Concienciación sobre los Programas de Resiliencia de Negocio en los países del sur de Europa

Manel Herrer Vázquez

La Resiliencia de Negocio, o continuidad de negocio como puede encontrarse en muchas fuentes, es una área relativamente nueva en el mundo de la Seguridad de la Información. Los primeros estándares, desarrollados en países anglosajones como Reino Unido (BS 25999), Australia (HB 292-2006) o Estados Unidos (NIMS, ICS, ANSI/ASIS SPC.1-2009), datan únicamente de 2006. El primer estándar global, la ISO 22301 (basada en la norma BS 25999), se publicó hace solo dos años, en 2012.

A pesar de la relativa juventud de estas normas, en estos países la realización y mantenimiento de programas de Resiliencia de Negocio plenamente operativos, que incluyen ejercicios, simulaciones completas y programas de concienciación, se han desarrollado desde los primeros años de la década de los 90.

Estos programas mencionados, incluían los tres aspectos básicos de la Resiliencia de Negocio: los Planes de Gestión de Crisis, los Planes de Continuidad de Operaciones y los Planes de Recuperación de Desastres:

  • Los Planes de Gestión de Crisis, o Gestión de Incidentes Graves (conocidos en inglés como Incident Management Plans) se centran básicamente en las acciones a tomar justo cuando se produce un incidente grave, y determinar las acciones a seguir para gestionar la subsecuente crisis.
  • Los Planes de Continuidad de Operaciones, o de Continuidad de Negocio (que en inglés se conocen como Business Continuity Plans), se centran en la recuperación operacional de los procesos de negocio de las compañías, siendo un proceso centrado en el negocio, y en donde se identifican todas las dependencias y recursos necesarios para recuperar los procesos y actividades de la compañía. Estos recursos incluyen desde recursos humanos hasta proveedores, pasando por la infraestructura y de TI.
  • Los Planes de Recuperación de Desastres, (conocidos en inglés como Disaster Recovery Plans) se focalizan esencialmente en la recuperación de Sistemas y aplicaciones TI (estando enfocados básicamente a la recuperación tecnológica, no del negocio).

Cuando los modelos de gestión de Resiliencia de Negocio desarrollados en los países anglosajones se empezaron a exportar a los países del Sur de Europa, la mayoría de los mismos solo se centraron en la parte de la Recuperación de Desastres (recuperación tecnológica), obviando los Planes de Continuidad de Operaciones y los de Gestión de Crisis. Hoy en día encontramos Planes de Recuperación de Desastres muy robustos en la mayoría de las grandes empresas de los países del sur de Europa. Sin embargo, la mayoría de dichas empresas, no disponen de los otros dos componentes (Gestión de Crisis y Continuidad de Operaciones) incorporados en sus estructuras de Resiliencia de Negocio.

Esta falta de estos componentes de Gestión de Crisis y de Continuidad de Operaciones, puede achacarse a diversas causas, las cuales incluyen:

  • La escasez de grandes desastres naturales en estos países, lo cual crea una sensación de ‘falsa seguridad’
  • La versión cortoplacista que una gran parte de los ejecutivos de los países del Sur de Europa, los cuales priorizan otras actividades antes de las relacionadas con la Continuidad de Operaciones y la Gestión de Crisis, pues no pueden ver un retorno inmediato de la inversión que suponen.
  • El hecho de que la mayoría de incidentes relacionados con la Resiliencia de Negocio tengan que ver con escenarios de perdida de infraestructura TI (casi 90%), los cuales se encuentran cubiertos en los Planes de Recuperación de Desastres.

Desafortunadamente, es muy complicado desarrollar planes de Resiliencia de Negocio con los tres componentes mencionados anteriormente en los países analizados. El principal factor que impulsa la creación de estos planes en las empresas de estos países es reactivo, pues solo cuando estas compañías se ven amenazadas, deciden implantar o aumentar sus estructuras de Resiliencia de Negocio.

Edificio Windsor, Madrid
Edificio Windsor, Madrid

Un ejemplo de este comportamiento lo encontramos en España, donde vemos que el gran ‘boom’ de la Resiliencia de Negocio fue en 2005, y vino derivada de los efectos provocados por el incendio en el edificio Windsor de Madrid, el cual albergaba la sede de la empresa Deloitte en este país. El incidente hizo cambiar la forma de pensar de múltiples ejecutivos del país, ya que vieron que las amenazas, tantas veces formuladas, podían convertirse en realidad, y provocar una gran pérdida en sus compañías. Desde entonces, el mercado relacionado con la Continuidad de Operaciones y la Gestión de Crisis, creció desde prácticamente cero hasta los niveles de nuestros días, en que cada vez más empresas incluyen programas completos de Resiliencia de Negocio entre sus actividades.

Nuestro papel como profesionales de la Continuidad de Negocio en estos países (y en otras regiones como Europa del Este, Norte de África o América Latina) es intentar convencer a las compañías para que desarrollen programas completos de Resiliencia de Negocio, los cuales incluyan los tres componentes del programa, para incrementar la robustez de dichas empresas ante potenciales desastres. Es esencial hacer entender a sus comités de dirección, los sponsors ejecutivos de dichos programas, que no hay que ser reactivos y esperar a que pase algo para actuar, sino actuar proactivamente, de tal manera que así podamos prevenir futuras perdidas potenciales, que podrían abocar a las compañías afectadas a su cierre.

Manel Herrer Vázquez, electrical engineer in Spain, with a master specialization in telecommunications. CBCP Certified by DRI International. With almost 10 years of experience in the IT and Information Security fields, has worked as a dedicated Business Continuity consultant in Europe, Latin America and the United States for 5 years. Specialized in banking and pharmaceutical sector, currently is leading the implementation of several Business Resiliency Programs into his current company across the EMEA and American regions

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s