une-iso 22320 gestión de emergencias · pdf fileiso 22300:2012 societal security....

UNE-ISO 22320GESTIÓN DE EMERGENCIAS

RESPUESTA A INCIDENTES

www.gestionemergencias.es

ASPECTOS BÁSICOS E IMPLANTACIÓN

Sobre este documento

Este documento contiene un resumen ejecutivo de la ponencia “LaNorma UNE-ISO 22320:2013 sobre Gestión de Emergencias” con laque Start Up participó en la Jornada sobre Gestión de Emergenciascelebrada el 28 de marzo de 2014 en AENOR (Madrid).

Su objetivo es doble: por un lado, señalar los aspectos másdestacados de la Norma ISO 22320 y su relación con la gestióncorporativa y, por otro, presentar brevemente la metodología deimplantación que Start Up utiliza en todo sus proyectos.

Para la elaboración del mismo se han tenido en cuenta los trabajosdesarrollados por AENOR, CEN E ISO, la legislación de referencia(especialmente, la Ley 8/2010 de Protección de InfraestructurasCríticas, con la que los operadores públicos y privados que seancaracterizados como críticos habrán de adoptar sistemas de gestiónde su seguridad global, basados fundamentalmente en losestándares normativos internacionales existentes), así como lapropia experiencia de Start Up en la implantación de sistemas degestión de emergencias y continuidad.

Sobre los autores

Andrés Álvarez. Ingeniero de Minas de con más de 20 añosde experiencia en gestión de proyectos. En la actualidad esDirector de Seguridad Integral de Start Up.

[email protected]

Milenka MacDowall. Ingeniera Informática y Auditora desistemas de gestión según normas ISO 27001, 20000-1 y22321 por AENOR, BSI, ITSMF e ISACA (CISA, CRISC, ITIL). Enla actualidad es Consultora Sénior en Start Up.

[email protected]

ÍNDICE

1. Introducción

2. Normalización

3. La Norma ISO 22320

4. Implantación de un sistema de gestión de emergencias

5. Beneficios

Sobre Start Up

UNE-ISO 22320GESTIÓN DE EMERGENCIASRESPUESTA A INCIDENTES

ISO 22320. GESTIÓN DE EMERGENCIAS. RESPUESTA A INCIDENTES ASPECTOS BÁSICOS

START UP. 2014www.gestionemergencias.es 1

mailto:[email protected]






http://www.gestionemergencias.es/

A raíz de los ataques terroristas del 11 de septiembre de2001 en los Estados Unidos y de los posteriores en España yel Reino Unido, la sociedad internacional fue consciente dela necesidad de tomar medidas de seguridad, en todos losámbitos posibles, con el fin de contribuir a proteger a losciudadanos frente a diferentes tipos de situaciones deriesgo, ya sean éstas generadas por el hombre, de maneraintencionada o no, o por la propia naturaleza.

Asimismo, las consecuencias de los desastres naturales delos últimos años -el terremoto de Haiti, el tsunami deIndonesia, las inundaciones y los ciclones en Australia, elterremoto en Nueva Zelanda, el terremoto y posteriortsunami y desastre nuclear en Japón, o los más cercanosterremotos acontecidos en Lorca (España) e Italia- tambiénhan puesto de manifiesto la necesidad de mejorara lagestión de los riesgos asociados al comportamiento de lasfuerzas naturales y de la situaciones qué estos puedenproducir.

Por otro lado, la creciente complejidad de la interacciónhumana está dando paso a la aparición de nuevos riesgos y,sobre todo, está despertando el interés de la principalesinstituciones del mundo acerca de cómo poder minimizar,en todo lo posible, las situaciones lesivas que puedanproducirse, de manera intencionada o no, comoconsecuencia de los mismos. Los ataque ciberterrorristas delos últimos años (a Estados, empresas o ciudadanos), lagestión de aglomeraciones y posibles emergencias (latragedia de la Love Parade en Duisburgo en el año 2010, elMadrid Arena, …), o accidentes como el acontecido en lasvías de Angrois, por ejemplo, son algunos de los hechos queponen de relieve la necesidad de trabajar de maneraexhaustiva en la gestión y coordinación de la respuesta aincidentes.

El interés por mejorar la gestión de la seguridad de losciudadanos por parte de sus instituciones representativas haido parejo al incremento de la preocupación por parte deotros organismos (tanto públicos como privados) cuyaparticipación activa en la gestión es imprescindible, aunque,a priori, esto pueda suponer un esfuerzo importante en lastareas de coordinación y preparación.

Fruto de esta preocupación por la seguridad considerada deuna forma integral, tanto lógica como física, se handesarrollado distintas normas internacionales entre las quese encuentra la Norma UNE-ISO 22320:2013, Protección ySeguridad de los Ciudadanos. Gestión de emergencias.Requisitos para la respuesta a incidentes, así como diversas

iniciativas legislativas, entre las que cabe destacar laDirectivas europeas SEVESO o más recientemente la Ley8/2011 sobre Protección de Infraestructuras Críticas,promovida por el Gobierno de España y dirigida a laprevención y protección de aquellos servicios básicos para laciudadanía, como pueden ser el suministro eléctrico, deagua o las telecomunicaciones, entre otras. Esta Ley obliga aque los operadores públicos y privados que seancaracterizados como críticos adopten sistemas de gestión desu seguridad global, basados fundamentalmente en losestándares normativos internacionales existentes. Entreellos, el que entendemos como fundamental para todasaquellas organizaciones que puedan verse involucradas enactuaciones de respuesta a incidentes con riesgosimportantes para la sociedad, es la Norma UNE-ISO 22320de Gestión de Emergencias.

“El objetivo consiste en salvar vidas,mitigar daños y perjuicios, así comogarantizar un nivel de base de lacontinuidad de las funcionesesenciales de la sociedad. Dichasfunciones incluyen la salud, losservicios de rescate, el suministro deagua, alimentos, electricidad ycombustible. Mientras que en elpasado el centro de respuesta aincidentes tenía un ámbito nacional,regional o incluso a nivel deorganizaciones individuales, hoy ypara el futuro, hay una necesidad deenfoque transversal debido a que, lamayor parte de las veces, larespuesta ante emergencias requierela involucración de muchasorganizaciones tanto públicas comoprivadas”.Fuente: http://lascertificaciones.blogspot.com.es/2013/02/iso-22320-sistema-de-gestion-de.html



1. INTRODUCCIÓN


Las iniciativas que se han puesto en marcha desde el ámbitode la normalización, tanto a nivel internacional como a niveleuropeo y español, han sido impulsadas para facilitar lacoordinación de todas las partes interesadas e implicadas enla protección civil y poner a su disposición las mejoresherramientas de gestión aceptadas internacionalmente.

Por un lado, ISO se moviliza por iniciativa principalmente delorganismo norteamericano, ANSI, y se toma la decisión decrear un órgano de máximo nivel asesor del Consejo Técnicoen materia de Seguridad (ISO/TMB SAG “Security”). Esteórgano, además de proponer el inicio de trabajos denormalización en campos ya cubiertos por comités técnicosexistentes (detectores radiológicos/nucleares; detectores deántrax; Normas de ciber-seguridad; Biométrica deentrada/salida; Sensores químicos/de explosivos;Simulación y análisis; Formación para responsables deemergencias; Comunicaciones interoperables, etc.), tambiénha reactivado el comité ISO/TC 223 “Societal Security”,originalmente denominado “Civil Defence” y que en laactualidad cuenta con 47 países participantes.

Por su parte, la Comisión Europea ha preparado en losúltimos tiempos numerosos documentos dirigidos apromover la utilización de la normalización europea comoapoyo al desarrollo de iniciativas reglamentarias orientadasa aumentar la protección y la seguridad de los ciudadanosde la Unión Europea. Así mismo, es igualmente destacable elenorme presupuesto destinado por el 7º Programa Marcopara investigación pre-normativa en el campo de laSeguridad. Como consecuencia de las solicitudes decolaboración de la Comisión al Comité Europeo deNormalización (CEN), se creó en 2005 un grupo de trabajoasesor del Consejo Técnico que ha dado lugar al comitéCEN/CT 391 denominado “Protection and Security of theCitizen”.

En España, con el fin de realizar el seguimiento de todosestos trabajos y elaborar normas y guías nacionales, se creóen 2008, a petición de AENOR y por resolución de laDirección General de Desarrollo Industrial del Ministerio deIndustria, el comité de Normalización AEN/CTN 196,Protección y seguridad de los ciudadanos cuyaresponsabilidad se centra en la normalización en el área dela seguridad de los ciudadanos, con el objetivo deincrementar la capacidad de gestión de crisis medianteconsideraciones técnicas, humanas, de organización, deoperación y gestión, así como la concienciación de todas laspartes implicadas.

Para ello, en el seno de AENOR se elaborarán documentosnormativos tanto para prevenir como para responder anteriesgos de crisis y desastres causados de maneraintencionada o no o por la propia naturaleza, que alteren ytengan consecuencias en las funciones de la sociedad,considerando todo tipo de riesgos y cubriendo las fases degestión de crisis y emergencias, antes, durante y después deun incidente que afecte a la seguridad de los ciudadanos

Fuente: www.iso.org /Consultado 2014-03-24/

(*) Versión española: UNE-ISO 22320:2013. Protección y Seguridad de los Ciudadanos. Gestión de emergencias. Requisitos para la respuesta a incidentes. Disponible en www.aenor.es

Normas aprobadas

ISO 22300:2012 Societal security. Terminology

ISO 22301:2012 Societal security. Business continuity managementsystems. Requirements

ISO 22311:2012 Societal security. Video-surveillance. Exportinteroperability

ISO/TR 22312:2011 Societal security. Technological capabilities

ISO 22313:2012 Societal security. Business continuity managementsystems. Guidance

ISO 22320:2011 Societal security. Emergency management.Requirements for incident response (*)

ISO 22398:2013 Societal security. Guidelines for exercises

Normas en elaboración

ISO/DIS 22315 Societal security. Mass evacuation. Guidelines for planning

ISO/NP 22316 Societal security -- Organizational resilience --Principles and guidelines

ISO/WD 22317 Societal security. Business continuity management systems. Business impact analysis (BIA)

ISO/WD TS 22318 Societal Security. Business continuity management.Guidance for supply chain continuity

ISO/DIS 22322 Societal security -- Emergency management -- Public warning

ISO/DIS 22324 Societal security. Emergency management. Colour-coded alert

ISO/CD 22325 Societal security. Emergency management. Guidelines for emergency management capability assessment

ISO/DTR 22351 Societal security. Emergency management. Message structure for exchange of information

ISO/FDIS 22397 Societal security. Guidelines for establishing partnering arrangements

2. INICIATIVAS DE

NORMALIZACIÓN

ISO/TC 223 Societal Security



http://www.iso.org/

http://www.iso.org/iso/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/catalogue_detail.htm?csnumber=56199







http://www.iso.org/iso/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50052










La Norma ISO 22320, Protección y Seguridad de losCiudadanos. Gestión de emergencias. Requisitos para laRespuesta a Incidentes, recoge las mejores prácticas paraproporcionar una respuesta eficaz ante un incidente deacuerdo con una serie de requisitos mínimos aplicables acualquier tipo de organización y describe las pautas para elestablecimiento de las estructuras organizativas yprocedimientos para el mando y el control, apoyo a ladecisión, la trazabilidad y la gestión de la información en lagestión de situaciones de emergencia, independientementedel marco legal en el que opere.

La norma también ayuda a asegurar que la información esoperativa, oportuna, pertinente y precisa para los procesos,sistemas de trabajo e información especificados.

Asimismo, establece las bases para la coordinación y lacooperación, asegurando que todas las partes pertinentesactúan alineadas durante un desastre, lo que minimiza elriesgo de malentendidos y garantiza un uso más eficaz de losrecursos combinados (la interoperabilidad entre lasorganizaciones involucradas es esencial para el éxito derespuesta ante incidentes).

El estándar proporciona ejemplos de los roles y lasresponsabilidades habituales, aunque éstos deban seradaptados a la estructura local de respuesta a incidentes yde los tipos de incidentes posible. Señala, a su vez, losrequisitos mínimos para establecer procesos de gobierno,facilitar el flujo de información y coordinar a todos losimplicados en la resolución de emergencias.

Las actividades principales para dar respuesta eficaz anteun incidente pasan por diferentes etapas: En primer lugar, un momento previo en el que se debenevaluar y categorizar los riesgos, y en función de elloelaborar unos planes y protocoles de actuación frente acada escenario. A continuación, el momento en el que se desata el sucesoperturbador, que es detectado a través de la activación delas alarmas correspondientes, se da paso a los procesos demando y control, de información operacional, así como a lacoordinación y cooperación con el objetivo de mitigar deinmediato los efectos negativos. Una vez transcurrido el incidente, el objetivo es trabajar enla recuperación y capacidad de la organización pararestablecer la normalidad de la actividad lo antes posible.

Para la norma ISO 22320 la gestión de emergencias secompone de las tres fases de un evento disruptivo (antes,durante y después) que deben ser gestionadas de acuerdo aun sistema estructurado de mando y control.

Un sistema estructurado de mando y control permite: un entendimiento común de los fines y objetivos; una imagen operativa común de la situación; vínculos con otras organizaciones fuera de la línea demando; el nombramiento y la designación de administradores yentidades competentes; la organización y control de los servicios de emergenciapúblicos y privados.

El proceso de mando y control sigue

el principio PDCA (Plan-Do-Check-

Act) de mejora continua. Este

proceso se ajusta continuamente

debido al impacto de las medidas de

respuesta (positiva) o para la

evaluación del incidente (negativo).

.

Fuente: Ernst-Peter Döbbeling. 2012. ISO

Fases de la gestión de emergencias

3. LA NORMA

ISO 22320




La información operacional proporciona la base para laevaluación de la situación y la toma de decisiones. Laproducción, integración y difusión de la informaciónoperativa, son elementos esenciales en el mando y control.En caso de emergencia o de crisis, las rutas normales deinformación y comunicación pueden ser interrumpidas y, lainformación en sí misma, puede ser intencionalmentemanipulada o mal transmitida y/o entendida, por lo quedisponer de instrumentos eficaces para su permanentecontrol es una actividad básica para asegurar la correctagestión de las emergencias.

Fuente: Ortiz, 2013. AENOR

La cooperación es otro de los conceptos claves que se tratanen la norma. Se define como el acuerdo para trabajar oactuar en conjunto de acuerdo a los intereses generales yvalores comunes.

La cooperación, como cualquier otro proceso, tiene que serevaluado, preparado, establecido, y probado de antemanosobre la base del análisis de riesgos. Esto facilita lasoportunidades para la planificación de respuestas aincidentes de manera eficaz y económica. La cooperaciónpermite optimizar recursos y mejorar la respuesta de lacomunidad ante situaciones de crisis reduciendo, además, lacreciente complejidad de la colaboración pública y privada,nacional e internacional, en la gestión de emergencias

ISO 22320 también facilita una buena coordinación derespuesta a incidentes entre las organizacionesgubernamentales y la industrias y es aplicable a todas lasorganizaciones del sector público y privado que puedanestar implicadas en la respuesta a emergencias. Unaorganización puede utilizar este estándar para identificar losrequisitos de desempeño individuales y organizar la toma dedecisiones en situaciones de crisis, cuando la toma dedecisiones jerárquica normal, se interrumpe. La normapermite planificar e implementar un completo y bienestructurado sistema de respuesta a incidentes bajo laspremisas de coordinación, cooperación y colaboraciónpúblico-privada.

OTRAS NORMAS

Como se ha indicado, la Norma ISO 22320 da respuesta a lanecesidad planteada en la gestión de emergencias de unaestructura de gobierno y control, coordinación ycooperación para efectiva y eficaz. Esta norma proporcionalos requisitos mínimos para establecer procesos degobierno, facilitar el flujo de información y coordinar a todoslos implicados en la resolución de emergencias.

No obstante, para abordar adecuadamente las adversidadesa las que se puede estar expuesto se debe hacer uso de unametodología de gestión de riesgos para comprender yacometer con total fundamento cualquier situación crítica.En este sentido, la norma ISO 31000, Gestión de Riesgos.Principios se utilizará como marco genérico para la gestiónde todos los riesgos asociados, no sólo a situaciones deemergencia sino también a cualquier otro tipo ed riesgocorporativo.

La preparación para responder a las incidencias y losprogramas de continuidad operacional se realizarán con laNorma ISO 22301, Seguridad social. Sistemas de gestión decontinuidad. Requisitos que especifica los requisitos paraplanificar, establecer, implementar, operar, monitorizar,revisar, mantener y mejorar continuamente un sistema degestión documentado para reducir la probabilidad deocurrencia, prepararse, responder, recuperarse y protegersede y contra incidentes perturbadores. Esta norma establecelos requisitos de un sistema de gestión para trataremergencias alineado con el resto de sistemas de gestiónISO.

Asimismo, también deben ser tenidas en cuenta todas lasnormas elaboradas por el comité ISO/TC 223 así como lalegislación y guías prácticas de referencia.

Proceso para proporcionar información adicional




¿Por qué implantar la Norma UNE-ISO 22320?

La Norma UNE-ISO 22320 es una herramienta que cualquierorganización implicada en la respuesta a incidentes: públicao privada, pequeña o grande, puede utilizar para mejorarsus capacidades y habilidades para manejar todo tipo deemergencias. Y no sólo mejorar las suyas sino mejorar lacapacidad conjunta de actuación fortaleciendo lacoordinación y cooperación con otros agentesintervinientes.

Dentro de las organizaciones que pueden verse implicadasen la respuesta a incidentes, podemos diferenciar aquéllasque por la naturaleza de sus actividades van a participar enlas diferentes actuaciones de emergencia (centros decoordinación público; fuerzas y cuerpos de seguridad delestado; unidades de intervención militar; sector sanitario;bomberos;…) y aquéllas que por incidentes en susinstalaciones pueden verse afectadas por una situación deemergencia y tienen que estar preparadas para actuarfrente a ellas. Dentro de este segundo grupo podemosdiferenciar los operadores de infraestructuras críticas; esdecir aquéllas proporcionan servicios esenciales a lapoblación.

Es importante que todas las organizaciones que “se puedan”ver involucradas en la respuesta a incidentes tengan unoscriterios de intervención ordenados bajo un sistema degestión de la seguridad, pero es esencial que lasorganizaciones que “están” involucradas en la respuesta aincidentes y los operadores de las infraestructuras críticaslos tengan.

En esta línea están evolucionando los nuevos marcosnormativos, destacando la Ley 8/2011 PIC de Protección deInfraestructuras Críticas que fomentará la adopción desistemas de gestión integral de la seguridad basados enestándares internacionales como la Norma UNE-ISO 22320.

Por nuestra experiencia, a pesar de las grandes inversiones ygastos que en materia de seguridad asumen las diferentesorganizaciones que se pueden ver sometidas a situacionesde emergencia, existe una relajación y desatención respectoa los aspectos normativos que les aplican y una falta deorganización y sistematización acusada en sus protocolos yprocedimientos de actuación.

Por ejemplo es muy frecuente que los Planes deAutoprotección o Planes de Emergencia estén desfasadosy/o se hayan elaborado con la única perspectiva de uncumplimiento administrativo sin que sean un documentoque se corresponda con la realidad de la organización y suforma de proceder. De igual modo, diferentes aspectos dela Norma Básica de Autoprotección o de las normasespecíficas sectoriales se descuidan en la práctica:Programas de formación y divulgación; programas demantenimiento de los medios de extinción y seguridad;…Por otra parte, no existe conocimiento ni por lo tantocoordinación con los Planes de Autoprotección de otrasorganizaciones subordinados o principales,….

Estas cuestiones que aparentemente suponen únicamenteun incumplimiento normativo con repercusiones tan solo enel ámbito administrativo, pueden cobrar un protagonismode una relevancia excepcional si se tiene la desgracia de queocurra un suceso grave. La perspectiva de estas cuestionesno tengan duda, lo estamos viendo en otras catástrofes, serátotalmente distinta y las responsabilidades, por activa opasiva, puede pasar a otro plano nada deseable.

Desde un punto de vista más práctico, por quérecomendamos la implantación de la Norma UNE-ISO 22320:

A los agentes “activos” en las emergencias, además depara la mejora de sus capacidades, fundamentalmente parala adopción de un lenguaje común que será básico para unaadecuada coordinación y cooperación con el resto deagentes.

A los operadores críticos, porque estarán obligados aadoptar un sistema de gestión integral de la seguridad y laadopción de la UNE-ISO 22320 les dará respuesta a una granparte de los requerimientos a los que estarán sujetos.

Al resto de organizaciones que se puedan ver implicadasen actuaciones de respuesta a incidentes para reforzar laatención sobre aspectos que la improbabilidad de queaquéllas puedan materializarse, puede derivar en undescuido de sus obligaciones.

4. IMPLANTACIÓN




Implantar un Sistema de Gestión de Emergencias de acuerdoa la Norma ISO 22320 obligará a la organización a someterseanualmente a una auditoría de revisión o certificación que,como premisa inicial, verificará el cumplimiento del marconormativo y servirá de acreditación frente a terceros de talcircunstancia y del compromiso de la organización con lavigilancia de tales aspectos.

Asimismo implantar un Sistema de Gestión de Emergenciasde acuerdo a la Norma ISO 22320 permitirá optimizar losprocedimientos y ajustarlos a la realidad mejorando lacoordinación de todos los posibles agentes intervinientes.Como en muchos otros aspectos, en la mayoría de lasocasiones se trata de procedimentar los protocolos que yase siguen en la organización.

¿En qué consiste?

Como hemos señalado, la implantación de la Norma UNE-ISO 22320 supone adaptar las actuaciones de respuesta aincidentes en nuestra organización a las mejores prácticasdisponibles y hacerlo en las tres fases de un incidente: antes,durante y después. La respuesta a incidentes comprenderáun conjunto de acciones para detener las causas de unpeligro inminente, para mitigar sus consecuencias y pararecuperarse de sus efectos.

Cualquier organización debe disponer de unos planes deactuación ante las emergencias que se puedan producir ensus instalaciones ya que nuestra normativa prevé suelaboración tanto en preceptos de carácter general, como esla Norma Básica de Protección, como en lasreglamentaciones específicas que afectan a determinadasactividades e instalaciones.

La Norma UNE-ISO 22320 basa la respuesta a

incidentes, en cualquiera de sus tres fases

(antes, durante y después), en tres pilares

básicos:

Establecimiento de una estructura y un

proceso de mando y control;

Definición de procesos para la gestión de la

información operacional;

Requisitos para la cooperación y coordinación

entre las distintas organizaciones implicadas.

De esta manera, implantar la Norma UNE-ISO 22320 nosupone más que adaptar los Planes existentes en laorganización a estos requisitos de la Norma.

Se puede entender fácilmente que esta adaptación serátanto más sencilla cuanto mayor sea el grado de“cumplimiento” de la normativa actual. Es decir, que laorganización cuente con unos Planes de Emergenciaactualizados, que respondan a la realidad operativa de laorganización y que sean conocidos por sus miembros.

¿Cómo se implementa?

Destacaremos en primer lugar que para implantar la NormaUNE-ISO 22320 no es necesario, aunque sí recomendable,contar con sistemas de gestión que cumplan con otrosestándares normativos. Es más, adoptar esta Norma nosupone desarrollar un sistema de gestión de nuestrasactuaciones de respuesta a incidentes entendido éste en unsentido amplio. No obstante, es evidente nuestrarecomendación de integrar estos procedimientos con lossistemas de gestión de nuestra actividad, si se dispone deellos, o de desarrollar, en su caso, un sencillo Plan deGestión de las actuaciones de respuesta a incidentes con laelaboración de un manual que incluya por una parte losprocedimientos que prescribe la Norma UNE-ISO 22320 y,por otro, que incluya los procedimientos el seguimiento ycontrol de nuestra propia gestión, en cuanto al controldocumental, gestión de no conformidades y accionescorrectivas y preventivas, auditorías internas, gestión derecursos humanos y revisión del sistema.

Podemos distinguir cuatro fases para la implantación de laNorma:

Evaluación/Auditoría de diagnóstico: donde se tiene encuenta la documentación existente: Planes de respuesta aemergencias propios y externos, procesos y procedimientosinternos, y legislación de referencia,

Definición de alcance y desarrollo de política de respuesta aemergencias. La política es un documento de alto nivel, queestablece las metas y objetivos generales de la organizaciónen materia de gestión de emergencias.

Elaboración e implantación de procedimientos alineadoscon los planes y documentación:Procedimiento de mando y control; Procedimiento degestión de la información operacional; Procedimiento decooperación y coordinación.

Plan de mejora y revisión de cumplimiento del sistema.




Las 4 fases de Start Up

1. Evaluación inicial / Auditoría de diagnóstico

El punto de partida para la implantación de la Norma será elanálisis y revisión de toda la documentación existente en laorganización relativa a las actuaciones de respuesta aincidentes: Planes de emergencia o de autoprotección existentes en laorganización. Planes de actuación subordinados o principales deorganizaciones que dependan o en las que se integre lanuestra. Planes de mantenimiento; formación; divulgación;programa de auditorías e inspecciones; de simulacros; desustitución de medios y recursos;… Acuerdos y contratos con agentes bien subordinados oprincipales que intervengan en la respuesta a incidentes. Y en general cualquier otra documentación que determineo que afecte a las actuaciones de respuesta a incidentes o asu preparación.

De este análisis se deducirá la necesidad de actualizacióny/o modificación de su contenido para que cumpla con losrequisitos normativos que le aplican y para que responda ala realidad de las instalaciones de la organización y a susistemática de actuación frente a incidentes.

2. Definición de alcance y desarrollo de política derespuesta a emergencias

En el alcance se define el ámbito de actuación de la norma ysus límites. Abordará aspectos generales de lo que pretendela organización con la implantación de la norma, como porejemplo: Establecer las metas y objetivos en materia de respuesta aemergencias así como definir su compromiso en materia degestión de emergencias Conocer y disponer de los medios necesarios pararesponder a las emergencias. Informar y formar al personal para actuar con eficacia yrapidez ante las situaciones de emergencia. Analizar y prevenir las causas de posibles emergencias. Establecer una mejora continua de los sistemas y planes derespuesta a emergencias.

La Declaración de Política, deberá estar formalmenteaprobada por la Dirección y distribuida y comunicada atodas las partes interesadas.

..

3. Elaboración e implantación de procedimientos

Procedimiento de mando y control

Como paso previo para definir la estructura de mando, sedeberá establecer una clasificación de las posiblessituaciones de emergencia y los distintos niveles de “alerta”en las mismas. Los procedimientos de mando y controldeterminarán qué personas ocupan cada nivel jerárquicodefinido en cada estadio de la emergencia que hayamosdefinido. Se deben establecer sus responsabilidades y losperfiles para saber quién puede hacerse cargo de esaresponsabilidad.

La Norma nos determina los aspectos a incluir en losprocesos de mando y control durante todas las fases de unincidente, de manera que quien tome la decisión lo hagacon el mayor y mejor conocimiento posible de la situaciónen el menor tiempo posible y que las ordenes que se derivense trasmitan fielmente y produzcan los efectos deseados.

La toma de decisiones debe ser lo más clara y transparenteposible. La toma de decisiones debe ser comunicada dentrode la organización y a otras organizaciones interesadas, asícomo al público, en su caso.

El sistema de gestión debe establecer los lugares einstalaciones apropiados para la ubicación de losresponsables de la toma de decisiones; es decir, centros demando o control. Se podrá establecer un único centro demando o varios, pero, en este último caso, tendrán una claradependencia jerárquica. Los centros de mando facilitarán larecepción y gestión de la información y la aplicación de lasórdenes y adecuado uso de los recursos disponibles.

Respecto a los recursos humanos necesarios para lasacciones de respuesta a incidentes en cada tipo deemergencia y en sus diferentes fases, el sistema de gestióndeberá prever su organización de manera que suintervención se produzca en el menor tiempo posible. Seprimará la participación del personal que participe en lagestión “ordinaria” de la empresa en el momento que seproduzca el incidente. El sistema de gestión determinará laforma de alertar y adscribir otros recursos.

Como hemos indicado el sistema de gestión establecerá losperfiles profesionales de los miembros de la estructura demando pero, además, indicará la formación necesaria decada actuante para prever las necesidades formativas aestablecer.




El sistema de mando y control, se centrará en los aspectosde competencia de la propia organización y los de agentessobre los que tenga ascendencia, para los que seránvinculantes. Será recomendable que los procedimientos,aunque sólo tenga efectos meramente informativos,contemplen la cadena de mando general en actuaciones deenvergadura en la que se requiera una intervención másamplia. Aunque los procedimientos son escalables eintegrables, un conocimiento de un espectro más amplioque el que es estrictamente de nuestra competencia.

Procedimiento de gestión de información operacional

El segundo pilar básico de la Norma ISO 22320 estáconstituido por los procesos de información operacional. Lainformación operacional proporcionará la base para laevaluación de la situación y por lo tanto, para la adecuadatoma de decisiones, la organización de los recursos y lasactividades de control. En definitiva, la informaciónoperacional en la respuesta a incidentes es necesaria paragestionar de forma eficaz las actividades de respuesta.

La Norma introduce el calificativo de operacional paradistinguir la información que manejaremos en la gestión deemergencias de la información en general que podemostener a disposición.

Se distinguen principalmente dos tipos de información:

Estática: Información previa al incidente que vienerecogida en los propios Planes y sus Anexos o que puedetener disponible previamente alguna organizacióncolaboradora (por ejemplo; planos, recursos humanos ytécnicos, información de contacto, etc.).

Dinámica: Es la información que se genera y gestionadurante la situación de emergencia.

La Norma establece unos procedimientos de transformaciónde manera que del conjunto de información disponibleobtengamos una información operacional que sea útil anuestros propósitos. La información disponible será tanto laque podamos tener de manera previa relativa al lugar en elque ocurre el incidente, información estática; como lainformación dinámica que se vaya generando en eldesarrollo de las actuaciones de emergencia. En momentosen los que la toma de decisiones tiene que ser muy rápida setienen que preestablecer sistemas de tratamiento de lainformación para que en cada estadio de la toma dedecisiones se tenga la información necesaria y suficiente. Unexceso de información pude entorpecernos la toma dedecisiones tanto como un defecto. De esta manera, la normacaracteriza la información operacional y establece marcospara su gestión..

..

La Norma ISO 22320 determina la adopción, en el sistema degestión de actuaciones, de un proceso continuo paraproporcionar información operacional, incluyendo lassiguientes actividades:

a) Planificación y dirección: La información operacionaldeberá ser planificada y preparada como parte del procesode mando y control.

b) Recopilación: se deberán identificar y validar las fuentesde las que podremos obtener información y determinar lamanera de registrarla.

c) Tratamiento y explotación: se determinan procedimientospara tratar la información recopilada y que esta pueda serutilizada fácilmente por los responsables de la toma dedecisiones en todos los niveles y también por otrosparticipantes que la necesiten en sus actuaciones.

d) Análisis y producción: Durante el análisis y la producción,toda la información procesada disponible estará integrada,evaluada, analizada, e interpretada para crear informaciónoperacional. La información generada deberá atender a lasla prioridades en lo requerimientos o solicitudes deinformación del mando del incidente.

e) Difusión e integración: Durante la difusión e integración,la información operacional se entrega en función de sucategorización y uso por los responsables en la toma dedecisiones y otros usuarios. La difusión se ve facilitada poruna variedad de medios. Los medios estarán determinadospor las necesidades de los usuarios, las implicaciones y lacriticidad de la información operacional, y los medios detransmisión disponibles.

f) Evaluación y retroalimentación: Durante la evaluación y laretroalimentación, la organización llevará a cabo unaevaluación a todos los niveles para ver como se llevan acabo las actividades relacionadas con el suministro deinformación operacional. Basándose en estas evaluaciones,y la retroalimentación resultante, deberían iniciarseacciones correctivas, según sea necesario, para mejorar elproceso.

Los procesos anteriores establecidos dentro del sistema degestión para obtener la información operacional debenestablecerse atendiendo a los siguientes criterios: Calidad;Perspectiva; Sincronización; Integridad; Coordinación yCooperación; Priorización; Predicción; Agilidad;Colaboración y Fusión.




Procedimiento de cooperación y coordinación

La coordinación es el objetivo fundamental que persigueesta Norma. Podemos decir que el resto de procedimientosse ponen al servicio de este objetivo superior.

La coordinación es la forma en que estas diferentesorganizaciones trabajan juntas para lograr un objetivocomún.

Cada organización tiene su propia línea de jerarquía, mandoe información. El reto consiste en integrar las respuestasindividuales para lograr una sinergia en la medida en que larespuesta a incidentes tiene un objetivo unificado y unproceso de consenso en la toma de decisiones.

Respecto a la Cooperación y en la medida que sea posiblenos deberemos ajustar a las prescripciones de la Norma demanera que podamos llevar a cabo las siguientesactuaciones:

- Evaluar la necesidad de la cooperación con otrasorganizaciones, actores y partes interesadas para prepararuna eficaz respuesta a incidentes,- Establecer acuerdos de cooperación sobre la base de laevaluación,- Permitir la integración de los socios de la cooperación en elproceso de mando y control mediante el intercambio deexpertos en su caso, y- Testar, evaluar y revisar los acuerdos de cooperación aintervalos especificados por la organización.

El cumplimiento de esos aspectos de la Norma loatenderemos con la referencia al Marco legal deCooperación y/o Planes de Ámbito Superior respecto de losagentes Públicos, y a los contratos con agentes privados quepuedan participar en las actuaciones de respuesta aincidentes (empresa de seguridad; subcontratas; empresascon las que se establezcan compromisos de puesta adisposición de medios en caso de emergencias;…).

Respecto a la coordinación se propiciarán todo tipo deactuaciones que permitan a los agentes que puedan verseimplicados en actuaciones conjuntas de respuesta aincidentes a conocer sus respectivas organizaciones ysistemas de gestión y, en especial, con la realización desimulacros conjuntos.

4. Plan de mejora y revisión de cumplimiento

En base a una autoevaluación guiada por el equipoconsultor, o a través de la realización de una auditoríainterna, se evalúa el grado de cumplimiento y consistenciadel sistema´, indicando los puntos fuertes que hay que tratarde mantener y las áreas de mejora que permitan a laorganización planificar acciones y medidas que ayuden a lacumplir con los requisitos de la norma.

Para cada acción se define: Descripción de la acción Responsables Plazos Prioridad Recursos necesarios

Esta fase permite comprobar la correcta implantación de losprocedimientos y verificar el cumplimiento de los requisitosde la norma para que la organización esté preparada paraafrontar la auditoría de certificación.




La certificación de la Gestión de Emergencias según lasdirectrices propuestas por la Norma ISO 22320, se dirige acualquier tipo de organización -privada, pública,gubernamental o sin ánimo de lucro-, pero diferenciandodos enfoques distintos en función de la actividad de laorganización. En primer lugar, aquellas organizacionesdedicadas profesionalmente a gestionar emergencias en sudía a día, como organizaciones del ámbito sanitario o de lasfuerzas de seguridad y protección, ya sean públicas oprivadas. Y, en segundo lugar, organizaciones responsablesque estén comprometidas con dar una respuesta de formaeficiente y eficaz ante emergencias que les puedan afectar,pensando en minimizar el impacto del incidente y asegurarsu continuidad.

Esta certificación es compatible con otros sistemas degestión como el de Gestión Ambiental ISO 14001, el deSeguridad y Salud en el Trabajo OHSAS 18001 o la nuevaespecificación AENOR EA 31 Sistemas de Gestión del Riesgo,ya que comparte con ellos algunas herramientas comunes acualquier sistema de gestión, como la planificación,establecimiento de objetivos y metas, o accionescorrectivas, añadiendo, en este caso, una perspectivacompleta en cuanto a la respuesta ante incidentes, nocubierta íntegramente en otros sistemas de gestión.

En general, las organizaciones que implantan un Sistema deGestión de Emergencias en su organización según la NormaISO 22320 consiguen, sobre todo, desarrollar y mejorar suscapacidades para dar respuesta ante cualquier tipo deemergencia, independientemente de la dimensión de lamisma; esto es, ya sea un incidente, una crisis,interrupciones de la actividad o un desastre. Se garantizaque la información operativa es veraz y fiable, ya que seestablecen procesos de gestión de información y datos; y seminimizan los malentendidos al establecer una base decoordinación y cooperación entre las partes implicadas, asícomo una gestión más eficiente de los recursoscompartidos.

En aquellas organizaciones en las que su actividad principalconsiste en participar e intervenir en situaciones deemergencia, la certificación ISO 22320 aporta seguridad enel desarrollo de su actividad profesional. Asimismo,reconoce el compromiso de dar una respuesta eficaz através de los objetivos de respuesta planteados, así comouna gestión más eficiente de sus medios y recursos.

Con este certificado se reconocerá a las organizacionesresponsables implicadas en la respuesta eficaz antecualquier tipo de incidente de manera más óptima yeficiente junto con todas las partes implicadas. con su futuroy la continuidad de su actividad



5. BENEFICIOSLa Norma UNE- ISO 22320 además de permitir mejorarnuestra capacidad de respuesta frente a situaciones deemergencia supondrá:

Mejora de la organización, coordinación y toma dedecisiones en la gestión de emergencias:

Mejora las relaciones con las autoridades,administraciones y partes interesadas y mejora la imagenque éstas tienen de nuestra organización.

Alineación con los programas europeos y con losrequisitos legales sobre Planes de Emergencia.

Mejorar la imagen de la organización pudiendo serutilizada como herramienta de marketing.

La certificación en la norma, que ahora es un argumentodiferenciador, podría convertirse en un elemento a valorarpara acceder a los contratos del sector público en materiade servicios relacionados con la respuesta a emergencias.

En la práctica jurídica, la certificación ISO 22320 puedeayudar a demostrar que el empresario se ha preocupadopor la eficacia de las medidas organizativas utilizando parasu gestión las mejores prácticas disponibles en las normasinternacionales de referencia

ISO 22320 recoge las mejores prácticasmundiales para el establecimiento demando y control de las estructuras deorganización y procedimientos, apoyoa las decisiones, trazabilidad y gestiónde la información.

Ayuda a garantizar la informaciónoportuna, relevante y precisa operaciónpor procesos que especifican, sistemasde trabajo, captura de datos y lagestión.

Establece las bases de coordinación ycooperación, lo que garantiza quetodas las partes relevantes están en lamisma página durante un desastre, loque minimiza el riesgo demalentendidos y garantiza un uso máseficaz de los recursos combinados.


Sobre Start Up

Start Up es una compañía española con sede social en Asturiasespecializada en la implantación de estándares normativosinternacionales ligados al cumplimiento legal y a la gestión de laseguridad de la información y de la continuidad de negocio.

En este campo, es la empresa líder en España, tanto en elasesoramiento a la Administración Pública a través de la asistenciaen el cumplimiento de la Ley Orgánica de Protección de Datos y laimplantación del Esquema Nacional de Seguridad, como en elasesoramiento al sector privado en la implantación de la Norma ISO27001.

Asimismo, Start Up ha desarrollado la mayoría de proyectos deimplantación de la norma internacional ISO 22320 que han sidocertificados en España.

ServiciosGestión de Seguridad de la InformaciónEsquema Nacional de SeguridadEsquema Nacional de InteroperabilidadGestión de Servicios de TILOPDAnálisis y Gestión de RiesgosGestión de Continuidad de NegocioHacking ÉticoCalidad en el Desarrollo del SoftwareBuen Gobierno TICProtección de Infraestructuras CríticasIntegración de Sistemas de GestiónGestión de Emergencias - Respuesta a IncidentesGestión de evidencias electrónicas

El equipo de profesionales de Start Up se encuentra formado por unconjunto de expertos en Sistemas de Gestión, Tecnologías, Seguridadde la Información y Gestión de Riesgos Corporativos. Todos ellosestán certificados por entidades acreditadas a nivel internacional,tales como AENOR, BSI, Lloyd's, Applus, Microsoft (MCSA), ITIL oISACA (CISA, CISM y CRISC) como Expertos Implantadores y Auditoresde Sistemas de Seguridad de la Información, Sistemas de Gestión deServicios de TI y Sistemas de Gestión de la Calidad.

Start UpDirección: Ildefonso Sánchez del Río 10, 1ºB 33001 - Oviedo - AsturiasTeléfono: 985 20 75 59Móvil: 609 67 76 49Fax: 985 20 71 98Email: [email protected]

Es

ca

ne

e e

l c

ód

igo

y a

cc

ed

a a

nu

es

tra

lis

ta d

e C

lie

nte

s


une-iso 22320 gestión de emergencias · pdf fileiso 22300:2012 societal security....

Documents