Evolución histórica de las normas, estándares y legislación de BCM

Antes de que la anhelada ISO 22.301 sea publicada y se convierta en la norma de referencia a nivel global, conviene hacer una revisión del conjunto de normas que rigen actualmente la continuidad de negocio.

El primer estándar que se recuerda de continuidad de negocio es el NIS 800-34 "Contingency Planning Guide for IT" del gobierno de Estados Unidos. En este estándar es donde se empiezan a utilizar términos que han perdurado a lo largo del tiempo y que muchas veces han confundido más que ayudado. Son los términos de DRP, COOP, BCP, etc. Este estándar se publicó en 2002 y, sin duda, supuso la primera gran declaración de intenciones para el ámbito de la continuidad de Servicio IT.

Por el mismo año también se publicó la primera versión de la GPG del BCI, lo que sería el germen de la norma británica BS-25999 y que estaba más enfocada a la Continuidad de Negocio. El BSi decide en 2003 utilizarla como base para su norma publicando la norma PAS-56 (Pubicly Available Specification), que se mantuvo vigente hasta la publicación de la norma BS-25999-1 que la derrogó en 2006. Junto con esta norma se publicó la BS-25999-2 que describe el sistema de gestión y que es certificable.

Los organismos de elaboración de normas de Singapur y Australia siempre han estado muy concienciados con la continuidad de negocio y han publicado en este tiempo diferentes normas que completan, de una u otra forma, las normativas occidentales. En el caso de Singapur, publicó la SS507 BC/DR Service Providers que pretende identificar las características que deben cumplir los proveedores de sites de respaldo con el objetivo de la certificación. Durante un tiempo, fue rival de la BS-25999 por establecer los criterios de la norma ISO, pero finalmente no ha sido muy utilizada en occidente.

En el año 2006 se publica la PAS-77 del BSi, enfocada a cubrir la parte IT de la BS-25999, principalmente motivada por las críticas a esta norma por parte del sector, muy enfocado a la continuidad del servicio IT. En 2008 esta norma se convierte en BS-25777 IT Service Continuity Managemet Esta norma se ha convertido en ISO este año, mediante la ISO 27031, aunque no se espera que sea certificable. Notese que el comité técnico en el que se ha emplazado la norma es el 27, que se refiere a Tecnologías de la Información, mientras que la BS-25999 está en el 22: Social Security.

En el siguiente gráfico muestro una línea de tiempo que quizás aclare un poco este escenario de normas y estándares:

Esperemos que la 22301 se convierta en el estándar definitivo que termine de impulsar el sector desde un punto de vista de certificación, como todos esperamos.