CONTINGENCIA TIC vs CONTINUIDAD DE NEGOCIO

CONTINGENCIA TIC vs CONTINUIDAD DE NEGOCIO

Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio.

Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.

La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.

En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las TIC (Tecnologías de la Información y las Comunicaciones) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.

Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.

A grandes rasgos, tres son los elementos característicos de un Plan de Continuidad de Negocio:

  • ·        Garantiza la continuidad de los procesos ante desastres y eventualidades.
  • ·        Es un elemento estratégico global, que se sustancia de n planes de contingencia de áreas de negocio y n planes de contingencia de las infraestructuras en las que se soporta el negocio, entre ellas los sistemas de información y las comunicaciones.
  • ·        Tiene como objetivo dar respuesta a las situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organización.

 

Por tanto, no debemos tener dudas al afirmar que el Plan de Contingencia es uno de los elementos más relevantes de un Plan de Continuidad de Negocio, y que si tenemos en cuenta la dependencia casi absoluta que las organizaciones y empresas de cualquier tipo tienen de los Sistemas de Información y de las Comunicaciones, nos daremos cuenta rápidamente de que a día de hoy es difícil dar Continuidad sin tener Contingencia de las TIC. Y decimos “difícil” y no “imposible”, pues en ocasiones podremos buscar alternativas “manuales” para aquellas actividades que en condiciones normales realizamos apoyándonos en las tecnologías de la información y las comunicaciones (TIC).

En el ámbito de las normativas internacionales existentes en la actualidad, vemos también esta diferenciación entre Continuidad y Contingencia. Así, ahora mismo contamos con un estándar británico como es BS 25999, cuya parte 2 nos permite certificar todo un Sistema de Gestión de Continuidad de Negocio, y estamos a punto de que la futura norma ISO basada en el estándar británico vea la luz. Será la esperada ISO 22301 cuyo título en español todavía es difícil de traducir, pero que en inglés es Societal security – Preparedness and continuity management systems – Requirements.

En el campo de la contingencia de las TIC, el pasado mes de Abril se publicó el estándar internacional ISO 27031 con el título Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, es decir, una guía de buenas prácticas sobre la disponibilidad de las TIC para la Continuidad de Negocio.

Como vemos, Contingencia TIC y Continuidad de Negocio son elementos muy vinculados y que casi siempre irán de la mano, pero resulta conveniente no perder de vista el dicho popular de “juntos, pero no revueltos…”.

 

 

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com