sábado, 29 de septiembre de 2012

Congreso de "CONTINUIDAD DE NEGOCIO 2012"

Colaboración de Daniel Blanco, Coordinador de Soluciones de Consultoría de Continuidad de Negocio en Grupo SIA.

El pasado 26 de Septiembre tuve el placer de asistir al Congreso de "CONTINUIDAD DE NEGOCIO 2012", en Madrid, organizado por la fundación DINTEL en colaboración con continuam e INTECO
En el congreso estuvieron invitados diferentes ponentes como BBVA, Banesto, Acciona, Ministerio de Defensa, Adif, Aena, Bankinter o la EMT. La agenda puede ser consultada en la web de la fundación dintel:
http://www.dintel.org/index.php?option=com_content&view=article&id=216&Itemid=312

Las ponencias se dividieron en dos ciclos con modelos de presentación diferenciados. Por la mañana los ponentes realizaron presentaciones de casos de éxito y experiencias en la Gestión de Seguridad y Continuidad de Negocio en sus organizaciones y por la tarde se realizó una charla coloquio en la que los ponentes respondían a una serie de preguntas realizadas por un moderador.

Mas que entrar en detalle de lo que se dijo en cada una de las ponencias, me gustaría resaltar ciertos aspectos interesantes que se trataron en la misma y que fueron puntos tratados en varias de las ponencias y el coloquio realizado a lo largo del día:
  1. Aunque todavía existen visiones sobre la continuidad de negocio como un punto que se deber cumplir como parte del marco de seguridad, en esta ocasión se presentaron más como un marco diferente y complementario a la seguridad que, junto con la gestión de riesgos, proporcionan resiliencia a las organizaciones.
  2. La concienciación y la involucración de la alta dirección en la continuidad de negocio es un punto que en España todavía no se ha logrado alcanzar y que es necesario e imprescindible. Las pruebas/simulacros de planes de continuidad o gestión de crisis se mostraron como uno de los mejores caminos para lograr este objetivo.
  3. No basta sólo con disponer de un plan de continuidad o una gestión de crisis en la que se defina y diseñe como se recuperan los procesos de negocio críticos de una organización, es necesario tener en cuenta más protagonistas como son las cuerpos y fuerzas de seguridad del estado, organizaciones gubernamentales, proveedores críticos y esenciales para disponer de los servicios mínimos requeridos. Sin Apoyo Interno y Externo ninguna Organización puede recuperar su negocio.
  4. La Ley de Protección de Infraestructuras Críticas se presenta como un punto de inflexión que puede favorecer la creación de un marco colaborativo sectorial y permitir disponer como país de planes estratégicos sectoriales. Incluso en algún momento se puede utilizar para conseguir los tres puntos mencionados anteriormente.

Como conclusión decir que, desde mi punto de vista, las ponencias del congreso estaban bien orientadas, exponeindo aspectos de continuidad de negocio, resiliencia y sostenibilidad a nivel de negocio y no sólo IT o seguridad de la infromación. Aún así todavía nos queda mucho por recorrer y, como indico en el punto número 2, urge que la alta dirección se involucre y empiece a promocionar las actividades de continuidad de negocio. Como muestra, indicar que gran parte de los asistentes y ponentes eran responsables o se encontraba dentro del área de  Sistemas de Información.
 

lunes, 24 de septiembre de 2012

Sabotajes

Ayer, comentando con el responsable de consultoría de Continuidad de Negocio de una de las principales empresas del sector en España, nos surgía la duda de si el caso de sabotaje sobre la acometida eléctrica del estadio del Rayo Vallecano podría ser considerado un escenario en los planes de continuidad de negocio.

La falta de luz obligó a aplazar el choque que debían disputar Rayo Vallecano y Real Madrid.Por un lado, parece claro que un escenario de falta de acometida eléctrica, sea por los motivos que sea, debe estar incluido dentro del alcance de los planes. Las medidas para garantizar la continuidad son claras: grupo electrógeno, doble acometida, etc.

Por otro, el caso del sabotaje del Rayo Vallecano - Real Madrid tiene dos matices especiales:
  • se requiere que el estadio esté disponible en un momento concreto del tiempo, y relativamente corto (2 horas). No hay posibilidad de que el partido se juegue en otro sitio - imposible desplazar a los casi 15.000 espectadores-  ni en otro horario, puesto que el principal negocio que hay que garantizar es el de la retransmisión televisiva.
  • El incidente afecta a la infraestructura eléctrica interna, por lo que no hay forma de proporcionar un mecanismo alternativo. Hay que recomponer el cableado.

Dado que la continuidad de negocio debe centrarse en el momento posterior a que se produzca el incidente, es complicado pensar que el equipo gestor del Rayo Vallecano pudiera haber hecho algo diferente a lo que hizo en caso de tener contemplado este escenario en su plan de continuidad. Los mecanismos tradicionales no hubieran funcionado en este caso, ya que lo que estaba dañado es la propia instalación, no la acometida. Por lo tanto el contemplar este escenario sólo nos sirve para evaluar el riesgo y minimizarlo con mecanismos de mitigación.

De forma general, cuando un negocio depende de que alguien haga algo en un momento determinado y en un sitio concreto los planes de continuidad de negocio no aportan demasiado: Normalmente no es posible sustituir a los actores, ni el lugar ni la hora, mas allá de algunos minutos. Lo único que podemos hacer es un buen análisis de riesgos y tratar de mitigarlos.

viernes, 7 de septiembre de 2012

BYOD y continuidad

BYOD puede considerarse ya como una tendencia dentro de los sistemas de información que se va a desarrollar en los próximos años y que tiene mucho que ver con la movilidad y el trabajo remoto. La irrupción en el mundo empresarial de smartphones y tablets ha venido de la mano de los propios usuarios, principalmente de los directivos, quienes se dieron cuenta que utilizaban más su móvil “cutre” de empresa que su iphone personal y empezaron a invertir la tendencia, exigiendo a sus CIOs que les permitieran acceder a su email y su agenda. Por lo tanto, esta tendencia se basa en hechos consumados, y no en políticas, estrategias de marketing o informes de consultoras (que, por supuesto, ahora se subirán al carro con cualquier justificación), lo que la hace prácticamente, imparable.

Desde un punto de vista técnico, BYOD va a suponer un cambio en el mundo de las estaciones de trabajo que implicará actualizaciones en los procedimientos, los sistemas de gestión y las políticas de seguridad. Son precisamente los aspectos de seguridad y legales los que se verán más afectados, con un rechazo frontal por parte de los expertos en seguridad, ya que contraviene las políticas tradicionales de fugas de información y control de acceso. De ahí que exista mucha literatura al respecto en múltiples foros y que empiece a haber un creciente negocio sobre la protección de la información de estos dispositivos para que no pase como al Ministro Fernandez Diaz. La mayoría es tecnología ya existente, rebautizada con las siglas de moda (BYOD compliance…)
Desde la perspectiva de Continuidad de Negocio, el BYOD no supone tanto cambio puesto que se asemeja a las políticas de acceso remoto, en las que es el propio usuario es el sufraga los gastos, por ejemplo de su conexión a Internet, o incluso del PC que pueda tener en casa para el acceso remoto. Como en estos casos, el gestor de continuidad de negocio, normalmente a través del departamento de recursos humanos, tiene que garantizar lo siguiente:
  • Existe consentimiento expreso por parte del empleado para el uso de recursos propios para fines profesionales
  • El empleado dispone de los recursos propios para llevar a cabo las actividades que se le requieran en situaciones de contingencia. Para ello es recomendable que sea el propio usuario el que inventaríe los recursos que utilizará para fines profesionales y actualice su estado de forma periódica.
  • Los recursos a utilizar cumplen los procedimientos y políticas de la compañía en cuanto a seguridad y funcionalidad.
Por otro lado, como todo recurso que forma parte del plan de continuidad, se debe garantizar la actualización de la información de inventario forma continua. Para ello existen herramientas que permiten automatizar este proceso, como Workforce Assessment de SunGard AS. Y, por supuesto, estos recursos deben ser incluidos dentro de las pruebas de continuidad.