¿Y si toca aqui?

Todos nos hemos planteado alguna vez qué pasaría si tocara el Gordo de Navidad en un décimo de los que se suelen jugar por todos los empleados de una empresa. Desde un punto de vista de Continuidad de Negocio parece que es un riesgo evidente, pero ¿hasta qué punto debe ser incorporado en los planes de continuidad de negocio?.
Como todo riesgo, dependerá de la probabilidad de ocurrencia (la experiencia nos dice que bastante baja) y del impacto que pueda provocar en caso de materializarse.

Si nos ponemos en el peor escenario posible (dese un punto de vista de continuidad, claro): que tocara el Gordo, supondrían 400.000 € al décimo. Asumiendo que cada empleado tiene un décimo y suponiendo que la reacción de cualquier empleado ante 400.000€ es abandonar su puesto de trabajo - al menos durante un año... - supone una probabilidad de una entre 100.000 de perder digamos al 90% de los empleados el día 22 de diciembre.
La probabilidad realmente es bastante baja (0,00001) - sin pretender desanimar al lector, que cualquier cosa puede pasar.

En cuanto al impacto que puede provocar la pérdida de empleados, esto va a depender de cada organización. Como ya comenté en mi anterior post Componentes que soportan en negocio , cada organización tiene un nivel de dependencia diferente de los cinco componentes clave en continuidad que marca la BS259999: Ubicaciones físicas, Personas, Infraestructura Tecnológica, Información y Proveedores. Aquellas compañías que tienen una baja dependencia de sus Recursos Humanos pueden dejar de leer. Para el resto, continuamos...

Si tenemos un impacto alto por pérdida de recursos humanos, el riesgo puede empezar a tenerse en consideración y por lo tanto puede empezar a tener sentido prever situaciones que amortiguen en impacto. Aquí tenemos que analizar otros dos conceptos:

• Qué pérdidas supone para la organización el prescindir del 90% de la plantilla. Muchas organizaciones ya tienen este análisis hecho de los planes de continuidad frente a pandemia de gripe A de hace un par de años y, lógicamente, irá creciendo con el tiempo de forma exponencial.
• Cuanto cuesta reponer el personal. Aquí tendremos diferentes procedimientos de actuación en caso de contingencia en función del cargo y la posición del empleado. Algunos serán de muy difícil reemplazo y, por lo tanto, habrá que establecer un procedimientos específicos para ellos. 

Una vez realizado el análisis, el siguiente punto es la contramedida. Cada organización tendrá que establecer la suya propia que permita recuperar el negocio ante la pérdida de personal en el menor tiempo posible. Sin embargo, hay dos acciones que es recomendable que realicen todas las organziaciones:

1. De cara a garantizar que la organización tendrá una partida económica lo suficientemente elevada para hacer frente a la falta de personal, es recomendable que participe en el sorteo con tantos décimos como el equivalente en premios al coste de los procedimientos de contingencia.
2. Para proteger al personal clave, la organización debería poder llegar a algún tipo de acuerdo con estos empleados que garantice que seguirán prestando servicios después del sorteo, por ejemplo, con clausulas de salida equivalentes a un alto porcentaje del premio. 

 Suerte a todos y que el día 22 existan muchos escenarios de continiuidad como este.

Herramientas de Gestión de la Continuidad de Negocio

Una de las decisiones importantes al establecer un sistema de gestión de Continuidad de Negocio es la de determiniar la necesidad o no de automatizar partes del proceso, lo que conlleva la elección de una herramienta de continuidad. El uso de cualquier herramienta condicionará tanto los procedimientos de mantenimiento como las actividades a realizar en caso de tener que activar el plan de continuidad.
Existen diferentes teorías sobre la idoneidad de utilizar herramientas de gestión de la continuidad, en función de la madurez del propio programa, tamaño de la organización y del alcance del mismo. Sin embargo, como veremos más adelante, existen diferentes tipos de herramientas y cada tipo puede ser más o menos útil sin importar el tamaño de la empresa sobre la que se aplique o el alcance del plan.

Existen dos grandes tipos de herramientas de continuidad:

• Herramietas pre-evento, son aquellas que se utilizan para garantizar la preparación que se  realiza en la organización. Es donde más herramientas vamos a encontrar, puesto que hay diferentes tipos de actividaes de preparación: análisis y gestión de riesgos, análisis de impacto, gestión de cumplimiento, gestión de conocimiento de los empleados, gestión de proveedores, gestión documental, etc. Algunos ejemplos de estas herramientas son la suite de eBRP, myCOOP de COOP,  CMS de SunGard, ShadowPlanner de ICM, RecoveryPlanner.com todas estas herramientas específicas de continuidad; Otras provienen del mundo de la seguridad, como son RSA-Archer y otras están más orientadas a la gestión documental, como PCN de Ecija aunque normalmente son cubiertas por desarrollos sobre SharePoint de Microsoft. Por último, hay algunas específicas para comprobar la continuidad tecnologica, como es RecoverGuard de ContinuitySoftware para los datos, e incluso módulos específicos asociados a CMDBs, como es el módulo de BC de Atrium
• Herramientas post-evento, se utilizan cuando se ha materializado una amenaza y, por lo tanto, ha ocurrido un evento. En este sentido tendremos básicamente dos tipos de herramientas: de notificación (Fact24, MIR3 Intelligent Notification, imodus o notifind, etc) y de gestión del incidente (Incident Manager de SunGard y ESi). Para este tipo de herramientas se requiere un acceso rápido e intuito a la información desde cualquier lugar, dado que van a resultar críticas en momentos clave de la continuidad de negocio.

En la siguiente infografía se puede observar el uso de las diferentes herramientas en función del tiempo alrededor de un incidente.

En España, debido a que históricamente la continuidad de negocio ha sido acometida en las empresas desde las áreas de Seguidad Logica, se han potenciado mucho las herramientas de gestión de riesgo, gestión de cumplimiento y análisis de impacto, llegando en algunas empresas con un nivel de madurez alto a desarrollarse sus propias herramientas. También hay múltiples desarrollos propios en Sharpoint para cubrir la divulgación y gestión documental.
Sin embargo, para que una herramienta sea realmente efectiva desde el punto de vista de continuidad, es imprescindibe que tenga una única base de datos, o que esta esté sincronizada. De esta forma se evitará dedicarle más tiempo a la gestión de la herramienta que a la propia gestión de la continuidad de negocio.

Una amenaza menos, toca actualizar los planes

Estamos acostumbrados a que los planes de continudad de negocio sean ampliados con nuevas amenzas y riesgos, basados en los acontecimientos que van ocurriendo. Es normal ir actualizando los planes con más  amezas y escenarios inicialmente no contemplados. Sin embargo esta vez toca justo lo contrario: actualizar los planes de continuidad de negocio eliminando una amenaza, o al menos el reducir el riesgo de que se materialice una amenaza. Estoy hablando, naturlamente, del anuncio del cese definitivo de la violencia de ETA.

Si analizamos las principales causas de activación de planes de continuidad de negocio no IT, podemos decir que los acontecientos que han provocado mayor número de activaciones son tres:

• Grandes nevadas, que provocan que los empleados no puedan llegar a sus lugares de trabajo.
• Falta de suministro por parte de los proveedores, por ejemplo, apagones eléctricos como los incendios en subestaciones eléctricas que afectaron a la zona de retiro en el 2008.
• Conscuencias de ataques terroristas, bien estallido de bombas, como las del edificio Bull del Campo de las Naciones en 2005, que provocó el desalojo de los edificios cercanos (Correos, Endesa, Cepsa, etc) o del 2009, que podemos recordar en este video.

 

A partir de ahora podremos empezar a contar esta tercera causa como algo testimonial y anecdótico, más que como una amenaza real. Aunque lamentablemente siempre habrá grupos dispuestos a sembrar el terror por estos medios, sin duda que en España ETA era la amenaza con mayor riesgo.

El anuncio es una muy buena noticia que todos esperabamos y que deseamos que sea convierta en definitiva y podamos eliminar esta amenaza de nuestros planes de continuidad de negocio. Espermeos que no sea la última amenaza que podamos descartar. 

BlackBerry y Continuidad

El incidente de BlackBerry va camino de convertirse en el incidente más grave de un servicio de comunicaciones de la historia y que sin duda aparecerá en la introducción de todas las presentaciones sobre continuidad de negocio de las empresas proveedoras de servicios. Sin servicio desde el lunes por la mañana, el incidente recuerda a aquél que en 2003 mantuvo indisponible la red de Vodafone durante todo un día, afectando a 8 millones de usuarios. A partir de ese incidente, con pérdidas millonarias para Vodafone, la operadora se planteó en serio el disponer de planes de continuidad de negocio realmente eficaces y actualizados.
Los 70 millones de usuarios BlackBerry sin servicio están demostrando que quizás no era tan buena idea que el servicio y el terminal sea proporcionado por la misma empresa. Si la estrategia de BB estaba en entredicho desde hacia algún tiempo, ahora los últimos incidentes van a hacer a las operadoras cuestionarse si realmente tiene sentido.

En análisis desde un punto de vista de continuidad debe ir en tres vías:

• Como usuarios de BB, tanto usuarios finales, autónomos, pymes y gran empresa, el servicio pone en prueba los mecanismos de contingencia para garantizar que el conjunto de servicios (correo movil, messenger, whasapp, etc), muchos de ellos críticos para algunos negocios, puedan seguir prestandose. Los planes de continuidad de los usuarios finales y empresas deben incrementar el riesgo de que ocurra este tipo de incidentes.
• Como operadoras, aquellas que han paquetizado productos alrededor del los servicios que ofrece BB, deberán ahora rendir cuentas de cara a los usuarios, puesto que son los comercializadores de los servicios y los que tendrán la responsabilidad última frente a usuarios y empresas. Para aquellas operadoras que no lo hallan echo, deberán actualizar sus casos de negocio de los servicios BB, incorporando una mayor probabilidad de fallo y estableciendo los mecanismos/provisiones de fondos en consecuencia.
• La propia BB, se debe enfrentar a varios retos para garantizar la supervivencia en un mercado cada vez más difícil y dualizado hacia iOS y Android. Por un lado, las acciones de la compañía caen en picado, por otro, la sensación de fiabilidad de su servicio les va a costar mucho recuperar. 

No queda mucho más que desearles suerte a los gestores de la crisis de BB para que puedan recuperar pronto el servicio. 

Un aspecto que si se debe alabar de la gestión de la crisis de BB es la publicación de la información. El establecer un diario online de publicación de información ha sido buena idea, aunque algo tardía, en determinados momentos, se ha echado de menos algo más de información. 

La importancia de los proveedores

Aunque suene a tópico, los proveedores suelen ser los grandes olvidados en los planes de continuidad de negocio. Se suele obviar que existen servicios que son imprescindibles para que nuestro negocio funcione y que no prestamos nosotros, sino que hay algún proveedor que nos lo presta por nosotros.
Está claro que, en función del sector en el que se enmarque nuestro negocio, la naturaleza y la dependencia de los proveedores será distinta. También, por lo tanto,las medidas que se tienen que llevar a cabo para garantizar la continuidad de su servicio. En unos casos, estaremos hablando de exigir planes de continuidad a los proveedores, en otros de tener duplicidad de proveedores, un proveedor de respaldo o incluso de métodos alternativos para respaldar el servicio prestado por el proveedor, pero siempre será necesario el análisis del impacto, del riego y del coste de la solución. A continuación voy a poner tres ejemplos de continuidad de los proveedores:

En el caso de IT quizás sea en el que tradicionalmente más se ha tiene en cuenta la continuidad de los proveedores, principalmente porque, como ya he comentado en alguna entrada anterior, la evolución tecnológica ha ido por delante de los requisitos del negocio. Cualquier CPD medio serio cuenta con un grupo electrógeno que le garantiza el aporte de energía eléctrica, por ejemplo.
Otro papel importante de los proveedores en este ámbito lo podemos hallar en el hecho de que se haya externalizado gran parte de los servicios. En este caso la dependencia de los proveedores es total y, como la sensación de pérdida de control es inevitable, a los proveedores se les exigen garantías de servicio incluso en condiciones en las que la propia empresa sería incapaz de mantenerlo

El segundo ejemplo está enmarcado en el sector de la distribución. Es lo que se denomina continuidad de la cadena de suministro, y es esencial para cualquier gran establecimiento. Las pérdidas que puede llegar a generar un fallo en la cadena de suministro en unos grandes almacenes pueden ser millonarias, ya que gran parte del negocio depende de la reposición del género.

Por último, otro ejemplo claro de importancia de proveedores se encuentra en el sector financiero, que, si bien centran la atención de su continuidad de negocio en los sistemas de información, dudosamente podría operar una oficina sin la recepción de efectivo que cada mañana les realiza la empresa de seguridad que corresponda.

En conclusión, la importancia de los proveedores es vital en muchos negocios y no debe ser menospreciada. Es necesario buscar el mejor plan para garantizar que su indisponibilidad no afectará a mi negocio.

Continuidad en el hogar

Para  cualquier profesional de BCM que haya trabajado con otros profesionales en el extranjero habrá percibido la diferencia de criterio entre lo que en España consideramos Continuidad de Negocio y lo que consideran en otros paises. A mi lo que me sorprendió bastante fue la concepción que tienen en Estados Unidos, donde no se restringe el ámbito de la continuidad de negocio al trabajo, sino que también lo llevan a cabo en sus propias casas. De hecho, una de las preguntas que los BCM Managers realizan a sus empleados es si tienen un plan para poder resistir ante determinadas condiciones adversas, algo que aquí sería inviable, por la oposición que harían los sindicatos a inmiscuirse en la vida privada de los trabajadores.

Gran parte de esta diferencia de criterio está en la diferencia entre la cultura europea y la anglosajona,  una muy confiada de que el ayuntamiento, la comunidad, el estado, la unión europea o cualquier ente superior velará por la seguridad del ciudadano y la otra más individualista, en la que cada ciudadano se hace responsable de su propia seguridad.

Más allá de la valoración de las diferencias entre las distintas culturas, podemos identificar diferentes escenarios que pueden ser más comunes de lo que nos parece cuando hablaos del concepto de seguridad en el hogar. Si analizamos los cinco componentes que enumera la norma BS25999, tendríamos lo siguiente:

• Personas: Estaría compuesto por los habitantes del hogar, ya sea familia, personas que comparten piso, etc.
• Ubicaciones físicas: El propio recinto, incluyendo domicilio más anexos (garajes, etc)
• Información, en sus dos vertientes: en papel y en electrónico. Todos tenemos en casa documentos que pueden ser más o menos importantes e irremplazables, como contratos, escrituras, documentos oficiales, etc. Además, cada vez es mayor la cantidad de información en formato electrónico: fotos, vídeos, documentos que tenemos en los discos duros de nuestros ordenadores, etc.
• Tecnología: quizás el componente menos crítico, puesto que el servicio que prestan es personal y fácilmente restituible.
• Proveedores: los cuatro tradicionales: electricidad, agua, gas y teléfono.

El siguiente paso es definir los escenarios sobre los que protegerse, que pueden ser más o menos habituales en función de la zona en la que vivamos. Algunos escenarios pueden ser los siguientes:

• Pérdida de información por deterioro del soporte (principalmente disco duro)
• Apagones de luz, con mayor o menor duración
• Inundación
• Incendio
• Inclemencias meteorológicas severas: Grandes Nevadas o tormentas, Huracanes (recientemente Irene)
• Grandes desastres: Terremotos, incidentes nucleares.

Algunos de estos escenarios no tienen porqué resultarnos muy lejanos, la imagen, por ejemplo, es de una explosión de gas a 50 metros de mi antigua casa. Aunque muchas de estas situaciones nos las cubra el seguro de la casa, quizás no todo se pueda restituir con dinero.

Si analizamos, por ejemplo, el primer escenario el cual seguro que nos ha pasado a más de uno, perderíamos toda la información que tenemos en nuestros disco duro, por lo que nuestro plan de continuidad deberá definir qué mecanismo voy a utilizar para salvaguardar la información. Hay varias opciones: grabo CDs y, a ser posible, me lo llevo a otra ubicación (casa de familiares, por ejemplo), subo mis fotos y vídeos a algún servicio cloud, etc

Como este ejemplo podríamos seguir con el resto de escenarios que queramos incluir en nuestro Plan de Continuidad de nuestro hogar para así estar completamente seguros. Lo más divertido serán las pruebas, como siempre, sobre todo si tenéis niños pequeños.

Acreditaciones Profesionales en BCM

De cara a garantizar los conocimientos profesionales sobre Continuidad de Negocio,  hay dos organismos internacionales focalizados exclusivamente en BCM y que llevan a cabo acreditaciones profesionales :

• DRII (Disaster Recovery Institute International) (www.drii.org)
• BCI (Business Continuity Institute) (www.thebci.org)

Por motivos históricos, el DRII tiene más prestigio y fama en el continente americano, tanto en Norte América como en Latinoamérica, y Australia, mientras que el BCI tiene una mayor presencia en Europa y Asia.

El esquema de certificación de las dos entidades es muy similar, basado en la aprobación de un examen que garantía los conocimientos básicos y la acreditación de experiencia.

BCI

Los diferentes tipos de certificaciones son las siguientes:

• CBCI: Básicamente, acredita haber aprobado el examen. 
• AMBCI (Associate Member): Miembro estatutario, que tiene los mismos derechos de voto y posibilidades de ser elegido como staff del BCI. Para acreditarse es necesario ser CBCI y acreditar un año de experiencia, con dos referencias contrastadas. 

• SBCI (Specialist) Especialista en alguno de las 6 facultades de continuidad: Politica y gestión, Analista, Servicios estratégicos, Respuesta, planificación y soporte, Ejercicio y auditoría y Educación y formación. Para conseguir la certificación es necesario ser CBCI, acreditar dos años de experiencia y aportar dos referencias contrastadas en la especialidad que se desee. 

• MBCI (Member) acredita conocimientos en todas las disciplinas.Al igual que los anteriores, se requiere CBCI, aunque en este caso es necesario acreditar 3 años de experiencia y al menos dos referencias, que serán evaluadas por miembros de un jurado del BCI que asignarán una nota.

En este enlace están las definiciones oficiales

El examen lo gestiona Prometric , aunque hay que registrarse antes en el BCI, y está basado en la guia de buenas prácticas.

DRII
Los tipos de certificación son muy similares:

• ABCP (Associate Business Continuity Professional) Equivalente a CBCI, es decir, acredita haber pasado el examen sin requisitos de experiencia
• CFCP (Certified Functional Continuity Professional) Requiere haber pasado el examen y acreditar al menos 2 años de experiencia en tres áreas de conocimiento (SME:  Project initiation and management, Risk Evaluation and control, Business Impact Analysis, Develping BC strategies, Emergency Response and Operations, Developing and implementing BC plans, Awareness program and Training, Maintaining and Exercising BC plans, Crisis Comunications and coordination with external agencies).
• CBCP (Certified Business Continuity Professional) Requiere haber pasado el examen y acreditación de al menos 2 años de experiencia en cinco áreas de conocimiento.
• MBCP (Master Business Continuity Professional) Está reservado para especialistas en continuidad de negocio, evaluados por el drii, con más de cinco años de experiencia en al menos 7 áreas de conocimiento.

En este enlace están las definiciones oficiales
El examen es presencial y se planifican por todo el mundo. En Europa parece que se organizan desde Italia. 

Las acreditaciones de Continuidad de Negocio, en España tienen mucho menor reconocimiento que las acreditaciones de seguridad, como CISA o CISSP, además son más difíciles de conseguir, sin embargo son un valor a medio o largo plazo.

Componentes que soportan el negocio, diferente en cada sector

Es una realidad que la continuidad de negocio ha venido siendo promovida por dos sectores principalmente: el financiero y el de seguros. En estos dos sectores se dan circunstancias muy similares que les han hecho estar más evolucionados que otros en materia de continuidad de negocio:

• Tienen regulaciones específicas con vinculación a aspectos económicos, Basilea II y Solvencia.
• Sus procesos de negocio principales están muy centralizados en pocas ubicaciones, principalmente los CPDs y los call centers, lo que hace relativamente sencillas las estrategias de recuperación ya que bastaría con salvaguardar estas ubicaciones centralizadas. El resto de ubicaciones, normalmente muy distribuidas, no son tan importantes.
• Tienen alto grado de industrialización y automatización de sus procesos, haciéndolos en gran medida dependientes de la infraestructura tecnológica. Esto hace que las medidas de respaldo tecnológico a adoptar supongan un porcentaje alto del total de medias necesarias para garantizar su continuidad de negocio.

En España, son estos sectores los que han destacado históricamente en su preparación. Unas empresas se han quedado en el respaldo de los CPDs y otras han ido un poco más allá, con las salas de respaldo para puestos de trabajo. 

Como consecuencia de este sobredesarrollo en la continuidad IT, hoy en día cualquier CPD con un tamaño mediano tiene su centro de respaldo, ya sea propio o contratado a una empresa de servicios de hosting -esta vía ha venido cobrando una mayor relevancia según  ha ido madurando el concepto de outsourcing y, últimamente, cloud computing- pero ha supuesto una falsa sensación de protección en todos los sectores, aunque muchos de ellos no tengan una alta dependencia de la IT. .

De nada serviría tener respaldada la IT a un hospital ante una infección de legionela, por ejemplo. E igual pasaría para la mayor parte de los escenarios de desastre que se puedan plantear en este hospital. ¿Cuál es el problema?. Que debemos identificar cuales son los componentes que soportan nuestro negocio.
Lo mejor es partir de los cinco componentes que identifica la BS-25999:

• Ubicaciones físicas
• Personas
• Infraestructura Tecnológica
• Información
• Proveedores

Sin ningún rigor científico, es posible identificar diferentes patrones de dependencia de los recursos por cada uno de los sectores, lo que puede quedar más o menos claro en las siguientes gráficas:

Queda claro que en el sector financiero la IT supone un alto porcentaje del negocio, sin descuidar el resto de aspectos, como que los proveedores encargados de repartir el dinero en metálico tienen que repartirlo a las oficinas todas las mañana para cubrir las necesidades de cada una de ellas, pero quizás lo tengan más fácil que otros para garantizar su resiliencia.


Si por el contrario, tu sector es el de la Seguridad Física, tendrás que tener muy en cuenta las personas como principal recurso de tu negocio, de nada te va a servir respaldar tu IT.

Por lo tanto, como uno de los primeros pasos, es preciso identificar qué componente o componentes son esenciales para garantizar tus productos y servicios a tus clientes para cada uno de los escenarios que quieres cubrir en el alcance de tu plan y a partir de ahí empezar a construir. Una buena práctica es no perder de vista los cinco tipos de componentes que identifica la BS-25999.

Evolución histórica de las normas, estándares y legislación de BCM

Antes de que la anhelada ISO 22.301 sea publicada y se convierta en la norma de referencia a nivel global, conviene hacer una revisión del conjunto de normas que rigen actualmente la continuidad de negocio.

El primer estándar que se recuerda de continuidad de negocio es el NIS 800-34 "Contingency Planning Guide for IT" del gobierno de Estados Unidos. En este estándar es donde se empiezan a utilizar términos que han perdurado a lo largo del tiempo y que muchas veces han confundido más que ayudado. Son los términos de DRP, COOP, BCP, etc. Este estándar se publicó en 2002 y, sin duda, supuso la primera gran declaración de intenciones para el ámbito de la continuidad de Servicio IT.

Por el mismo año también se publicó la primera versión de la GPG del BCI, lo que sería el germen de la norma británica BS-25999 y que estaba más enfocada a la Continuidad de Negocio. El BSi decide en 2003 utilizarla como base para su norma publicando la norma PAS-56 (Pubicly Available Specification), que se mantuvo vigente hasta la publicación de la norma BS-25999-1 que la derrogó en 2006. Junto con esta norma se publicó la BS-25999-2 que describe el sistema de gestión y que es certificable.

Los organismos de elaboración de normas de Singapur y Australia siempre han estado muy concienciados con la continuidad de negocio y han publicado en este tiempo diferentes normas que completan, de una u otra forma, las normativas occidentales. En el caso de Singapur, publicó la SS507 BC/DR Service Providers que pretende identificar las características que deben cumplir los proveedores de sites de respaldo con el objetivo de la certificación. Durante un tiempo, fue rival de la BS-25999 por establecer los criterios de la norma ISO, pero finalmente no ha sido muy utilizada en occidente.

En el año 2006 se publica la PAS-77 del BSi, enfocada a cubrir la parte IT de la BS-25999, principalmente motivada por las críticas a esta norma por parte del sector, muy enfocado a la continuidad del servicio IT. En 2008 esta norma se convierte en BS-25777 IT Service Continuity Managemet Esta norma se ha convertido en ISO este año, mediante la ISO 27031, aunque no se espera que sea certificable. Notese que el comité técnico en el que se ha emplazado la norma es el 27, que se refiere a Tecnologías de la Información, mientras que la BS-25999 está en el 22: Social Security.

En el siguiente gráfico muestro una línea de tiempo que quizás aclare un poco este escenario de normas y estándares:

Esperemos que la 22301 se convierta en el estándar definitivo que termine de impulsar el sector desde un punto de vista de certificación, como todos esperamos.

Por donde empezar en BCM

Existen muchos tipos de organizaciones: de ámbito público y de ámbito privado, grandes y pequeñas, todas con sus propios objetivos. Y esta heterogeneidad de organizaciones es la que hace que cada una tenga su propia motivación a la hora de establecer un programa de Continuidad de Negocio. Normalmente el principal dinamizador suelen ser las noticias: cuando ocurre una catástrofe, un desastre natural o algún evento inesperado puede que a algún director se le despierte la conciencia y llegue a decir ¿y si me pasara a mi?.

A partir de ese momento se suele identificar internamente al responsable de continuidad para llevar a cabo el programa y/o se solicita ayuda externa a consultoras.

El siguiente paso, buscar una referencia que nos marque el camino a seguir. Tanto las principales guías y estándares de Continuidad de Negocio (GPG del BCI, BS-25999, etc) como la metodología de las consultoras lo primero que llevan a cabo es identificar procesos de negocio, inventario de recursos, análisis de riesgos, análisis de impactos, etc,

Sin embargo voy a proponer una manera distinta de iniciación en Continuidad de Negocio que, por experiencia personal, creo que es lo más adecuado. Lo principal de cualquier iniciativa de este tipo es la concienciación y es lo que primero debemos trabajar, lo que nos garantizará que el resto de fases serán exitosas. Y el mejor método de concienciación, según mi experiencia, es mediante las PRUEBAS. Por lo tanto, mi recomendación: llevar a cabo un simulacro sin mucha preparación, por supuesto siempre con la complicidad de la Alta Dirección. 

El principal ejemplo que yo he vivido en ese sentido fue en una organismo europeo al que llegó un nuevo director, con pasado militar, que decidió nada más llegar llevar a cabo un simulacro de atentado. Sorprendentemente, salió mejor de lo previsto, seguramente por las capacidades de mando de este director, pero se extrajeron muchas lecciones aprendidas y líneas de acción sobre las que trabajar.

Pero cuidado que esta fórmula no sirve con alguno de los alcances. Si, por ejemplo, nuestro alcance se restringe a la Continuidad del Servicio IT no podemos empezar con un simulacro. Provocaríamos justo lo contrario de lo que buscamos...

Arrancamos el blog

Y arranco el blog de Continuida de Negocio, a ver que tal la experiencia, porque creo que el sector realmente necesita iniciativas de este tipo. 

Esta entrada la quiero dedicar a justificar el nombre del blog, que los que han trabajado conmigo me habrán oido más de una vez. Llevo tiempo utilizandolo como bandera reivindicativa: Señores, señoras, Continuidad de Negocio no es Seguridad de la Información.
Y es que la seguridad está tan desarrollada en España que fagocita todo lo que encuentra a su alrededor, y la continuidad de negocio, tiene muchas papeletas para ser fagocitada:

• aparece en la 27.002 como un capítulo más de la seguridad
• el gestor de continuidad de negocio y el de seguridad de la información suele ser el mismo
• normalmente, los responsables de seguridad tiene una obsesión  por acaparar cada vez más responsabilidades, algo dificil de explicar pero que se suele repetir con frecuencia...
• las consultoras, como suele ser el mismo interlocutor, engloban su portfolio de servicios de Continuidad en el de Seguridad y suelen ser los mismos profesionales
• Los sistemas de gestión (BS25999 y 27000) se parece bastante y tienen muchas partes en común: política, análisis de riesgos, sistema mejora continua,...

Todo esto hace que  la inclusión de Continuidad como disciplina de la Seguridad sea inevitable.

Sin embargo, todo el que se haya inmerso de alguna forma en el mundo de la continudad de negocio habra comprobado que la continuidad a la que se refiere Seguridad es en realidad un subconjunto bastante reducido de todo el concepto de Continuidad.

La Continuidad de Negocio es en realidad mas completa y multidisciplinar que la Seguridad de la Información, ya que debe entender el negocio por completo, no sólo la información que maneja cada proceso. Dependiendo del negocio pueden estar más o menos alineadas, pero normalmente hay grandes diferencias.
¿Que tiene que ver la seguridad de la información con los turnos de personal? nada, ¿verdad? pues es una pieza clave en la Continuidad de Negocio de las empresas con alta dependencia de las personas: teleoperadores, cajer@s de supermercados, empresas de vigilantes de seguridad, etc.

Un buen sistema de Continuidad de Negocio debe estar integrado con los sistemas de emergencia, evacuación de edificios, manuales de autoprotección, sistemas antincendios, relaciones con los medios de comunicación, recursos humanos algo que en la mayoría de los casos tiene poco o nada ver con al Seguridad de la Información.