24 November, 2009

Evolución de las estrategias de continuidad del negocio en México

Por

Por Mario Ureña

En la historia reciente de nuestro país hemos sido testigos de diversos eventos relacionados con la interrupción de las operaciones de los procesos críticos del negocio, los cuales han marcado la forma en que las organizaciones perciben la Gestión de Incidentes y la Continuidad del Negocio.

El 19 de Septiembre de 1985, la Ciudad de México sufrió las consecuencias de uno de los desastres naturales más impactantes de los cuales tengamos memoria. Como resultado del mismo se afectaron las operaciones de múltiples organizaciones, interrumpiendo la provisión de productos y servicios.

La mayoría de las organizaciones no se encontraban preparadas para gestionar este tipo de desastre y las áreas de tecnología no contaban con planes efectivos para atender este escenario.

Como resultado las organizaciones tomaron conciencia de la necesidad de implementar controles físicos y se incrementó la implementación de estrategias de protección civil. Desde el punto de vista de Tecnología, los términos Plan de Contingencias y Plan de Recuperación de Desastres (DRP) comenzaron a ser empleados y se inicio la implementación de estrategias tales como el uso de contratos recíprocos, “cold site”,” warm site” y “hot site”.

Tiempo después, los eventos ocurridos el 11 de Septiembre del 2001, marcaron permanentemente la visión de las organizaciones respecto a la continuidad de negocio y nos hicieron preguntarnos si realmente nos encontrábamos preparados en caso de una interrupción de los procesos críticos del negocio. Las organizaciones tomaron más en serio el tema de la continuidad del negocio, iniciando la implementación de Planes de Continuidad del Negocio (BCP) en forma integral y dando lugar a la Gestión de la Continuidad del Negocio (BCM) con el fin de asegurar  el  poseer  una estrategia permanente.

Para los mexicanos el siguiente reto importante vendría algunos años después con la aparición del virus de la influenza humana AH1N1 que se oficializó en México el 23 de abril del 2009.  Recuerdo a muchas organizaciones buscando entre sus planes de continuidad los procedimientos para atender el problema, encontrándose en la mayoría de los casos con una hoja en blanco, ya que el riesgo había sido aceptado desde el análisis de riesgos, o bien, los procedimientos relacionados no habían sido desarrollados. Las decisiones se tomaron al momento y no siempre resultaron las más correctas.

La influenza humana es un escenario distinto, las instalaciones se encuentran accesibles, los sistemas y las telecomunicaciones funcionan, la información y procedimientos se encuentran disponibles, pero son las personas quienes no están disponibles, en forma incremental o total y no solo por un día, sino por periodos prolongados.

El estándar BS25999 en su parte 2 requiere que la organización identifique estrategias apropiadas para mantener las habilidades y conocimiento principal. El análisis podría ser extensivo a contratistas, clientes y otras partes interesadas quienes poseen estas habilidades y conocimientos. Dentro de las estrategias que se pueden utilizar se encuentran:

  • Documentación de la forma en que las actividades críticas son ejecutadas.
  • Personal y contratistas entrenados con múltiples habilidades.
  • Separación / Descentralización de habilidades principales para reducir el riesgo de concentración del riesgo. (Puede implicar separación física del personal o bien que más de una persona tenga las habilidades y conocimiento principales).
  • Uso de terceras partes.
  • Planes de sucesión.
  • Retención y gestión del conocimiento.

En la actualidad, el enfoque de continuidad del negocio que permite mantener actualizada y vigente nuestra estrategia de continuidad y al mismo tiempo asegura su efectividad y control, es la implementación y operación del Sistema de Gestión de Continuidad del Negocio (BCMS) que se encuentra definido en BS25999 y el cual es certificable.

Este estándar requiere la implementación de un Plan de Gestión de Incidentes (IMP) y un Plan de Continuidad del negocio, los cuales te permiten atender aquellos esos escenarios donde te llueve sobre mojado, como por ejemplo, que durante la alerta por Influenza AH1N1 se presente un sismo de 5.7 grados, como ocurrió el pasado 27 de abril.

No necesitamos ser Nostradamus para predecir la ocurrencia de eventos como Terremotos, Inundaciones, Impactos de Aeronaves, Influenza. Pero sí necesitamos desarrollar una estrategia de continuidad del negocio que permita hacer frente a estos escenarios, limitando el impacto que pudieran producir y asegurando la recuperación más rápida y efectiva de nuestras operaciones.

Aprovechando el viaje… Si eres miembro activo del capítulo ISACA Ciudad de México te recuerdo que durante estos días se realizan las elecciones de la Mesa Directiva y en esta oportunidad soy candidato a la Presidencia del capítulo. Así es que no olvides emitir tu voto.

http://www.surveymonkey.com/s.aspx?sm=vBTvhQy9H1lD_2fPRy0X9pHg_3d_3d

Mario Ureña Cuate es director general de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Formadores de Opinión del British Standards Institution (BSI). mario.urena@secureit.com.mx