“Continuidad de negocio (BCP)".

En el siglo XIX las máquinas supusieron una revolución industrial, comparable a lo que hoy en día supone la tecnología para la sociedad de la información. De la misma manera que se dependía de las maquinas para fabricar, nos encontramos que dependemos de la información para producir.

En la actualidad, el mercado exige servicios, donde la excelencia y la calidad son factores diferenciadores respecto a la competencia. Un desastre natural, una acción fraudulenta, o la falta de suministro, provocan la interrupción del acceso a la información, afectando adversamente a los procesos claves del negocio.

Los procesos de negocio evolucionan intrínsecamente dependientes de la tecnología, provocando cambios en la manera en que se gestiona su continuidad; de forma eficiente, pragmática y basada en los riesgos se han de identificar los impactos potenciales que amenazan a una organización y proporcionar un marco para añadir robustez al negocio mediante la capacidad de dar una respuesta efectiva que salvaguarde los intereses corporativos, su reputación, marca y sus actividades de valor añadido. En definitiva, consiste en gestionar los riesgos para asegurar que se puede continuar operando, como mínimo, a un nivel predeterminado.

Analizando el impacto en aquellas organizaciones que no disponen planes de recuperación, según Pennant Security Consultants, tras un desastre:
- El 40% desaparece inmediatamente.
- Otro 40% desaparecerá en 18 meses.
- Un 12% desaparecerá en 5 años.
- Solo un 8% sobrevivirá a largo plazo.

A tenor, de los anteriores datos, pregúntese ¿Qué está haciendo al respecto mi organización?, ¿Soy vulnerable?, ¿Cuáles son mis riesgos?, ¿Cuánto puedo perder?. Un plan de continuidad de negocio (BCP) daría respuesta a estas preguntas.

Un buen comienzo es conocer los factores que permitirán abordar un proyecto de gestión de la continuidad de negocio (BCM).

Implicar a la dirección. ¿Quién es el responsable?. Se puede caer en el error de pensar que la responsabilidad recae sobre el administrador de sistemas. Pero la información y la tecnología relacionadas son tan importantes para el negocio que no se deben dejar sólo en manos de los técnicos informáticos. Pretender dejar la responsabilidad de la información a los técnicos es como pensar que un mecánico de coches de Fórmula 1 es responsable de ganar una carrera. Claro que los mecánicos son importantísimos y que pueden hacer una diferencia a favor o en contra, pero, al final de cuentas, quien está al volante es el piloto.

La alta dirección es, pues, responsable de entender la función de las tecnologías de información, de saber cómo puede esta función apoyar sus objetivos de negocio y de cómo pueden incluso plantear nuevos objetivos y servicios gracias a las tecnologías de información.

Identificar los procesos críticos de negocio. ¿Qué debo proteger?. Toda organización conoce cual es su ámbito de negocio, y por tanto, debería conocer cuales son los procesos que permiten desarrollar su actividad. Identificar en cada línea de negocio cuales son los procesos vitales es la premisa para poder proteger su continuidad.

El estudio de los procesos críticos y el impacto que puede suponer su interrupción, queda registrado en un documento de análisis de impacto sobre el negocio (BIA). Siendo este la piedra angular del BCM, y donde más atención se debe prestar.

 Metodología. Para que reinventar la rueda, si ya existe. La metodología guiará el proceso con la certeza que ha sido diseñada por expertos y rediseñada con la experiencia acumulada durante muchos años. Encontramos diversas normas y estándares de referencia, entre los que destacan:

ITIL Service Delivery. Continuity Management.
COBIT. DS4 Ensure continuous service.
ISO/IEC 27002. Business continuity management.
BS 25999. Business continuity management. Code of practice.
NIST 800-34. Contingency Planning Guide.

Para el éxito del proyecto es indispensable la implicación de la dirección, desde un primer momento aprobando el presupuesto, formando un equipo de trabajo, fijando objetivos, y exigiendo la obtención rápida de resultados. La labor de la dirección no acaba en la puesta en marcha del proyecto, debe supervisar los sucesivos planes acordes con el negocio y hacer hincapié en la concienciación del propio personal.

Iván Guardia Hernández
Ingeniero en Informática
CISA, CISSP, SGSI AENOR
Auditoría Informática Balear