los siguientes criterios:

• Impacta procesos críticos: Afecta funciones esenciales como producción, servicios al cliente, TI o logística.
• Interrumpe operaciones por un periodo significativo: Puede causar tiempos de inactividad prolongados.
• Afecta la disponibilidad de recursos clave: Impide el acceso a personas, tecnología, infraestructura o proveedores esenciales.
• Genera pérdidas financieras, reputacionales o legales: Su impacto puede afectar la estabilidad de la empresa.

Pasos para realizar identificación de riesgos según ISO 22301

Paso 1: 

Identifica activos y procesos esenciales o críticos.

Paso 2: 

Detecta posibles amenazas y vulnerabilidades que puedan afectar la continuidad del negocio, tanto internas (fallos técnicos) como externas (desastres naturales, ciberataques).

Paso 3: 

Análisis de impacto de Negocio:  Incluye: 1) identificación de procesos clave, 2) evaluación de impactos, 3) priorización de actividades, 4) recursos necesarios para la recuperación, entre otros aspectos.

Paso 4:

Identifica y evalúa riesgos, determina la probabilidad de que ocurra cada riesgo y su impacto en la organización y continuidad de negocio (financiero, operativo, reputacional). ISO 31000.

Paso 5:

Priorización y tratamiento de riesgos, monitoreo y mejora continua.

¿Por qué es clave evaluar riesgos en la gestión de continuidad del negocio?

1. Identificación de amenazas potenciales: 

• Importancia: Permite reconocer los riesgos que podrían afectar las operaciones críticas, como desastres naturales, ciberataques, fallos tecnológicos o interrupciones en la cadena de suministro.
• Beneficio: La organización puede anticiparse y prepararse para escenarios adversos.

2. Protección de operaciones críticas:

• Importancia: Ayuda a determinar qué procesos, recursos o activos son esenciales para el negocio.
• Beneficio: Permite enfocar los esfuerzos y recursos en proteger lo más importante, minimizando el impacto de una interrupción.

3. Reducción de costos y pérdidas:

• Importancia: Al evaluar riesgos, se pueden implementar controles preventivos que eviten o reduzcan el impacto de incidentes.
• Beneficio: Disminuye los costos asociados a interrupciones, como pérdida de ingresos, daños a la reputación o multas.

4. Mejora de la resiliencia organizacional:

• Importancia: La evaluación de riesgos permite diseñar planes de continuidad más efectivos y realistas.
• Beneficio: Aumenta la capacidad de la organización para recuperarse rápidamente después de una crisis.

Caso práctico: Escuela de Negocios Avanzada (ENA)

Contexto

La Escuela de Negocios Avanzada (ENA) es una institución de formación especializada en ofertar programas académicos presenciales y en línea, con una plataforma digital para la gestión de inscripciones, clases y evaluación.

El Sistema de Gestión Académica (SGA) es fundamental para las operaciones de ENA, ya que permite:

• La inscripción y matrícula de estudiantes.
• La asignación de profesores y aulas.
• El acceso a materiales de estudio.
• La gestión de evaluaciones y calificaciones.

Cualquier interrupción en este sistema podría afectar la experiencia del estudiante, retrasar evaluaciones y generar problemas administrativos.

Escucha nuestro podcast 👇