15 abril 2011

El futuro de los estandares de continuidad de negocio

El mundo de los estándares de continuidad de negocio está sufriendo un lento pero progresivo cambio. Por un lado, hace mes y medio que se publicó la ISO 27031, que sustituye e internacionaliza la antigua BS 25777 sobre continuidad TIC. Este hecho, además, supone reconocer la continuidad TIC como uno de los aspectos propios de la seguridad de la información, puesto que pasa a formar parte de la serie ISO 27000, pero por otro lado lo "aleja" de la continuidad de negocio, ya que el estándar que define los requisitos para el establecimiento de un sistema de gestión dentro de esta serie es la ISO 27001.

Por otro lado se va avanzando en la redacción del futuro estándar de continuidad ISO 22301, que establece los requisitos para un sistema de gestión de la continuidad. Curiosamente, el borrador actual parece que no utiliza el término "negocio", y en su lugar aparece el concepto "preparedness" (algo así como "estar listo para entrar en acción") para el que no se me ocurre un buen término en español. Esta norma sustituirá a la actual ISO 22399, y según parece también lo hará con las vigentes BS 25999 y UNE 71599. No obstante, en este caso el estándar no pertenece a la serie de seguridad de la información, sino que está desarrollado por el comité técnico ISO/TC 223 sobre "societal security" (término para el que tampoco se me ocurre una traducción apropiada, aunque el término seguridad corporativa quizás pueda valer). Por tanto, parece que la separación entre "negocio" y "tecnología" se acentúa en la evolución de estos estándares de continuidad a normas ISO, lo cual me agrada especialmente, como podréis suponer.

De todos modos, sigo viendo una importante carencia en este tipo de estándares de continuidad (al menos, a falta de una definición más exacta de su alcance). Carencia que, además, me da la sensación de que puede ser una de las causas de que su adopción no se esté extendiendo tan rápidamente como se preveía inicialmente. Y es carencia es que, en general, los riesgos que gestionan este tipo de estándares suelen ser riesgos operativos (u operacionales), mientras que cuando se habla de negocio en cualquier organización, todo el mundo suele pensar inicialmente en riesgos económico-financieros y/o como mucho en riesgos de mercado. Quizás el problema sea tan sólo el nombre (y ese pueda ser uno de los motivos por los que se ha eliminado el término "negocio" en la versión ISO), pero por otro lado estoy seguro de que si este tipo de estándares de gestión cubriesen de algún modo este tipo de riesgos más propios del "negocio" su adopción por parte de todo tipo de organizaciones sería mucho más amplia. ¿Estáis de acuerdo?

8 comentarios:

Alejandro Delgado dijo...

Tras haber trabajado con la BS 25999 más un año haciendo nuestra propia implantación te diría que la veo muy ambigüa.

Comparto contigo también todo lo que dices, pero como principal problema le veo ese, incluso hay términos que no los deja claros y los mezcla en sitios que no van al caso.

Joseba Enjuto dijo...

Efectivamente, lo es, y es uno de los temas que más a fondo están revisando en la ISO 22301. Y me parece un problema todavía más grave el hecho de que en el sector de la continuidad de negocio no haya una terminología común aceptada (cada organización tiene su propia definición para los planes de contingencia, planes de continuidad, planes de recuperación, planes de respuesta, planes de gestión de crisis, etc.). ¿Será la nueva ISO una referencia para estandarizar conceptos, o se convertirá en otro catálogo conceptual más?

Unknown dijo...

Después de lo que hemos visto en Japón, el pensar en planes de continuidad o contingencia supra-empresariales o nacionales no suena descabalado (pensemos también en nuestra recién estrenada Ley de Inf. Críticas).

En mi opinión el problema no reside sólo en cómo estandarizar los que se hagan a partir de ahora, si no en cómo se unifican los realizados hasta la fecha para que funcionen como un todo.

Joseba Enjuto dijo...

Me gustaría pensar que de las 3500 infraestructuras críticas que dicen alguna noticia que se han catalogado, una parte importante de ellas ya cuentan con los preceptivos planes, y que el problema realmente sea coordinarlos y estandarizarlos. Pero tengo la ligera sensación de que, una vez más, los deseos no se van a ver cumplidos...

Galileus dijo...

En el Perú, el ente regulador del sistema financiero adoptó la BS 25999 para elaborar su normativa, de cara a la implantación de los sistemas de gestión de continuidad del negocio.

Muchas empresas de Latinoamérica han apuntado hacia este estándar, como guía de implementación.

Esperemos que con el advenimiento del nuevo ISO 22301, que según se dice en noviembre reemplazaría a la BS, el panorama quede más claro y sobre todo, verdaderamente estandarizado.

Saludos desde Lima.

Joseba Enjuto dijo...

En general, una norma ISO reemplaza a una norma local cuando el organismo local de certificación la adopta oficialmente, traduciéndola. Por lo tanto, considerando que la ISO 22301 ya está publicada, todo dependerá del periodo de traducción...

Unknown dijo...

Excelente artículo así como los cometarios posteriores, les felicito y solicito mayor información, ojala en español sobre la continuidad del negocio, que considero es la evolución de la protección activos o al menos su complemento ideal.

Unknown dijo...

Excelente artículo así como los cometarios posteriores, les felicito y solicito mayor información, ojala en español sobre la continuidad del negocio, que considero es la evolución de la protección activos o al menos su complemento ideal.