En el siguiente documento se

Transcripción

1 HISTORIA, EVOLUCIÓN Y NUEVO ENFOQUE Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos de TI de Repsol Agustín Lerma Product Manager de BSI Gestión Integral de Crisis: la nueva Continuidad de Negocio En el siguiente documento se presenta una propuesta de mejora del actual marco conceptual de la Continuidad de Negocio. Esta nueva aproximación trata de ser más real y cercana al concepto de Continuidad de Negocio que, comúnmente y en estos momentos, está extendido en las organizaciones. Para ello, se propone la inclusión de la Gestión de la Continuidad de Negocio dentro de un sistema más amplio de Gestión Integral de Crisis. Con este nuevo enfoque, se propone una visión más ajustada de la Continuidad de Negocio en la que sus principales elementos se encuentran bien definidos, clarificados y ubicados. Introducción Hace unas semanas, durante una reunión informal en el contexto de la Seguridad de la Información, entre otros asuntos, estuvimos haciendo un breve análisis del estado del arte de la Continuidad de Negocio (en adelante, CN), basándonos en algunos artículos de reciente publicación y, por supuesto, en nuestra percepción del día a día. A raíz de esta conversación, viendo que las conclusiones que íbamos obteniendo en relación a la Continuidad fluían rápida y coherentemente, nos pareció una idea interesante seguir profundizando en el tema. Y así fue. Para ello, recopilamos la información que obraba en nuestro poder en materia de CN, que iba desde Planes de CN (en adelante, PCN) que abarcan un amplio espectro del mundo empresarial (tanto público como privado, nacional e internacional), hasta estándares, normas, guía de buenas prácticas, artículos especializados, etc. Nuestra primera inquietud consistía en conocer con más precisión y concisión la historia de la Continuidad (sin necesidad de remontarnos demasiado en el pasado), así que leímos un artículo de Paul Kirvan en el que se hacía un repaso cronológico de la CN: Business Continuity: Business Continuity, A History of Challenges. En éste se ponía de manifiesto que la CN, tal y como la conocemos en estos momentos, resulta como una evolución del concepto de recuperación ante desastres que, allá por los años 70 del siglo pasado, comenzó a fraguarse para dar soporte a los sistemas mainframe. En este mismo artículo se señala que fue en la siguiente década de los 80 cuando se produjo un auténtico boom empresarial alrededor de la Recuperación ante Desastres (SunGard, IBM, Hewlett-Packard, Iron Mountain, Disaster Recovery Institute, etc.), de forma que se iba ganando relevancia y aceptación en los departamentos de Sistemas de Información de todo el mundo. Pero fue a partir de 1990 cuando se puso de manifiesto que las organizaciones, consideradas individualmente como un todo en conjunto, precisaban de mecanismos y procedimientos de protección similares a los que Recuperación ante Desastres ofrecía a las áreas técnicas en los Centros de Proceso de Datos (CPD). De hecho, esta necesidad dio paso a un incremento progresivo de la visión holística del negocio y, por ende, a la aparición del término o concepto de CN. Desde este momento, comenzaron a entrar en escena nuevos actores propios de la Continuidad, como asociaciones profesionales especializadas (tal sería el caso del Business Continuity Institute), publicaciones especializadas en la materia (por ejemplo, Contingency Planning & Management), etc., que se vieron fortalecidas, 36 SEGURITECNIA Abril 2012

2 junto con la propia CN, gracias al crecimiento económico de los EEUU durante este periodo. El comienzo del siglo XXI fue un tanto convulso desde el punto de vista de la Continuidad: actividades terroristas en todo el planeta (Nueva York, Madrid, Londres, Bombay, etc.), huracanes más destructivos y frecuentes, terremotos de gran intensidad, etc. Todos estos factores, sumados al incremento notable de profesionales dedicados a este campo, propiciaron un ejercicio de revisión y análisis del papel que jugaba la CN dentro de las organizaciones, quedando de manifiesto que era imprescindible coordinar esfuerzos y trabajos entre departamentos de la misma compañía (por ejemplo, seguridad física, seguridad de la información, servicios generales, auditoría interna, etc.) e, incluso, entre compañías del mismo sector y la Administración Pública. Como consecuencia de este ejercicio, en el año 2003 se publica la norma PAS 56, ofreciendo una visión coherente y consistente entre los principales sectores del mercado. La evolución natural de esta norma informal fueron la norma BS :2006, sobre el código de buenas prácticas y la BS :2007, sobre las especificaciones necesarias en un Sistema de Gestión de Continuidad de Negocio (en adelante, SGCN). Gráficamente, en la siguiente figura se puede observar el esquema propuesto por el British Standard Institution en la norma BS 25999, empleando los principales elementos definidos en esta norma: Tras esta ligera pincelada de la evolución de la CN hasta nuestros días, la siguiente duda que se nos planteaba era bien sencilla: realmente se puede hablar de una transformación significativa de la Continuidad? Cuál ha sido su progresión en los últimos 20 años? Antes de comenzar a profundizar en las respuestas a estas cuestiones, éstas se antojaban sencillas: estancamiento de la Continuidad desde un punto de vista de enfoque, gestión y operación, porque desde un punto de vista tecnológico, el progreso en las nuevas tecnologías ha supuesto un claro beneficio para la Continuidad. No obstante, esta intuición o sensación debía ser corroborada con datos. En este sentido, lo primero fue volver a leer el material de Continuidad de que disponíamos, revisar publicaciones y conversar con otros colegas cuyo recorrido profesional, junto con el nuestro, nos permitiría tener una perspectiva mucho más completa. Cuál fue nuestra sorpresa al comprobar que el grueso de la estructura de cualquiera de los PCN que habíamos mirado era, prácticamente, la misma. Y no se trataba de documentos con la misma fecha de elaboración, sino que estaban distanciados en el tiempo por varios lustros, incluso decenios. Sí, evidentemente, existen diferencias entre un plan que se hubiera elaborado a finales de los años 80 o comienzos de los 90 y uno coetáneo de la BS 25999, pero las diferencias no van más allá del nivel de detalle en la definición de los escenarios de continuidad, en los procedimientos específicos de acción ante una situación de contingencia declarada, en los parámetros de valoración de los análisis de riesgos (en adelante, AARR) e impacto, en los planes de comunicación, en los planes de prueba etc. Es decir, la estructura básica sigue siendo la misma hoy que hace 20 años. Transmitimos este hecho (que a nuestro entender podía resultar circunstancial) entre amigos y conocidos que han estado relacionados con la CN a lo largo de su carrera profesional y, reafirmando nuestra intuición inicial, todos ellos avalaban el mismo corolario: la Continuidad, desde un punto de vista estructural, parecía estancada. Figura 1: Visión de la Gestión de Continuidad de Negocio según BS 25999: 2007 De la CN a la GIC La historia nos demuestra que no es posible predecir de antemano la severidad, duración y repercusión de todos y cada uno de los potenciales incidentes que podrían afectar a nuestra organización, por lo que el desarrollo de Planes de Acción Específicos (en adelante, PAE) basándose en escenarios de contingencia, dentro de la CN, conlleva un SEGURITECNIA Abril

3 elevado riesgo y, por lo tanto, una falsa sensación de seguridad. Realmente, tal y como está concebida y asimilada comúnmente en estos momentos la CN, este concepto se trata como un control reactivo especial con el que se pretende mitigar el impacto que conlleva la materialización de una amenaza concreta en la organización. Es decir, se asume, de manera general, que la CN se corresponde con los PAE definidos para recuperar/ operar/restaurar un proceso crítico interrumpido, entendiéndola como una actividad, prácticamente, independiente de otros elementos igualmente vitales (tal es el caso de los Planes de Gestión de Incidentes y las tareas de revisión o mantenimiento de la CN). Si atendemos a la definición del término de continuidad de negocio que se recoge en la norma BS :2007, ésta se trata como la capacidad estratégica y táctica de la organización de planificar y responder ante incidentes e interrupciones de negocio para continuar las operaciones de negocio en un nivel aceptable predefinido. Es decir, tal y como se muestra en la Figura 1, la norma BS :2007 considera que la CN abarca tanto la parte preventiva (planificación) como la parte reactiva (respuesta) frente a una situación de contingencia. Pero, es la CN un control preventivo o reactivo? Estamos empleando una terminología acertada? Se están mezclando los conceptos de CN y Crisis? Cómo podríamos mejorar el enfoque actual de la Continuidad? Desde nuestro punto de vista, la CN y su gestión deberían incluirse dentro de un marco más amplio como el de la Gestión Integral de Crisis (en adelante, GIC), de manera que se reservaran para la CN las funciones meramente reactivas, relegando el mayor peso del carácter preventivo a otras funciones como el análisis y la gestión de riesgos que, dentro de la organización y por lo general, se desarrollan de manera más global y detallada. Concretamente, tal y como se puede observar en la Figura 2, se presenta una propuesta en la que el foco de atención Figura 2: Visión integral de la Gestión de Crisis. A partir de este punto, se debería definir un Plan de Seguimiento de la Implantación con el que monitorizar la evolución de las salvaguardas elegidas en el Plan de Tratamiento, además de contar con unos indicadores que sirvieran para retroalimentar un ulterior AARR. Sin embargo, el tratamiento de la CN en el ciclo de la GPC debería diferir el resto de controles (tanto reactivos como, evidentemente, preventivos) dese centra en la gestión integral de cualquier situación de crisis que pudiera sobrevenir a la organización. A través de este enfoque completo, con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no, que pudiera llegar a afectar a nuestra organización, de manera que, tanto preventiva como reactivamente, quedan cubiertos los principales estadios que se pueden presentar: Gestión Preventiva de Crisis (en adelante, GPC); Gestión Reactiva de Crisis (en adelante, GRC); Análisis y Lecciones Aprendidas (en adelante, ALA). A continuación se hace una descripción concisa de los principales elementos de la Figura 2. Gestión Preventiva de Crisis Sun Tzu en su obra El arte de la guerra, allá por el año 500 a.c., postulaba que la invencibilidad reside en la defensa, mientras que las oportunidades de victoria lo hacen en el ataque. Si esta directriz puramente militar la traspusiéramos al ámbito de la CN, nos podríamos encontrar con una premisa en la que se propusiera una buena GPC con la que proteger los procesos críticos de la organización, evitando que la GRC se ponga en marcha, pero que, caso de activarse la GRC, ésta fuera eficaz para recuperar adecuadamente los procesos afectados. En este sentido, la siguiente Figura 3 (que podrán ver en la página siguiente) muestra gráficamente el enfoque que se propone con la GPC. Como se puede apreciar, esta fase se asemeja clamorosamente a cualquier proceso de análisis y gestión de riesgos que podemos encontrar en una Organización, pero con una diferencia notable a la hora de manejar la CN, que pasamos a describir a continuación. Una vez que la organización ha definido y aprobado un umbral de riesgo (i.e., el límite superior de riesgo asumido), tras determinar el mapa de riesgos, se debe proceder a la gestión de los riesgos identificados. En este punto, son varias las casuísticas que se presentan: Por un lado, siempre que el riesgo efectivo sobre un proceso se quede por debajo del umbral establecido, no precisaría (a priori) de ningún tipo de gestión, dado que se trataría de una cota aceptable de riesgo para la organización. Por otro lado, si el riesgo efectivo identificado para un proceso quedase por encima del umbral de riesgo de la organización (o incluso dentro de un rango de valores alrededor de dicho umbral, con lo que se proporcionaría un mayor grado de confianza), se debería contar con una serie de acciones correctivas, dentro de un Plan de Tratamiento de Riesgos, para minimizar dicho riesgo hasta cotas aceptables. 38 SEGURITECNIA Abril 2012

4 Figura 3: Visión de Gestión Preventiva de Crisis. rivados del análisis y la gestión de riesgos. Esta afirmación se sustenta, básicamente, en los siguientes argumentos: En primer lugar, la inclusión de un determinado proceso en el programa de CN está condicionada por el nivel de impacto de dicho proceso en la organización debido a la interrupción/ degradación del mismo, teniendo en cuenta un factor de evolución temporal en el impacto (que, además, es independiente de la amenaza materializada). Pero el riesgo se entiende como el producto de la probabilidad de ocurrencia de una amenaza (que aprovecha una vulnerabilidad, más o menos expuesta, que afecta a uno o varios procesos) por el impacto de la materialización de tal amenaza en un proceso. Existe alguna relación entre el AARR y la CN? Un riesgo elevado en un proceso implica la inclusión automática de éste en el programa de CN? El primer punto que, inicialmente, atisba más similitudes es el impacto: el impacto que se maneja en el AARR Para aquellos casos en los que el riesgo y el impacto estuviesen alineados (i.e., AARR y BIA son similares), cabría señalar que la CN debería incorpoes el mismo que el impacto de la CN? Existe alguna relación entre el AARR y el análisis de impacto en el negocio (en adelante, BIA)? En el caso del AARR, el impacto se refiere a cómo se vería afectado un proceso (conjunto de activos) desde el punto de vista de la confidencialidad, integridad, disponibilidad y cualquier otra dimensión que se estime oportuna (valor contable, impacto legal, de imagen, lucro cesante, etc.) ante la materialización de unas determinadas amenazas, mientras que en CN el impacto se refiere a cómo se vería afectada la organización, desde el punto de vista operativo, legal, de imagen, etc. ante la pérdida o degradación de un proceso a lo largo de un periodo de tiempo concreto (una hora, un día, una semana, etc.). Es decir, asumiendo que el impacto en el AARR está restringido a un momento temporal concreto, los impactos obtenidos en el AARR y en la CN deberían estar totalmente alineados. No obstante, el riesgo en el AARR se ve condicionado por las amenazas (tanto en el número de éstas que afectan a un proceso, como en su probabilidad de materialización), mientras que éstas no son tenidas en cuenta en el BIA. Por este motivo, si bien los impactos (el de AARR y el del BIA) están alineados, el resultado del AARR no tiene porqué ser una medida de referencia para la CN, puesto que el factor derivado de las amenazas en el AARR desvirtúa, de manera general, cualquier potencial aproximación a la CN. Adicionalmente, si bien el riesgo obtenido en el AARR no es determinante para concluir si un proceso debe ser incluido o no en el programa de CN, sí que se puede rescatar parte de la información procesada en el AARR para tomar esta decisión. Tal y como se ha argumentado en el punto anterior, el impacto calculado para un proceso en el AARR puede servir como magnitud de referencia en una primera aproximación a la CN, de forma que, si el impacto del AARR es próximo al umbral de impacto definido por la organización en el ámbito de la CN, debería efectuarse un BIA completo sobre ese proceso y, en función de los resultados obtenidos, actuar en consecuencia (opciones de CN, PCN, PAE, etc.). De esta manera, se puede reaprovechar parte del trabajo realizado en el ámbito del AARR, pudiendo desarrollar un BIA completo partiendo, no desde cero, sino desde un estadio más avanzado. Por último, para aquellos casos en los que resulte muy costoso (o imposible) la extracción de los impactos en el AARR (e.g., las características del modelo de cálculo del riesgo implantado en la organización no permite una visión parcial del total del riesgo), el tratamiento de la CN en la GPC pasa por el análisis de todos los procesos de la organización, a través del BIA, para conocer el impacto y, por lo tanto, el grado de criticidad de tales procesos. SEGURITECNIA Abril

5 Conclusiones Las principales propuestas en materia de CN que llevamos a cabo en este documento son las siguientes: La Continuidad de Negocio, tal y como se presenta en la norma BS 25999, debería ser matizada y clarificada tanto en conceptos como en el modelo de relación con otras áreas (e.g., AARR). Proponemos la inclusión de la Continuidad de Negocio dentro de un Sistema de Gestión Integral de Crisis que cubra tanto fases preventivas como reactivas. La CN es un elemento puntual que debe contextualizarse en la GIC, denrar aquellos procesos cuyo riesgo no quiera gestionarse de manera preventiva, sino reactiva: no importa cuál sea la amenaza que se haya materializado, sino que hay que focalizar todos los esfuerzos en minimizar el impacto derivado de la afección del proceso dentro de unos márgenes y condicionantes temporales propios del proceso. No obstante, merece la pena resaltar que un PCN (entendido como PAE para recuperar/operar ante una situación de crisis) no minimiza el riesgo asociado a un proceso per se, sino que es necesario que dicho PCN esté contextualizado dentro de un sistema de gestión para que éste sea efectivo (mantenimiento, actualización, revisión, pruebas, etc.). A lo largo de esta GPC, es posible que sobrevenga una situación que afecte al correcto y normal desarrollo de la organización. Ante este escenario, una vez declarada oficialmente la situación crisis, la gestión preventiva quedaría relegada a un segundo plano, mientras que la gestión reactiva (GRC) pasaría a adoptar un papel protagonista en la organización. Gestión Reactiva de Crisis Llegados a este punto, lo primero que habría que señalar es el hecho de que se ha generalizado un mal uso de la terminología y el vocabulario en el ámbito de la CN, de manera que se ha desvirtuado el principal objetivo de la CN. Hoy en día es muy frecuente presenciar conversaciones de CN en las que se emplea, indistintamente, los términos incidencia, incidente, problema, contingencia, crisis, etc. para referirse a situaciones que, muy probablemente, no requieran la invocación de la CN como tal, sino que pueden (y deben) afrontarse mediante procedimientos habituales de actuación para la gestión de incidencias (e.g., corte de servicios, fallos en componentes, etc.). Aún así, se debe tener presente que, en cualquier momento, cualquiera de estas situaciones anteriores puede derivar en una auténtica situación de crisis. La CN está ideada para ser una medida reactiva que entra en funciona- miento dentro de una organización ante situaciones de crisis, es decir, casos excepcionales en los que los controles/ contramedidas habituales no son efectivos. La condición de excepcionalidad de cualquier situación deberá ser declarada por un órgano de decisión (o individuo) de la organización con la debida autoridad y competencias. En la siguiente Figura 4 se puede observar el enfoque que se propone con la GRC. Figura 4: Gestión Reactiva de Crisis. tro de un ciclo de vida más amplio y completo que el propuesto actualmente para la Continuidad. El Análisis de Riesgos no es elemento determinante para la definición de los procesos críticos en la Continuidad de Negocio. Un mapa de riesgos no es una medida de referencia infalible para la CN, ya que las amenazas en el AARR desvirtúan cualquier potencial aproximación a la CN (i.e., el impacto). En última instancia, el BIA es imprescindible para valorar el impacto de cualquier proceso y, por lo tanto, para considerar la inclusión de tal proceso en el programa de CN. La dimensión, volumen, inversión, componentes y recursos humanos, técnicos, estructurales del Sistema de Gestión Integral de Crisis estarán condicionados por los resultados del AARR y BIA. Esta relación sería absolutamente subjetiva en un inicio y progresivamente objetiva conforme el Sistema de Gestión vaya adquiriendo madurez (repetición del proceso y mejora continua). S 40 SEGURITECNIA Abril 2012