13 junio 2007

Continuidad de negocio integrada

Es habitual que los trabajos en gestión de la continuidad del negocio se "vendan" de forma independiente, ya que normalmente las actividades relacionadas con estos temas tienen entidad suficiente como para tratarlas de forma específica. Con lo que no estoy de acuerdo, y es algo que ocurre muy a menudo, es que tanto en cursos de formación como en proyectos de implantación se presenten este tipo de actividades de forma independiente, sin interrelacionarlas con otras actividades de la organización.

En primer lugar, no debemos olvidar que la gestión de la continuidad del negocio tiene mucho que ver con la propia estrategia de la organización. Al fin y al cabo, su objetivo no es otro que garantizar que el negocio pueda seguir adelante "pase lo que pase". Y si pensamos en la gestión de riesgos corporativos, resulta que lo que pretendemos conseguir es que el plan estratégico pueda desarrollarse. Digamos que en el primer caso nos estamos cubriendo frente a imprevistos físicos y lógicos y en el segundo caso también contemplamos imprevistos (y previstos) de mercado, económicos, operativos... Pero, al fin y al cabo, son dos actividades complementarias, y sus caminos deberían discurrir no sólo de forma paralela, sino coincidente en muchas ocasiones.

En segundo lugar, una buena gestión de la continuidad del negocio conlleva necesariamente un análisis de riesgos. En concreto, un análisis de riesgos de disponibilidad (en función del tiempo). Y resulta que esta no es más que una de las dimensiones de la seguridad, que deberemos contemplar en un análisis de riesgos de seguridad de la información. Por tanto, vuelve a ser una tarea que no debe ser ejecutada de forma independiente, sino coordinada y complementaria a la gestión de la seguridad de la información. De hecho, podríamos entender de forma sencilla un análisis integrado de ambos aspectos si contemplásemos, en el análisis de riesgos de seguridad de la información, no sólo 3 dimensiones, sino N + 2. Las 2 serían Integridad y Confidencialidad, y las N dimensiones adicionales aparecerían al dividir la de Disponibilidad (disp) en disp=1hora, disp=1día, ... Los N escalones de disponibilidad en los que estemos pensando.

Y si el análisis de riesgos lo integramos, de dónde surgen las dos variantes de la gestión del riesgo? Sencillamente, de sub-dividir los resultados. En el caso general de gestión de la seguridad, estamos pensando en tratar los niveles de RIESGO más altos. Sin embargo, en el caso de gestión de la continuidad, el objetivo es tratar los niveles de IMPACTO más altos. Esto se debe a que en este caso obviamos la probabilidad de ocurrencia de la amenaza, puesto que ya contamos con que sea muy baja, y nos preparamos "por si acaso", debido a que los daños que podemos sufrir son elevados. Por qué hacemos esto? Sencillamente, porque los niveles de riesgo que podemos asociar a estos casos no los colocan en los primeros a tratar, ya que impacto muy alto * probabilidad de ocurrencia muy baja = riesgo bajo, en general. Y cómo se pueden llegar a tratar en un caso genérico en el que exclusivamente hablemos de gestión de riesgos? Pues en este caso deberíamos estar ante una empresa lo suficientemente madura como para que haya reducido sus riesgos tanto que los niveles a tratar sean los que corresponden a los de continuidad de negocio. Cuántas de estas empresas conoceis? No muchas, verdad? Es por eso por lo que este tipo de actividades se "vendan" por separado. Y sin embargo, podríamos discutir si realmente las empresas que no estén en esta situación se deberían embarcar en proyectos de este tipo, o si no sería más aconsejable que inicialmente afrontasen otros proyectos para reducir los riesgos que son superiores a los de continuidad.

En resumen, lo que quiero dejar presente es que la gestión de la continuidad de negocio no es algo que se pueda afrontar de forma independiente, y que un buen proyecto de este tipo debe tener una visión global (holística, ya que este término está tan de moda) en la que estas actividades se integren por completo en la cultura de negocio de la organización.

4 comentarios:

Samuel dijo...

Excelente artículo Joseba. Totalmente de acuerdo (como siempre últimamente ;) ).

Precisamente lo que comentas al final del penúltimo párrafo ("podríamos discutir si realmente..."), es una de las causas por las que pensamos en desarrollar IS2ME.

Un Saludo,

Joseba Enjuto dijo...

La verdad es que todavia tengo pendiente la lectura de la metodologia. Pero prometo publicar un post al respecto en cuanto tenga tiempo para leerla con tranquilidad...

Anónimo dijo...

Ya es hora de que alguien hable en Internet (en nuestro país) de gestión de la Seguridad. Los informáticos llevan años intentando explicarnos que las máquinas son la solución de la seguridad. Como dice el profesor Manunta los informáticos no son la solución, son el problema. Cuando no había informáticos no teníamos problemas de seguridad de la información. Gracias por tu aportación y sique hablando de gestión.

Joseba Enjuto dijo...

Gracias por el comentario. Aunque menos mal que no soy informático... :-) De todas formas, no creo que el mundo técnico sea incompatible con el de la gestión, ni mucho menos. Aunque probablemente sí que sea necesaria más formación "de base" al respecto (en la escuela de ingenieros no recuerdo ninguna asignatura en la que me hablaran de gestión, sinceramente).