Cómo elaborar un plan de gestión de riesgos en 12 pasos

¿Usted está preparado para accidentes de trabajo que puedan ocurrir? ¿Usted ya perdió un cliente importante? ¿Usted
se siente confortable con la seguridad de sus informaciones? ¿Y si un proyecto tuviere un problema inesperado con un
proveedor clave?

Los riesgos están por todas partes . El éxito en los negocios frecuentemente viene acompañado del
reconocimiento y de la gestión de posibles riesgos y oportunidades . Los tipos de riesgo encontrados en las empresas
son muy variados . Cualquiera de los riesgos mencionados puede significar una seria amenaza a la estabilidad de una
organización y pueden hasta causar su fin . Algunos riesgos son muy difíciles de controlarse después que sus eventos
se manifiestan . En estos casos, son colocadas en práctica acciones dispendiosas para lidiar con la situación . Sin
embargo, la mejor forma de administrar riesgos es anticiparse a ellos para ser capaz de actuar en tiempo hábil .
Elaborando un plan de gestión de riesgos usted estará preparándose para estas situaciones, minimizando sus impactos
y aún hasta transformándolos en oportunidades .

Riesgo es el efecto (positivo o negativo) de un evento o de una serie de eventos que se manifiesta en uno o en varios
locales. Se calcula a partir de la probabilidad de que este evento se manifieste y del impacto que el mismo podría
ocasionar. Algunos elementos deben ser identificados para que se analicen los riesgos, incluyendo: Evento: ¿Qué podría
suceder? Probabilidad: ¿Con qué frecuencia podría suceder? Impacto: ¿Qué tan malo será si llega a suceder?
Mitigación: ¿Cómo usted puede reducir su probabilidad (y cuánto podría reducirla)? Contingencia: ¿Cómo usted puede
reducir su impacto (y cuánto podría reducirlo)?

01 | Defina su alcance

Como vimos, los riesgos están presentes en muchas áreas de una organización. Luego, usted precisa definir el alcance
de su plan de riesgos. ¿Voy a evaluar los riesgos de un proyecto? ¿De un proceso? ¿De una lista de activos? ¿O de mi
planificación estratégica? Una vez definido, es necesario detallar cada actividad de su alcance. Vamos a suponer que
haremos un plan de riesgos de un proyecto. Usted precisa conocer cada actividad del proyecto, sus recursos, costos,
restricciones, etc. Toda la información es necesaria.
02 | Levante informaciones

Haga brainstorming sobre riesgos. Reúna a varias personas que tengan relación con el proyecto y pregúnteles sobre lo
que podría suceder, cómo ayudar a prevenir y qué hacer si sucede. ¡Haga muchas anotaciones! Usted va a usar las
informaciones obtenidas en esa sesión algunas veces durante los próximos pasos. Trate de mantener la mente abierta
para las ideas. Pensar “fuera de la caja” es bueno, pero mantenga el control de la sesión. La sesión precisa mantenerse
enfocada en el objetivo.

Sugerencia: Vincule a las personas clave de la empresa en las actividades de gestión de riesgos para evitar silos y hacer
con que las prácticas de gestión de riesgos se multipliquen por la empresa

03 | Identifique los riesgos y sus consecuencias

En su sesión de brainstorming, usted reunió informaciones sobre posibles riesgos y lo que puede suceder si se
concretizan. Liste los riesgos y asocie cada riesgo con sus consecuencias. Sea específico. “Falta de recursos” no es tan
deseable como “Mitad de la materia prima está faltando para la finalización de la actividad”. Si hubiere un valor
monetario presente, lístelo. Decir simplemente “Superior al presupuesto” es muy amplio.

Sugerencia: Elimine cuestiones irrelevantes. No hay nada que usted pueda hacer para planificarse frente a ellas o
reducir su impacto. Usted debe mantenerlas en mente, pero no las incluya en su plan de riesgos. Defina un gestor para
cada riesgo. Él será el responsable por monitorizar el riesgo y prestar cuentas del mismo periódicamente.

04 | Identifique los controles de cada riesgo

Los controles son actividades, procedimientos o mecanismos que, si implementados, pueden actuar sobre un riesgo,
alterando su probabilidad o su impacto. Es común considerar los controles implementados antes de iniciar las
evaluaciones de los riesgos. Pero, si lo prefiere, usted puede dividir las evaluaciones en dos partes: una antes de los
controles, otra considerando los controles existentes e implementados. Para esta demostración, vamos a identificar
los controles ahora y ya considerarlos en nuestra evaluación de los riesgos.

Los controles son actividades, procedimientos o mecanismos que, si

implementados, pueden actuar sobre un riesgo, alterando su probabilidad o
su impacto. Es común considerar los controles implementados antes de
iniciar las evaluaciones de los riesgos. Pero, si lo prefiere, usted puede dividir
las evaluaciones en dos partes: una antes de los controles, otra considerando
los controles existentes e implementados. Para esta demostración, vamos a
identificar los controles ahora y ya considerarlos en nuestra evaluación de
los riesgos.

05 | Atribuya una probabilidad

Para cada riesgo de su lista, determine si la probabilidad de que este riesgo se materialice es alta, mediana o baja (este
es sólo un ejemplo, usted puede crear su propia escala de acuerdo con sus necesidades). Si usted precisa usar números,
coloque la probabilidad en una escala numérica y entonces tendrá un abordaje cualitativo/cuantitativo. Nota: si la
probabilidad de que un evento ocurra es cero, entonces no debe ser llevado en consideración. No hay motivo para
considerar cosas que simplemente no pueden suceder.

Sugerencia: Piense en su método de evaluación antes de comenzar a evaluar los riesgos. Existen varios métodos
posibles.

06 | Evalúe el impacto

Con base en alguna guía predefinida, evalúe el impacto como alto, mediano o bajo. Si usted precisa usar números,
coloque la lista de impactos en una escala numérica, así como fue hecho con la probabilidad. Nota: si el impacto de
que un evento ocurra es cero, no debe ser listado. No hay motivo para considerar cosas que son irrelevantes,
independiente de que su probabilidad sea alta.
07 | Determine el nivel del riesgo

Normalmente se usa una tabla para hacer eso. ¡Pero mucho mejor que eso es usar un software! Si usted usó los valores
bajo, mediano y alto para probabilidad e impacto, una tabla simple será muy útil. Si usted usó valores numéricos, usted
puede precisar un sistema de clasificación un poco más complejo (muy simple con un software). Es importante destacar
que no hay una fórmula universal para combinar probabilidad e impacto, que puede variar entre empresas y proyectos.
Sea flexible en el análisis. A veces, puede ser apropiado ajustar el resultado obtenido por el método. No esté tan preso
al método.

Sugerencia: La combinación “probabilidad x impacto” es bastante simple. Cuanto más criterios son usados, más
complejo queda el resultado.
08 | Ordene los riesgos de acuerdo a sus evaluaciones

Liste todos los riesgos que usted identificó y evaluó, desde el más crítico para el menos crítico.
09 | Planifique estrategias de mitigación y contingencia

La mitigación tiene el objetivo de reducir la probabilidad de que un riesgo se materialice. Normalmente usted sólo
aplica acciones de mitigación para riesgos con resultado alto o mediano. Usted hasta puede querer mitigar riesgos
bajos, pero con certeza dará prioridad para los otros. Por ejemplo, si uno de sus riesgos es la posibilidad de atraso en
la entrega de una parte crítica del proyecto, usted luego identificará esta necesidad en la ordenación de los riesgos
hecha anteriormente. La contingencia tiene el objetivo de reducir el impacto de un riesgo si se materializa.
Nuevamente, usted normalmente sólo desarrollará estrategias de contingencia para riesgos con evaluación alta o
mediana. Por ejemplo, si las partes críticas de su proyecto no llegan a tiempo, usted puede tener que usar partes usadas
ya existentes mientras espera por las nuevas. Para planificar y ejecutar estas estrategias, son muy utilizadas las
herramientas de planes de acción. Estas herramientas facilitan el acompañamiento y garantizan el éxito de las acciones
planificadas.

Sugerencia: Los planes de 5W2H son muy utilizados. Pero para estrategias más complejas usted debe considerar la
posibilidad de utilizar un proyecto.

10 | Analice la eficacia de las estrategias implementadas

¿Cuánto usted redujo la probabilidad y el impacto de los riesgos? Evalúe sus estrategias de mitigación y contingencia y
rehaga la evaluación de sus riesgos.

Sugerencia: La evaluación continua es fundamental para el éxito de un plan de gestión de riesgos. Usted puede evaluar
nuevamente sus riesgos cuántas veces lo crea necesario para estar tranquilo cuanto a su seguridad.
11 | Calcule su riesgo residual

Vamos a considerar que originalmente, el riesgo de un elemento fue mediano. Después de aplicados los planes de
contingencia y mitigación, la evaluación pasó para abajo. Eso significa que usted obtuvo una reducción en su riesgo y
que ahora el mismo se encuentra dentro de un nivel aceptable. ¡Nada mal!

Sugerencia: Una solución de software puede automatizar eso para usted utilizando fórmulas y resultados de
evaluaciones de eficacia.
12 | Monitorice sus riesgos

Después de saber cuáles son sus riesgos, el décimo segundo y último paso es: determinar cómo saber cuándo estos
riesgos van a ocurrir. Sólo así usted sabrá cuándo colocar las acciones correctivas en práctica. Los indicadores y alertas
pueden ayudar en este punto. Tenga gatillos y alertas para cada uno de los riesgos altos y medianos. Así, de acuerdo al
progreso de su proyecto, usted va a ser capaz de saber cuándo un riesgo se vuelve algo preocupante. Si usted no tiene
esas informaciones, la probabilidad de que un riesgo se materialice silenciosamente y afecte al proyecto es grande, aún
si usted tiene acciones de mitigación y contingencia planificadas.

Sugerencia: Los KRIs (Key Risk Indicators) deben ser usados para ayudar en la monitorización de sus riesgos y alertar
cuando los niveles sobrepasen los límites aceptables. La matriz de riesgos y los mapas de calor pueden ayudarlo a tener
una visión más amplia de la situación.

Cómo implementar el análisis de impacto empresarial (BIA) de

acuerdo con ISO 22301
Propósito
El análisis del impacto empresarial está aquí principalmente para darle una idea sobre el momento de su
recuperación (Objetivo de tiempo máximo de interrupción / recuperación aceptable) y el momento de su copia de
seguridad (Objetivo del punto de recuperación / Pérdida máxima de datos), ya que el momento es crucial: la
diferencia de solo un par de horas podría significar la vida o la muerte de ciertas compañías. Por ejemplo, si
usted es una institución financiera, el tiempo de recuperación de 4 horas podría significar que probablemente
sobrevivirá a una interrupción, mientras que el tiempo de recuperación de 12 horas es inaceptable para ciertos
sistemas / actividades en un banco, y la interrupción de un día completo probablemente significaría el banco
nunca podría volver a abrir sus puertas. Y no existe un estándar mágico que le brinde el tiempo para su
organización, no solo porque el tiempo para cada industria es diferente, sino también porque el tiempo para cada
una de sus actividades podría ser diferente. Por lo tanto, debe realizar el análisis de impacto comercial para
sacar las conclusiones correctas.

Opciones
Dado que este paso en el proyecto ISO 22301 lleva mucho tiempo y es complejo, puede decidir si será realizado
por su propio coordinador de continuidad comercial o por algún experto contratado (por ejemplo, un consultor),
por simplicidad, mencionaré solo el coordinador de continuidad del negocio en este artículo. En cualquier caso,
esta persona tiene que desarrollar los Cuestionarios BIA para recopilar la información (o configurar la
herramienta, si se usa), organizar entrevistas o talleres, recopilar todos los datos y producir el informe (o incluir
los resultados en la Estrategia si no se produce un informe por separado).
Si solo envía la metodología y los cuestionarios BIA a las personas responsables de cada actividad y les dice
que los completen, los resultados que obtenga probablemente no se puedan utilizar. La razón por la que esto
sucederá es que a las personas les resulta muy difícil entender de qué se trata el análisis de impacto
empresarial, aunque haya escrito bien su metodología.
Por lo tanto, si desea que su BIA tenga éxito, básicamente tiene dos opciones:
a) Realizar análisis de impacto empresarial a través de entrevistas : esto significa que el coordinador de
continuidad empresarial entrevistará a las personas responsables de cada actividad, donde primero explicará el
propósito de BIA y se asegurará de que cada evaluación realizada por la persona responsable haga sentido y no
es parcial.
b) Realice primero talleres con personas responsables : en tales talleres, el coordinador de continuidad del
negocio explica a todas las personas responsables el propósito de BIA y, a través de varios ejemplos de la vida
real, muestra cómo realizar el análisis.

Por supuesto, realizar entrevistas probablemente arrojará mejores resultados; sin embargo, esta opción requiere
mucho más tiempo para el coordinador de continuidad del negocio.

Entradas
La entrada principal para el proceso de análisis de impacto empresarial es la Metodología BIA, y también
necesita una lista de sus actividades de continuidad comercial (es decir, procesos o departamentos).
Toda la información debe ser proporcionada por, y las evaluaciones realizadas por, las personas responsables
de cada actividad. Al hacerlo, deben utilizar los criterios del peor de los casos: lo que habría sucedido en una
tormenta enorme, no una tormenta promedio; un desglose de toda su infraestructura de TI, no solo un servidor
insignificante; pérdida de datos de su servidor principal, no solo de una computadora portátil; faltan su CEO y
administrador principal del sistema, no solo algunos empleados de nivel inferior; y todo esto sucede cuando tiene
un plazo corto para entregar un producto importante a su cliente más importante.
Si sus encuestados le dicen "¡Esto nunca nos va a pasar!", Solo dígales que lean un par de noticias de la
sección de delitos. Además, la continuidad del negocio está aquí para prepararlo para los malos momentos, no
para los buenos.
Aquí hay algunos consejos para recopilar la información requerida de las personas responsables de cada
actividad:
 Evaluación de impacto : tienen que considerar el daño comercial que ocurrirá si sus operaciones se
detienen, a la luz de las preguntas particulares que se hacen. Por ejemplo, para la pregunta “¿Cómo
reaccionarán sus clientes ante una interrupción?”: Para una interrupción que dura de 2 a 4 horas, debe
recibir una evaluación (1) en una escala de 1 a 4 si no hubiera reacción del cliente; evaluación (2) si los
clientes comenzarían a llamarlo, pero no ocurriría nada significativo en ese período de tiempo; si después
de una interrupción de 8 horas algunos clientes comenzarían a abandonar su empresa, esto significaría
una evaluación de (3); si después de 48 horas la mayoría de los clientes abandonarían su empresa, esto
significaría una evaluación de (4). Ver también la figura 1 para un ejemplo.
 Evaluación de RPO / Pérdida máxima de datos : debe solicitar a sus encuestados que enumeren todas
sus bases de datos, aplicaciones y archivos, pero también todos los servicios (por ejemplo, correo
electrónico), etc., y para cada uno de ellos por separado para establecer el límite aceptable hasta el cual
puedes permitirte perder los datos. Por lo general, este límite se muestra en número de horas, pero a
veces también puede ser en número de transacciones o registros. El criterio principal al hacer el análisis
debe ser el daño de cualquier pérdida potencial de datos para la empresa, en términos de dinero u otros
impactos como legales, de reputación, etc. Además, al hacer dicho análisis es importante no distraerse con
el hecho que ya tienes la copia de seguridad; la pregunta es: si su copia de seguridad existente falla,
¿cuántos datos puede realmente perder? Ver también figura 2.
 Objetivos mínimos de continuidad del negocio (MBCO ) : debe especificar el nivel mínimo aceptable de
capacidad requerido inmediatamente después de la recuperación para una actividad en particular, teniendo
en cuenta sus horas o días pico. Por ejemplo, diciembre suele ser el mes más ocupado en los bancos para
la mayoría de las actividades, por lo que debe especificar la cantidad mínima de transacciones o clientes
que tendría que procesar si ocurriera una interrupción en el día más ocupado de diciembre.
 Recursos necesarios : teniendo en cuenta el MBCO (número de transacciones, clientes, productos, etc.),
debe identificar cuántas personas y otros recursos necesita para la recuperación. Los recursos como
computadoras portátiles, muebles, teléfonos móviles, oficinas, etc. generalmente dependen de la cantidad
de personas; la capacidad de los recursos, como los enlaces de software y telecomunicaciones, depende
del número de usuarios o del número de transacciones que deben procesarse; los datos como recurso
deben describirse en términos de cuántos y qué registros necesita, por ejemplo, todos los registros
creados en los últimos seis meses (por ejemplo, una base de datos) o solo los documentos actuales (por
ejemplo, contratos firmados con socios y clientes); los servicios externos se describen en términos de
transacciones, productos o lo que sea que le brinden; los recursos financieros se expresan, bueno, en
dinero (en su moneda local o en la moneda que su compañía usa normalmente).
 Dependencia de los demás : básicamente, estas son todas las demás actividades sin las cuales no podría
realizar una determinada actividad. Por lo general, se dividen así: 1) Dependencia de otras actividades
dentro de su organización; por ejemplo, todas sus actividades probablemente dependerán del
departamento de TI / actividad de TI, mientras que solo algunas de sus actividades dependerán de su
departamento legal / actividad legal .2) Dependencia de proveedores y socios de subcontratación: por lo
general, todas sus actividades dependen de los enlaces de electricidad y telecomunicaciones (Internet,
líneas fijas y teléfonos móviles), pero muchas empresas también dependen de empresas de desarrollo de
software, proveedores de alojamiento, proveedores de nube, servicios de contabilidad. , etc. Aquí debe
evaluar las capacidades de continuidad comercial de esos terceros mediante el estudio de las cláusulas de
los acuerdos que firmó con ellos, preguntar cómo manejaron las interrupciones en el pasado, o tal vez
auditarlas para obtener una visión más profunda de sus capacidades. .
Decisiones
Como ya se mencionó, todas las evaluaciones deben ser realizadas por las personas responsables de cada
actividad; esto se debe a que conocen mejor sus actividades, por lo que hacer la evaluación no es el trabajo del
coordinador de continuidad del negocio. Sin embargo, el coordinador de continuidad del negocio es crucial para
coordinar todo el esfuerzo y para asegurarse de que los criterios para evaluar el impacto sean los mismos. Por
ejemplo, las personas responsables de las actividades tienden a sobreestimar la importancia y el impacto de sus
actividades, por lo que puede obtener una evaluación, digamos de su departamento de contabilidad, de que si
su actividad se interrumpe durante dos horas, tendría un impacto catastrófico (4) . Para contrarrestar una
evaluación tan irracional, debe hacerles la siguiente pregunta: "¿Realmente cree que la empresa se declarará en
quiebra si su departamento no trabaja durante dos horas?". Después de tal pregunta, la evaluación
generalmente se vuelve razonable.
Cuando el coordinador de continuidad del negocio debe participar activamente es en la toma de decisiones
sobre MAO y RPO, por lo general, toma estas decisiones junto con las personas responsables de las
actividades, en función de los resultados de los cuestionarios BIA.
Aquí hay un ejemplo de cómo se verían las respuestas relacionadas con la interrupción máxima aceptable en el
cuestionario BIA para una actividad particular:

Figura 1:
Ejemplo de cuestionario BIA: determinación de la interrupción máxima aceptable
La decisión sobre MAO se toma básicamente de manera visual: al observar este ejemplo (y suponiendo que se
trata de una pequeña empresa con ingresos anuales de 1 millón de dólares y una ganancia de 150,000 dólares
estadounidenses), los mayores impactos comienzan con 8 horas (pregunta # 1) , mientras que es obvio que
múltiples impactos altos comenzarán a las 24 horas. Por lo tanto, como primer paso, se debe considerar si las
reacciones de los clientes pueden ser toleradas por una interrupción de más de 8 horas (pregunta n. ° 1); de ser
así, en el segundo paso, el MAO para esta actividad se establecerá entre 8 horas y 24 horas. Para determinar el
objetivo del tiempo de recuperación (RTO) para esta actividad, se deberán examinar las dependencias de otras
actividades y luego se puede tomar la decisión final sobre las RTO de cada actividad.
Y aquí hay un ejemplo de cómo se verían las respuestas al cuestionario BIA para la pérdida máxima de datos /
RPO:

Figura 2:
Ejemplo de cuestionario BIA: determinación de la pérdida máxima de datos / RPO
La decisión sobre la pérdida máxima de datos / RPO también se toma visualmente: en este ejemplo, el RPO
para el software n. ° 1 debe ser de 24 horas, para el software n. ° 2 son 8 horas, para la base de datos XYZ es
menor de 1 hora (probablemente cero) y para el documento en papel ZXY, aproximadamente 1 semana.
¿Qué significa esto en la práctica? Esto significa que la copia de seguridad del Software n. ° 1 debe realizarse al
menos cada 24 horas, ya que puede permitirse perder un máximo de 24 horas de datos. Para el software n. ° 2,
la copia de seguridad se debe realizar al menos cada 8 horas, la base de datos XYZ probablemente se debe
hacer una copia de seguridad en tiempo real (por ejemplo, replicación síncrona o asíncrona, esto es típico para
las bases de datos transaccionales en bancos), y el documento ZXY en papel ser copiado o escaneado al
menos dentro de una semana de su creación. Todas estas conclusiones deben documentarse en la estrategia
de continuidad del negocio o en la política de respaldo relacionada.
Documentación
De manera similar a la evaluación de riesgos, si la organización no usa la herramienta, los resultados
generalmente se recopilan a través de cuestionarios de Excel; en este caso, el coordinador de continuidad del
negocio recopila todos estos cuestionarios; Si se utiliza la herramienta, estos se recopilan automáticamente.
No importa si la herramienta se utiliza o no, la información que se recopila durante el proceso BIA debe incluir
todos los elementos mencionados en la Metodología BIA.
Si la suya es una empresa más grande, probablemente debería recopilar todos estos resultados en un informe
de análisis de impacto empresarial; sin embargo, las compañías más pequeñas estarán bien resumiendo todos
los resultados en la estrategia de continuidad del negocio.
Documentos obligatorios requeridos por la revisión
de 2019 de ISO 22301
¿Qué debe contener la documentación de continuidad de su negocio? Esto es probablemente lo que se
pregunta si está implementando ISO 22301 , preparándose para la auditoría interna o preparándose para la
auditoría de certificación.
ISO 22301 documentos obligatorios
Para ayudarlo, aquí está la lista de documentación obligatoria para el Sistema de Gestión de Continuidad de
Negocio - BCMS:
 Lista de requisitos legales, reglamentarios y de otro tipo (cláusula 4.2.2): enumera todo lo que debe
cumplir.
 Alcance del BCMS y explicación de exclusiones (cláusula 4.3): define dónde se implementará su BCMS.
 Política de continuidad del negocio (cláusula 5.2): define las principales responsabilidades y la intención de
la administración.
 Objetivos de continuidad del negocio (cláusula 6.2): define objetivos medibles que deben lograrse con la
continuidad del negocio.
 Competencias del personal (cláusula 7.2): define el conocimiento y las habilidades necesarias.
 Planes y procedimientos de continuidad del negocio (cláusula 8.4): incluye planes y procedimientos de
respuesta, comunicación, recuperación (incluidos los planes de recuperación ante desastres), actividades
de restauración y devolución.
 Comunicación documentada con las partes interesadas (cláusula 8.4.3.1): estos pueden ser correos
electrónicos, pero también comunicaciones oficiales de fuentes como agencias gubernamentales y otras.
 Registros de información importante sobre la interrupción, las acciones tomadas y las decisiones tomadas
(cláusula 8.4.3.1): normalmente estos registros se realizan a través de minutos o completando listas de
verificación de las actividades realizadas.
 Datos y resultados de monitoreo y medición (cláusula 9.1.1): esta es la evaluación sobre si su BCMS
cumplió con los objetivos.
 Programa de auditoría interna (cláusula 9.2)
 Resultados de la auditoría interna (cláusula 9.2): normalmente, este es el informe de auditoría interna.
 Resultados de la revisión de la administración (cláusula 9.3): por lo general, esto se presenta en forma
de minutos o tal vez decisiones documentadas.
 Naturaleza de las no conformidades y acciones tomadas (cláusula 10.1): esta es una descripción de las
no conformidades y su causa.
 Resultados de acciones correctivas (cláusula 10.1): esta es una descripción de lo que se ha hecho para
eliminar la causa de una no conformidad.

Documentos y registros BCMS no obligatorios de uso común

La lista de documentos generalmente no termina con la lista anterior. En la mayoría de los casos (a menos que
sea una empresa pequeña), también usaría estos documentos, aunque el estándar no los exige estrictamente:
 Procedimiento para la identificación de los requisitos legales y reglamentarios aplicables (cláusula 4.2.2)
 Plan de implementación para alcanzar los objetivos de continuidad del negocio (cláusula 6.2)
 Plan de formación y sensibilización (cláusulas 7.2 y 7.3)
  Procedimiento para el control de información documentada (cláusula 7.5)
 Contratos y acuerdos de nivel de servicio (SLA) con proveedores y socios de subcontratación (cláusula
8.1)
 Proceso de análisis de impacto empresarial y evaluación de riesgos (cláusula 8.2.1)
 Resultados del análisis de impacto empresarial (cláusula 8.2.2)
 Resultados de la evaluación de riesgos (cláusula 8.2.3)
 Estrategias y soluciones para la continuidad del negocio (cláusula 8.3.3)
 Escenarios de incidentes (cláusula 8.5)
 Ejercicio y planes de prueba (cláusula 8.5)
 Informes posteriores al ejercicio (cláusula 8.5)
 Resultados de la revisión posterior al incidente (cláusula 8.6)
 Métodos de seguimiento, medición, análisis y evaluación (cláusula 9.1.1)
 Procedimiento de auditoría interna (cláusula 9.2)
 Procedimiento para la acción correctiva (cláusula 10.1)
Tenga en cuenta que algunos requisitos pueden documentarse a través de varios otros documentos. Un ejemplo
de esto es determinar el contexto de la organización (cláusula 4.1) que, aunque no es obligatorio, puede
documentarse a través de la Lista de requisitos legales, reglamentarios y de otro tipo, la política de continuidad
comercial, etc.
Por otro lado, puede fusionar algunos de estos documentos en un solo documento (especialmente si es una
empresa más pequeña). Por ejemplo, puede informar los resultados del análisis de impacto empresarial y de la
evaluación de riesgos a través de la estrategia de continuidad empresarial.
Esto puede parecer una gran cantidad de documentos, pero desde mi experiencia, cada uno de ellos tiene
sentido, ¿estaría de acuerdo?
Para obtener más información sobre la implementación de ISO 22301, visite nuestra página de descarga
gratuita . Encontrarás una gran cantidad de recursos útiles.