viernes, 25 de mayo de 2012

V Conferencia Internacional de Continuidad de Negocio

Como cada año, y ya van 5, el pasado martes 22 en Madrid y miercoles 23 en Barcelona ha tenido lugar la V Conferencia Internacional de Continuidad de Negocio organizada por el BSi. Este año con la gran novedad de tener ya publicada la tan esperada ISO 22301. A continuación expongo un resumen de las ponencias de la conferencia de Madrid, a la que tuve el placer de asistir.
Con una audiencia de más de 150 personas, el aforo estaba prácticamente completo.

  • Introducción y Bienvenida. Marcio Viergas (Director general de BSi). Expone definiciones generales de lo que es una norma ISO, los diferentes comités y cómo BSi, como elaborador de normas, ha aportado históricamente un gran número de normas a los estándares internacionales. En concreto, con la ISO 22301 se prevee que sea un motor dinamizador de la disciplina de continuidad de negocio y a tenor de la expectación levantada en la propia conferencia de continuidad de negocio, parece que así va a ser. 
  • De BS25999 a ISO 22301 - Gestión de Continuidad de Negocio. Agustín Lerma (Product Manager de BCM de BSi) Agustín expone a grandes rasgos el contenido de la norma y su correspondencia con el ciclo de Deming Basicamente, el que queda recogido en la siguiente tabla:
Planificar
4. Context of the organization
5. Leadership
6. Planning
7.Support
Hacer
8. Operation
Medir
9. Performance Evaluation
Mejorar
10. Improvement
Agustín también también resalta el alineamiento de la norma con las normas Guia ISO 83, en cuanto a la estructura propia de la norma, PAS99 en lo que se refiere a la definición de sistemas de gestión y  ISO 31.000 para el análisis de riesgos.
  • The new International Standard for Business Continuity: ISO 22301. Dave Austin (miembro del comité ISO para el desarrollo de la norma 22301) Dave expuso con mayor nivel de detalle la norma, en algunos puntos solapándose con la presentación de Agustín. Destaco los siguientes puntos:
    • La norma es equiparable a la BS25999-2, por lo que el esquema estará completo cuando se publique la norma ISO 22313 que contendrá el documento guía. En principio está planificada su publicación para el año que viene. 
    • Aparece un nuevo concepto MBCO (Minimum Business Continuity Objective) para guardar coherencia entre las dos normas (22301 y 22313) lo que no ocurría con los anteriores estándares.
    • Se incluyen los "requisitos legales" para adecuar la implementación a la legislación de cada país. 
    • La evaluación de riesgo se alinea con la ISO 31000
    • Estrategia: un poco carente en la BS, en la ISO se pretende una mejor definición, proponiendo identificación para reducir probabilidad e impacto, definición de RTOs, cálculos de necesidades de recursos y actuación en protección y mitigación de necesidades.
    • Comunicación de incidentes: es mucho más explícito y le da mayor importancia. Propone una mayor integración con los sistemas de emergencias 
  • Gestión de la continuidad de negocio extermo a extremo. Fernando Picatostes (Deloitte) La exposición estuvo basada en la metodología de continuidad de negocio de Deloitte, muy orientada al riesgo. No faltó la tradicional mención a los incidentes en los que ellos mismos se vieron afectados: el edificio Windsor y las torres gemelas. 
  • Gestión de crisis y Continuidad de Negocio.  Andrés Gonzalez  (Near Technologies) expuso los diferentes incidentes de seguridad que se han producido en los últimos tiempos y las lecciones aprendidas de cada uno de ellos: Torres Gemelas, Tepco en Japón, Spanair MD-82, etc. La presentación con prezi la podeis ver aquí
  • Gestión de Riesgos ISO 31000 y su integración en la nueva ISO 22301. Angel Escorial (AGERS) Después de la descripción de la  Asociación Española de Gerencia de Riesgos y Seguros,  Angel desgranó la norma 31000 y el contraste entre esta norma y la 22301. Personalmente me pareció una charla muy interesante y me quedo con una frase: La gestión del riesgo trabaja con Probabilidades e Impacto, mientras que la gestión de continuidad con Tiempo e Impacto. Si entendemos la seguridad como gestión del riesgo, creo que está muy alineado con el titulo de este blog. 
  • Caso de Éxito de la Certificación de Telefónica UK en Continuidad de Negocio. David Clarke (Telefonica O2) Con uno de los sistemas de gestión de continuidad de negocio más complejos, David expuso el camino seguido hasta la certificación. De la presentación, me quedo con los resultados, que creo que son los aspectos clave a la hora de implantar un sistemas de gestión:
    • Incremento de la confianza de clientes,  partners y terceras partes
    • Habilidad para trabajar con proveedores construyendo estrategias de continuidad
    • Reconocimiento del sector
  • Panel de expertos - Workshop sobre el nuevo estándar ISO 22301. Julio San Jose (Bankinter), Fernando Picatostes (Deloitte), Andrés Gonzalez (Near Tech.). Moderador: Marcio Viegas. Por problemas de agenda, no pude asistir a este interesante panel. 
Conclusiones
La gran audiencia que tuvo el evento demuestra el interés general en Continuidad de Negocio de las empresas y organizaciones españolas. Además, el hecho de que se haya publicado la ISO 22301 hace  suponer que el interés de los equipos directivos debe ir en aumento. 
A nivel organizativo, felicitar una vez más al BSi por la profesionalidad con la que llevaron a cabo tanto la convocatoria como el propio evento (enhorabuena Patricia, Silvia, Belén y compañía) 
Sobre los contenidos, creo que la sensación generalizada de los asistentes con los que pude hablar fue que resultaron algo flojos, principalmente la de los proveedores de servicios. 

sábado, 5 de mayo de 2012

Continuidad de Negocio y Riesgo Operativo

La última ocurrencia del gobierno argentino de nacionalizar YPF, seguida por el boliviano haciendo lo propio con la filial de REE, ha planteado en diferentes foros de continuidad de negocio la necesidad o no de incluir este tipo de escenarios en el alcance de los planes.  ¿Realmente deben los responsables de continuidad de negocio contemplar en sus planes la posibilidad de una expropiación? y por extensión ¿se deben incluir escenarios de quiebra de la compañía o de una situación económica extremadamente adversa como  la que está provocando la crisis financiera que estamos viviendo? No es una reflexión baladí, puesto que el alcance va a determinar la justificación económica de los programas de continuidad y los perfiles de los responsables dentro de las organizaciones.

Una respuesta a esta cuestión puede encontrarse en la gestión de riesgos operacionales y su posible integración con continuidad de negocio. La gestión de riesgo operacional consiste en analizar aquellos factores que puede afectar negativamente al negocio, identificando, como en todo análisis de riesgo, la probabilidad de ocurrencia y el impacto económico que provocaría.

En algunos sectores, como en el financiero, la gestión de riesgo operacional es una práctica más que habitual. De hecho la regulación del sistema bancario Basilea II define el riesgo operacional como:
 “The risk of loss resulting from inadequate or failed internal processes, 
people and systems or from external events.” 

Lo que suena bastante parecido a un análisis de riesgos desde la perspectiva de Continuidad de Negocio. Profundizando un poco más, Basilea II define siete categorías de riesgo operacional:

  • Internal fraud;
  • External fraud;
  • Employment practices and workplace safety;
  • Clients, products and business practice;
  • Damage to physical assets;
  • Business disruption and systems failures;
  • Execution, delivery and process management.


Aunque podemos encontrar una gran similitud entre algunas de estas categorías y los escenarios típicos de continuidad de negocio, parece lógico que no toda ellas entren a formar parte de nuestro plan de continuidad. Por ejemplo, el daño de activos físicos puede ser cubierto por el plan de continuidad, incluyendo, en caso de ser activos tecnológicos, un plan de recuperación del servicio IT, con sus correspondientes procedimientos operativos de recuperación. Sin embargo, las categorías de fraude, interno y externo, parecen alejadas del mundo de la continuidad de negocio.

Tal y como propuso Richar Wartered, de Marsh Risk Consulting, en el workshop del BCI Risk, Resilience & Continuity, los procesos de gestión de continuidad y de gestión del riesgo operacional deben iniciarse en paralelo y de forma independiente, uniendo los resultados a la hora de definir una estrategia de mitigación del riesgo.

Pero no hay que olvidar que el objetivo de los planes de Continuidad de Negocio es garantizar la recuperación después de un desastre, es decir, se debe focalizar en el momento posterior a la ocurrencia de un desastre, mientras que la gestión riesgos tiene su foco en la prevención, es decir, en los momentos anteriores a la ocurrencia de un desastre.

De cara a acotar el alcance de los planes de continuidad, lo mejor es seguir la BS25999, y esperemos que pronto la ISO 22301, en la que se definen los cinco componentes que deben incluirse en el alcance:
  • Ubicaciones físicas
  • Personas
  • Infraestructura Tecnológica
  • Información
  • Proveedores
Tal y como describía en una entrada anterior (Componentes que soportan el negocio), en función de la naturaleza del negocio cada uno de estos componentes tendrá un peso, pero no se debe perder el foco en estos puntos.