El camino hacia la Continuidad del Negocio
Coincidiendo con el lanzamiento del nuevo estándar ISO 22301, Audea ha tenido el privilegio de asistir, en el Hotel Ritz de Madrid, a la 5ª Conferencia Internacional de Continuidad de Negocio, y segundo evento a nivel mundial de difusión de la ISO 22301.
Abrió la Conferencia Marcio Viegas, Director de BSI, quien hizo una precisa introducción sobre las novedades de la norma, haciendo énfasis, en el término “Resiliencia” que aunque venía empleándose en la semántica del sector, con la 22301 cobrará formalidad y peso. Remitiéndonos a la RAE, tiene dos acepciones, desde el campo de física y la psicológica. Aplicado a la continuidad de negocio, las organizaciones resilientes, serán aquellas capaces de absorber cambios y rupturas, tanto internos como externos, sin que por ello se vea afectada la continuidad de sus procesos críticos, ni su rentabilidad y que incluso desarrollan una flexibilidad ante contingencias. Seguramente, se dará color y matices interesantes a este concepto, a medida que comience a “rodar” la norma.
Con la intervención de Agustín Lerma, Auditor de BSI, los asistentes pudimos conocer con mayor detalle, el contenido de la norma. Un aspecto a destacar en su discurso, es el alineamiento de la ISO 22301 con la ISO 83, que permite a la norma, compartir este estándar común de terminologías y conceptos del clclo deming. Además, puso especial hincapié en el compromiso, que de conformidad con la norma, debe alcanzar la alta dirección en la gestión de la continuidad del negocio. Concretamente, el clausulado 5, referido al “Liderazgo”, refuerza la necesidad de compromiso de la Alta Dirección para establecer, controlar y revisar el sistema de gestión de continuidad de negocio. Por su parte, Dave Austin, miembro del Comité de ISO para el desarrollo de la ISO 22301, abundó en el contenido del clausulado. Ambos ponentes explicaron el clausulado:
– Cláusula 1 que describe el alcance. Se exige menor desarrollo de cuerpo documental, teniendo en cuenta que el nivel de documentación debe estar en función de la dimensión de la empresa. Por tanto, como comentó Dave Austín, el cuerpo documental, pierde fuerza, en pro de un fuerte sentido práctico.
– Cláusula 3 establece términos y definiciones: Como curiosidad, Dave Austin, comentó, como durante el desarrollo de norma, se convino incluir dos definiciones de un mismo concepto que se refiere al Umbral de Recuperación Máximo que puede permitirse una Organización.
– Cláusula 4 recoge los requisitos legales y reguladores. Agustín Lerma, puso de manifiesto, como el cumplimiento normativo, es uno de los principales motores que llevan a una empresa a adecuarse a los diferentes sistemas de gestión, poniendo como ejemplo la Ley de Infraestructuras Críticas.
– Cláusula 5 desarrolla el Liderazgo. Como precisó Agustín Lerma, se potencia el compromiso de la Dirección en el sistema de gestión de continuidad de negocio.
– Cláusula 6 “Planificación de la gestión de riesgos”.
– En la Cláusula 7, Cobra relevancia la comunicación hacia los medios o prensa, autoridades competentes, terceras partes interesadas, etc. La ISO 22301 aporta este aspecto que la 25.999 contemplaba someramente.
– La Cláusula 8, quizá sea la de mayor “miga”, desde el punto de vista de un sistema de gestión propio de continuidad de negocio. Destaca la regulación tanto el Análisis de Impacto, como las estrategias de recuperación, así como el plan de continuidad, y pruebas del mismo. Lo más reseñable, es la utilización un lenguaje bastante asequible, en comparación con el empleado por la BS 25999. No obstante, al margen de la forma, el contenido es similar al de la 25999.
– La Cláusula 9 incorpora otra de las interesantes novedades de la ISO 22301, la evaluación del desempeño, como requisito de Continuidad de Negocio. Es decir, se mide que las personas y los equipos sean competentes y estén listos para operar cuando se les necesite. En este sentido, Agustín Lerma puso en valor, como los procedimientos, deben ser ejecutados por personas, y por consiguiente, el papel fundamental que desempeñan los equipos de respuesta y recuperación ante una contingencia.
– Por último, la Cláusula 10, desarrolla como último punto de ciclo deming, la mejora continua, al que todo sistema de gestión debe aspirar.
Después de “bucear” en el clausulado de la ISO 22301, intervino Deloitte de la mano de Fernando Picatoste, Socio del Área de Riesgos Tecnológicos. Su discurso reveló la importancia que cumple la parte organizativa dentro de un Plan de Continuidad de Negocio, explicando que cuando hablamos de continuidad de negocio, no debemos detenernos exclusivamente en el área tecnológica, es decir, en la contingencia TI, sino también y fundamentalmente en los aspectos organizativos. Como ejemplo, expuso como las huelgas o pandemias, no implican contingencia tecnológica, o como un Plan de Continuidad, no implica exclusivamente “levantar” sistemas de información, sino reubicar personal, realizar comunicados ante los medios, asistencia logística, etc, Todos ellos, aspectos relevantes, que si no se atienden correctamente, pueden dañar severamente la imagen y marca de la organización.
Andrés González, Consultor de Near Technologies, realizó un análisis pormenorizado de dos contingencias mediáticas; la del Tsunami que azotó Japón, y el accidente del vuelo 5022 Madrid- Canarias. Realmente, su relato de los acontecimiento, las causas, y las medidas reactivas frentes a ambos sucesos, hizo comprender la verdadera necesidad que tienen los sistemas de gestión de continuidad de negocio. Hizo valer, como la evaluación, formación, dimensionamiento y las pruebas en materia de continuidad de negocio, hubiesen sido factores imprescindibles en una mejor gestión de dichas crisis.
Posteriormente Ángel Escorial, expuso la relación entre la Gestión de Riesgos ISO 31000 y su integración en la nueva ISO 22301, haciendo una comparativa realmente clarificadora entre un Análisis de Impacto y un Análisis de Riesgos. Particularmente, no perder la oportunidad de reclamar, que la 31000 sea certificable.
Finalmente, David Clarke, Business Continuity Manager de Telefónica UK, presentó un caso de éxito de la Certificación que lideró de Telefónica UK en la BS 25.999. Expuso cómo implantaron el sistema de gestión de continuidad de negocio, así como los resultados del mismo.
En la ronda de preguntas, se volvieron a hacer patentes, las mejoras de la ISO 22301 frente a la BS 2599. Por otro lado los requisitos de esta norma internacional son muy parecidos a los de la BS 25999, por lo que aquellas organizaciones certificadas según la BS 25999, deberían estar tranquilas.
Finalmente, se hizo un alegato común, al papel que debería cobrar la continuidad de negocio, como asignatura obligatoria de todo empresario, como reivindicó Julio San José, Director de Continuidad de Negocio del Banco Santander.
Si bien, por los tiempos que corren, pudiera entenderse como un gasto prescindible, la experiencia de muchas empresas, demuestra que los sucesos no deseados, (ataques cibernéticos del exterior, huelgas o sabotajes, errores humanos, actos intencionados, etc.) pueden ocurrir y ocurren todos los días. Como comentaba Fernando Picatoste, no tenemos más que leer los periódicos o ver las noticias y comprobaremos como cada día suceden.
Audea Seguridad de la Información
Eduardo de Miguel Cuevas
Consultor de Seguridad TIC