07 enero 2009

Publicada la norma BS 25777:2008 sobre continuidad TIC

El pasado Diciembre se publicaba la norma BS 25777:2008, un código de buenas prácticas sobre gestión de la continuidad TIC. Una norma que, emparentada con la ya conocida BS 25999 sobre continuidad de negocio, define un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones, a sabiendas de que en la actualidad una gran parte de la continuidad del negocio de muchas organizaciones se basa en la continuidad de sus infraestructuras TIC.

La aparición de una norma de estas características me parece muy importante por dos motivos. El primero de ellos es que va a servir para separar formalmente la continuidad TIC de la continuidad de negocio, de modo que a nadie le den gato por liebre cuando hablemos de esta última. La continuidad del negocio es algo más que la continuidad de los servicios TIC, aunque tengan mucha interrelación. Por eso yo a veces prefiero el término "continuidad de la actividad comercial" que he visto utilizado en algunos sitios, porque aunque pueda ser un término menos exacto sí que da la sensación de que la informática no es lo fundamental. Que se caiga nuestro sistema CRM no equivale a que nuestros comerciales dejen de vender, y lo importante para el negocio es esto último. La continuidad de negocio debe estar orientada hacia los procesos de negocio, valga la redundancia, hacia los servicios prestados a cliente final y las actividades productivas, y el hecho de que dichas actividades utilicen en mayor o menor medida infraestructuras TIC sólo debería determinar la forma de abordar el problema. ¿De qué serviría tener garantizada la continuidad de nuestros sistemas informáticos si no tenemos garantizada la continuidad del know-how asociado a su uso y explotación? En el fondo, la gestión de la continuidad del negocio tiene mucho más que ver con la gestión del conocimiento que con la gestión TIC, y sin embargo es muy habitual que, al hablar de ella, la cantidad de veces que se mencione esta última sea abrumadoramente superior al número de veces que se habla de la primera...

El segundo motivo por el que me alegro de la aparición de esta norma es porque plantea un marco mucho más definido de actuación en materia de continuidad TIC. Obviamente, al querer entender la BS 25999 como una referencia para la continuidad de los sistemas nos encontrábamos con muchas vaguedades y conceptos excesivamente amplios que luego era necesario acotar y "traducir" artificialmente. En cambio, creo que con esta nueva norma, centrada en el ámbito tecnológico, estaremos en condiciones de disponer de una referencia mucho más útil a la hora de hablar de continuidad en entornos TI.

Por último, creo que otro de los aspectos a los que habrá que prestar atención a partir de ahora es a los movimientos en el sector en torno a esta nueva norma. Sobre todo porque, siguiendo la filosofía clásica de las normas BS, se prevé que para finales de este año aparezca la parte 2 de la norma, que ya será una especificación de los mínimos necesarios para desarrollar un Sistema de Gestión de la Continuidad TIC, y por tanto un esquema certificable específico para la continuidad TIC, con el interés que estos temas pueden despertar. Y tampoco sería descabellado pensar en que BSI pueda publicar una traducción oficial en castellano de estas normas, como ya hizo en su momento con la BS 25999, con el fin de incrementar el nivel de penetración en el mercado hispano-hablante...

3 comentarios:

Anónimo dijo...

Hola Joseba,
veo que has tenido tiempo de echar un vistazo a la norma (o a su borrador).

Estoy contigo es que baja a la tierra y es mucho más concreta, cubriendo los aspectos tecnológicos. También su bondad para el mercado.

Tiene también defectos ... por ejemplo, el BIA y el análisis de riesgo "caen del cielo" (vendrán de hacer el trabajo de continuidad de Negocio ...). No explicita la parte de retorno a la normalidad ... etc.

Y no coincido contigo en lo de la parte certificable. No esta claro que salga. La 25999 ya incluía parte 1 y parte 2, en su numeración, en su contenido ... pero en la 25777, nada de nada. Fijate que la norma se llama BS 25777:2008 y no BS 25777-1:2008, frente a BS 25999-1:2006. Ni en el web de BSI BS viene nada ... hubo alguna noticia en la fase de preparación, pero ahora na de na. Tal vez la estrategia es usarla como pieza de guia y fomentar las certificaciones 25999 ... 'gero, gerokoak'

Joseba Enjuto dijo...

Efectivamente, tienes razón en lo de la segunda parte certificable. Aunque en sus orígenes sí que se preveía algo así, lo he investigado y parece que no hay intenciones de crear un nuevo esquema certificable. Por tanto, el planteamiento es mantener la BS 25999-2 como requisitos para un sistema de gestión de continuidad del negocio y a partir de ahí disponer de dos códigos de buenas prácticas, uno genérico de continuidad de negocio (BS 25999-1) y uno específico de continuidad TIC (BS 25777). Lo que quizás pueda ir apareciendo a lo largo del tiempo son otras "ampliaciones" para continuidad de otro tipo de ámbitos, como pueden ser el de la logística, por ejemplo. Pero siempre con la BS 25999 como esquema de referencia...

Obviamente, la norma tiene bastantes aspectos mejorables (como todas). Afortunadamente, el esquema PDCA también se les aplica a las propias normas, así que con el paso del tiempo seguro que vamos viendo mejoras... en futuras versiones.

Saludos,

Joseba

Unknown dijo...

Hola Joseba,

He encontrado este PDF (http://cmapspublic.ihmc.us/rid=1206379723410_947960034_16063/BS%2025777.pdf) con lo que parece ser una slide de BSI explicando los planes al respecto de la BS25777 y cómo, por lo visto, sí que habrá una segunda parte a finales de 2009.

Supongo que habrá que seguirlo de cerca para salir de dudas. Por lo pronto, cabe aplaudir la aparición de esta norma para ayudar en la distinción entre continuidad de negocio y continuidad TIC.

Un saludo,

Marco.