19 octubre 2007

Fallos de recuperación

Ayer estuve leyendo la noticia que publicaban en VNUnet acerca del estudio publicado por Symantec en relación a la continuidad de negocio. La verdad es que no aporta grandes novedades, pero creo que merece la pena hacer algunos comentarios al respecto.

En primer lugar, me llama la atención la afirmación de apertura del artículo. Y no tanto porque refleje las dificultades de gestión económica intrínsecas a la gestión de riesgos, sino porque hace referencia al "director de sistemas". Entiendo que es Symantec, y que por tanto hablan de IT, pero no puedo hacer otra cosa que recordar uno de los últimos post acerca de las diferencias entre continuidad IT y continuidad de negocio...

Las preocupaciones a nivel de seguridad tampoco son nuevas. Aparece el malware, los desastres (de origen natural o humano), las fugas de información y la no continuidad del negocio. La solución pasa, cómo no, por garantizar la disponibilidad de la información (con backups seguros), pero sin olvidar la seguridad (confidencialidad, integridad, control de acceso, etc.) de la misma.

La parte más llamativa viene de la mano de los datos numéricos. Se afirma que una empresa enfrentada a una situación de desastre muere en un año, sin un plan de recuperación. Dónde está el truco? Por supuesto, en que la probabilidad de que la empresa se enfrente a ese desastre es muy baja. Precisamente ese es el motivo de que muchas empresas carezcan de un Plan de Continuidad de Negocio. Y si los riesgos asociados a esta carencia están analizados y asumidos, la opción me parece totalmente lícita.

Por otro lado, tenemos la opción de implementar un Plan de Continuidad. Aunque si hacemos caso al informe, tampoco parece una opción muy halagüeña. Se consigue una sensación de seguridad, pero luego resulta que en el 50% de los casos el Plan falla. Y los motivos son muy amplios: plan mal diseñado, fallos en su ejecución o fallos en la tecnología. Pero... cuál es la causa última? Desde mi punto de vista, creo que el origen de estas situaciones es común: planes de recuperación implementados más "por cumplir" que por garantizar el negocio. Por eso no se prueban, y por eso fallan: falta concienciación.

En definitiva, creo que el problema es que la continuidad de negocio debe ser algo más que una moda entre la alta dirección. Deberá llegar el momento en el que se deje de pensar en quedar bien frente a los accionistas y se empiece a pensar en desarrollar Planes de Continuidad que realmente sean abordables, eficientes y eficaces. Porque sólo en ese momento la continuidad de negocio se podrá ver como algo de todos, y los departamentos de sistemas empezarán a tomárselo como una ventaja en lugar de entenderlo como un capricho impuesto. Porque en algunos casos, cierta razón no les falta...

1 comentario:

WILLIAMS dijo...

http://williamslopez2570.blogspot.com/