V Conferencia Internacional de Continuidad de Negocio

Como cada año, y ya van 5, el pasado martes 22 en Madrid y miercoles 23 en Barcelona ha tenido lugar la V Conferencia Internacional de Continuidad de Negocio organizada por el BSi. Este año con la gran novedad de tener ya publicada la tan esperada ISO 22301. A continuación expongo un resumen de las ponencias de la conferencia de Madrid, a la que tuve el placer de asistir.
Con una audiencia de más de 150 personas, el aforo estaba prácticamente completo.

• Introducción y Bienvenida. Marcio Viergas (Director general de BSi). Expone definiciones generales de lo que es una norma ISO, los diferentes comités y cómo BSi, como elaborador de normas, ha aportado históricamente un gran número de normas a los estándares internacionales. En concreto, con la ISO 22301 se prevee que sea un motor dinamizador de la disciplina de continuidad de negocio y a tenor de la expectación levantada en la propia conferencia de continuidad de negocio, parece que así va a ser. 
• De BS25999 a ISO 22301 - Gestión de Continuidad de Negocio. Agustín Lerma (Product Manager de BCM de BSi) Agustín expone a grandes rasgos el contenido de la norma y su correspondencia con el ciclo de Deming Basicamente, el que queda recogido en la siguiente tabla:

Planificar	4. Context of the organization 5. Leadership 6. Planning 7.Support
Hacer	8. Operation
Medir	9. Performance Evaluation
Mejorar	10. Improvement

Agustín también también resalta el alineamiento de la norma con las normas Guia ISO 83, en cuanto a la estructura propia de la norma, PAS99 en lo que se refiere a la definición de sistemas de gestión y  ISO 31.000 para el análisis de riesgos.

• The new International Standard for Business Continuity: ISO 22301. Dave Austin (miembro del comité ISO para el desarrollo de la norma 22301) Dave expuso con mayor nivel de detalle la norma, en algunos puntos solapándose con la presentación de Agustín. Destaco los siguientes puntos:
• La norma es equiparable a la BS25999-2, por lo que el esquema estará completo cuando se publique la norma ISO 22313 que contendrá el documento guía. En principio está planificada su publicación para el año que viene. 
• Aparece un nuevo concepto MBCO (Minimum Business Continuity Objective) para guardar coherencia entre las dos normas (22301 y 22313) lo que no ocurría con los anteriores estándares.
• Se incluyen los "requisitos legales" para adecuar la implementación a la legislación de cada país. 
• La evaluación de riesgo se alinea con la ISO 31000
• Estrategia: un poco carente en la BS, en la ISO se pretende una mejor definición, proponiendo identificación para reducir probabilidad e impacto, definición de RTOs, cálculos de necesidades de recursos y actuación en protección y mitigación de necesidades.
• Comunicación de incidentes: es mucho más explícito y le da mayor importancia. Propone una mayor integración con los sistemas de emergencias 
• Gestión de la continuidad de negocio extermo a extremo. Fernando Picatostes (Deloitte) La exposición estuvo basada en la metodología de continuidad de negocio de Deloitte, muy orientada al riesgo. No faltó la tradicional mención a los incidentes en los que ellos mismos se vieron afectados: el edificio Windsor y las torres gemelas. 
• Gestión de crisis y Continuidad de Negocio.  Andrés Gonzalez  (Near Technologies) expuso los diferentes incidentes de seguridad que se han producido en los últimos tiempos y las lecciones aprendidas de cada uno de ellos: Torres Gemelas, Tepco en Japón, Spanair MD-82, etc. La presentación con prezi la podeis ver aquí
• Gestión de Riesgos ISO 31000 y su integración en la nueva ISO 22301. Angel Escorial (AGERS) Después de la descripción de la  Asociación Española de Gerencia de Riesgos y Seguros,  Angel desgranó la norma 31000 y el contraste entre esta norma y la 22301. Personalmente me pareció una charla muy interesante y me quedo con una frase: La gestión del riesgo trabaja con Probabilidades e Impacto, mientras que la gestión de continuidad con Tiempo e Impacto. Si entendemos la seguridad como gestión del riesgo, creo que está muy alineado con el titulo de este blog. 
• Caso de Éxito de la Certificación de Telefónica UK en Continuidad de Negocio. David Clarke (Telefonica O2) Con uno de los sistemas de gestión de continuidad de negocio más complejos, David expuso el camino seguido hasta la certificación. De la presentación, me quedo con los resultados, que creo que son los aspectos clave a la hora de implantar un sistemas de gestión:
• Incremento de la confianza de clientes,  partners y terceras partes
• Habilidad para trabajar con proveedores construyendo estrategias de continuidad
• Reconocimiento del sector
• Panel de expertos - Workshop sobre el nuevo estándar ISO 22301. Julio San Jose (Bankinter), Fernando Picatostes (Deloitte), Andrés Gonzalez (Near Tech.). Moderador: Marcio Viegas. Por problemas de agenda, no pude asistir a este interesante panel. 

Conclusiones

La gran audiencia que tuvo el evento demuestra el interés general en Continuidad de Negocio de las empresas y organizaciones españolas. Además, el hecho de que se haya publicado la ISO 22301 hace  suponer que el interés de los equipos directivos debe ir en aumento. 

A nivel organizativo, felicitar una vez más al BSi por la profesionalidad con la que llevaron a cabo tanto la convocatoria como el propio evento (enhorabuena Patricia, Silvia, Belén y compañía) 

Sobre los contenidos, creo que la sensación generalizada de los asistentes con los que pude hablar fue que resultaron algo flojos, principalmente la de los proveedores de servicios.