A lo largo de mis auditorías/consultorías me he encontrado ya con varios casos en los que, empresas certificadas en ISO que tienen algún dominio de continuidad de negocio, por ejemplo ISO27001, ellos mismos me dicen que esta parte es muy académica y que realmente no les está sirviendo para mucho.
Su duda es: ¿Inicio los trámites para implantar la ISO 22301, o el resultado puede volver a ser más académico que práctico?.
Mi respuesta es: Depende con quién lo hagas y el compromiso de la dirección en la certificación.
Y mi propuesta es: Empieza a trabajarlo para que cubra tus necesidades reales de continuidad de negocio, ayudado por consultoría externa si no te ves preparado y sólo si tienes el apoyo de la dirección. En caso que tengas la 27001, desarróllalo documentalmente en el dominio correspondiente. Cuando ya tengas cierta madurez y control sobre la continuidad de negocio, lánzate a la certificación ISO 22301.
Entonces, ¿la certificación no es importante?.
Claro que sí, y en algunas empresas casi diría que hasta obligatoria, pero es más que lo que se desarrolle al respecto ayude a la empresa a cumplir con sus objetivos y preservar su negocio ante cualquier escenario que se produzca.
