Por donde empezar en BCM

Existen muchos tipos de organizaciones: de ámbito público y de ámbito privado, grandes y pequeñas, todas con sus propios objetivos. Y esta heterogeneidad de organizaciones es la que hace que cada una tenga su propia motivación a la hora de establecer un programa de Continuidad de Negocio. Normalmente el principal dinamizador suelen ser las noticias: cuando ocurre una catástrofe, un desastre natural o algún evento inesperado puede que a algún director se le despierte la conciencia y llegue a decir ¿y si me pasara a mi?.

A partir de ese momento se suele identificar internamente al responsable de continuidad para llevar a cabo el programa y/o se solicita ayuda externa a consultoras.

El siguiente paso, buscar una referencia que nos marque el camino a seguir. Tanto las principales guías y estándares de Continuidad de Negocio (GPG del BCI, BS-25999, etc) como la metodología de las consultoras lo primero que llevan a cabo es identificar procesos de negocio, inventario de recursos, análisis de riesgos, análisis de impactos, etc,

Sin embargo voy a proponer una manera distinta de iniciación en Continuidad de Negocio que, por experiencia personal, creo que es lo más adecuado. Lo principal de cualquier iniciativa de este tipo es la concienciación y es lo que primero debemos trabajar, lo que nos garantizará que el resto de fases serán exitosas. Y el mejor método de concienciación, según mi experiencia, es mediante las PRUEBAS. Por lo tanto, mi recomendación: llevar a cabo un simulacro sin mucha preparación, por supuesto siempre con la complicidad de la Alta Dirección. 

El principal ejemplo que yo he vivido en ese sentido fue en una organismo europeo al que llegó un nuevo director, con pasado militar, que decidió nada más llegar llevar a cabo un simulacro de atentado. Sorprendentemente, salió mejor de lo previsto, seguramente por las capacidades de mando de este director, pero se extrajeron muchas lecciones aprendidas y líneas de acción sobre las que trabajar.

Pero cuidado que esta fórmula no sirve con alguno de los alcances. Si, por ejemplo, nuestro alcance se restringe a la Continuidad del Servicio IT no podemos empezar con un simulacro. Provocaríamos justo lo contrario de lo que buscamos...

Arrancamos el blog

Y arranco el blog de Continuida de Negocio, a ver que tal la experiencia, porque creo que el sector realmente necesita iniciativas de este tipo. 

Esta entrada la quiero dedicar a justificar el nombre del blog, que los que han trabajado conmigo me habrán oido más de una vez. Llevo tiempo utilizandolo como bandera reivindicativa: Señores, señoras, Continuidad de Negocio no es Seguridad de la Información.
Y es que la seguridad está tan desarrollada en España que fagocita todo lo que encuentra a su alrededor, y la continuidad de negocio, tiene muchas papeletas para ser fagocitada:

• aparece en la 27.002 como un capítulo más de la seguridad
• el gestor de continuidad de negocio y el de seguridad de la información suele ser el mismo
• normalmente, los responsables de seguridad tiene una obsesión  por acaparar cada vez más responsabilidades, algo dificil de explicar pero que se suele repetir con frecuencia...
• las consultoras, como suele ser el mismo interlocutor, engloban su portfolio de servicios de Continuidad en el de Seguridad y suelen ser los mismos profesionales
• Los sistemas de gestión (BS25999 y 27000) se parece bastante y tienen muchas partes en común: política, análisis de riesgos, sistema mejora continua,...

Todo esto hace que  la inclusión de Continuidad como disciplina de la Seguridad sea inevitable.

Sin embargo, todo el que se haya inmerso de alguna forma en el mundo de la continudad de negocio habra comprobado que la continuidad a la que se refiere Seguridad es en realidad un subconjunto bastante reducido de todo el concepto de Continuidad.

La Continuidad de Negocio es en realidad mas completa y multidisciplinar que la Seguridad de la Información, ya que debe entender el negocio por completo, no sólo la información que maneja cada proceso. Dependiendo del negocio pueden estar más o menos alineadas, pero normalmente hay grandes diferencias.
¿Que tiene que ver la seguridad de la información con los turnos de personal? nada, ¿verdad? pues es una pieza clave en la Continuidad de Negocio de las empresas con alta dependencia de las personas: teleoperadores, cajer@s de supermercados, empresas de vigilantes de seguridad, etc.

Un buen sistema de Continuidad de Negocio debe estar integrado con los sistemas de emergencia, evacuación de edificios, manuales de autoprotección, sistemas antincendios, relaciones con los medios de comunicación, recursos humanos algo que en la mayoría de los casos tiene poco o nada ver con al Seguridad de la Información.