Gestión Integral de Crisis: la nueva Continuidad de Negocio



Documentos relacionados
En el siguiente documento se

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

El diagnóstico basado en CobiT Noviembre 2013

Tratamiento del Riesgo

Recomendaciones relativas a la continuidad del negocio 1

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

Introducción. Definición de los presupuestos

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management


4.4.1 Servicio de Prevención Propio.

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

CUESTIONARIO DE AUTOEVALUACIÓN

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Bechtle Solutions Servicios Profesionales

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Security Health Check

Unidad 6: Protección Sistemas de Información

Técnicas de venta (nueva versión)

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services)

Qué pasa si el entorno de seguridad falla?

Plan de Continuidad de Operaciones

LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE

Módulo 7: Los activos de Seguridad de la Información

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

Introducción. 2 Estudio de Seguridad Patrimonial Deloitte Advisory, S.L.

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

ISO 17799: La gestión de la seguridad de la información

Guía EMPRESA INTELIGENTE 2.0 para la PYME

SEGURIDAD DE LA INFORMACIÓN

Cómo organizar un Plan de Emergencias

Traslado de Data Center

Cómo sistematizar una experiencia?

CEOE-CEPYME, por el presente voto particular, manifiesta su voto negativo a la propuesta de aprobación del documento de referencia.

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

Gestión de la Configuración

Sistemas de Gestión de Calidad. Control documental

GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:

Figure 7-1: Phase A: Architecture Vision

INTERRUPCION A LA EXPLOTACION

Retorno de inversión (ROI) en proyectos ISO 27001:2005. Alineamiento con el estándar.

LAS GRANDES EMPRESAS DEL IEF ABREN SUS REDES INTERNACIONALES AL RESTO DE COMPAÑÍAS FAMILIARES, PARA QUE SE LANCEN A EXPORTAR EN MEJORES CONDICIONES

NORMATIVA ISO Tasador colaborador con con la la justicia

Principales Cambios de la ISO 9001:2015

Cómo seleccionar el mejor ERP para su empresa Sumario ejecutivo

2.2 Política y objetivos de prevención de riesgos laborales de una organización

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Director General y Auditor Jefe en SGPRL

Norma ISO 9001: Sistema de Gestión de la Calidad

GlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio

Gestión de la Prevención de Riesgos Laborales. 1

Educación y capacitación virtual, algo más que una moda

APLICACIÓN DEL R.D. 1627/97 A OBRAS SIN PROYECTO

Colaboración entre Ericsson y EOI Escuela de Negocios

CONTRATAS Y SUBCONTRATAS NOTAS

COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL

MODELOS DE RECUPERACION

DESARROLLO COMUNITARIO Y EDUCACIÓN

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

PLAN DE MEJORAS. Herramienta de trabajo. Agencia Nacional de Evaluación de la Calidad y Acreditación

Test de intrusión (Penetration Test) Introducción

BUSINESS ANGEL: EMPRENDEDORES POR CUENTA AJENA QUE APORTAN CAPITAL INTELIGENTE

CREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN

IAP CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

gestión económica programación económica gestión financiera contratación administrativa

de riesgos ambientales

ISO9001:2015. Todos los certificados emitidos en este periodo tienen una fecha de caducidad de 15 de septiembre de 2018.

Gestión de riesgos y planificación

Programa 47 Formación continua para egresados

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León.

PROGRAMA DE REFUERZO EDUCATIVO EN PRIMARIA

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

OHSAS 18001: La integración de la Seguridad y Salud en el Trabajo en las organizaciones

Resumen del trabajo sobre DNSSEC

Capítulo IV. Manejo de Problemas

AUDITORIA HACCP/ ISO CONSIDERACIONES GENERALES

Operación 8 Claves para la ISO

Norma ISO 14001: 2015

El nivel de Satisfacción Laboral tomado con puntaje de mayor de 3 es lo que denota mayor satisfacción.

El sistema de franquicias mantiene su dinamismo frente a la crisis

2.- DEFINICIÓN Y CONCEPTUALIZACIÓN DE MALTRATO Y DESPROTECCIÓN INFANTIL

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

PERFIL DEL PUESTO POR COMPETENCIAS Sepa cómo construirlo y evitar bajos desempeños posteriores

RECTA FINAL PARA LA ISO 9001:2015

Planificación de Sistemas de Información

LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS

Planificación de Sistemas de Información

PONENCIA DE ESTUDIO DE LAS NECESIDADDES DE RECURSOS HUMANOS EN EL SISTEMA NACIONAL DE SALUD

Gestión de riesgo operacional

Integración de la prevención de riesgos laborales

El impacto de la crisis en las ONG

Revisión del Universo de empresas para la Estimación de los Datos Del Mercado Español de Investigación de Mercados y Opinión.

Criterio 2: Política y estrategia

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

políticas repercuten no solo en el momento que son tomadas, por el contrario siguen

TEMA 8: SISTEMA DE COSTES POR PROCESOS. INDICE. 1.- Caracteristicas generales de los sistemas de costes por procesos.

Implementando un ERP La Gestión del Cambio

Transcripción:

Gestión Integral de Crisis: la nueva Continuidad de Negocio Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos de TI de Repsol Agustín Lerma Product Manager de BSI En el siguiente documento se presenta una propuesta de mejora del actual marco conceptual de la Continuidad de Negocio. Esta nueva aproximación trata de ser más real y cercana al concepto de Continuidad de Negocio que, comúnmente y en estos momentos, está extendido en las organizaciones. Para ello, se propone la inclusión de la Gestión de la Continuidad de Negocio dentro de un sistema más amplio de Gestión Integral de Crisis. Con este nuevo enfoque, se propone una visión más ajustada de la Continuidad de Negocio en la que sus principales elementos se encuentran bien definidos, clarificados y ubicados. Introducción Hace unas semanas, durante una reunión informal en el contexto de la Seguridad de la Información, entre otros asuntos, estuvimos haciendo un breve análisis del estado del arte de la Continuidad de Negocio (en adelante, CN), basándonos en algunos artículos de reciente publicación y, por supuesto, en nuestra percepción del día a día. A raíz de esta conversación, viendo que las conclusiones que íbamos obteniendo en relación a la Continuidad fluían rápida y coherentemente, nos pareció una idea interesante seguir profundizando en el tema. Y así fue. Para ello, recopilamos la información que obraba en nuestro poder en materia de CN, que iba desde Planes de CN (en adelante, PCN) que abarcan un amplio espectro del mundo empresarial (tanto público como privado, nacional e internacional), hasta estándares, normas, guía de buenas prácticas, artículos izados, etc. Nuestra primera inquietud consistía en conocer con más precisión y concisión la 'historia' de la Continuidad (sin necesidad de remontarnos demasiado en el pasado), así que leímos un artículo de Paul Kirvan en el que se hacía un repaso cronológico de la CN: "Business Continuity: Business Continuity, A History of Challenges". En éste se ponía de manifiesto que la CN, tal y como la conocemos en estos momentos, resulta como una evolución del concepto de recuperación ante desastres que, allá por los años 70 del siglo pasado, comenzó a fraguarse para dar soporte a los sistemas mainframe. En este mismo artículo se señala que fue en la siguiente década de los 80 cuando se produjo un auténtico boom empresarial alrededor de la Recuperación ante Desastres (SunGard, IBM, Hewlett-Packard, Iron Mountain, Disaster Recovery Institute, etc.), de forma que se iba ganando relevancia y aceptación en los departamentos de Sistemas de Información de todo el mundo. Pero fue a partir de 1990 cuando se puso de manifiesto que las organizaciones, consideradas individualmente como un todo en conjunto, precisaban de mecanismos y procedimientos de protección similares a los que Recuperación ante Desastres ofrecía a las áreas técnicas en los Centros de Proceso de Datos (CPD). De hecho, esta necesidad dio paso a un incremento progresivo de la visión holística del negocio y, por ende, a la aparición del término o concepto de CN. Desde este momento, comenzaron a entrar en escena nuevos actores propios de la Continuidad, como asociaciones profesionales izadas (tal sería el caso del Business Continuity Institute), publicaciones izadas en la materia (por ejemplo, Contingency Planning & Management), etc., que se vieron fortalecidas, junto con la propia CN, gracias al crecimiento económico de los EEUU durante este periodo. 56 red seguridad abril 2012

El comienzo del siglo XXI fue un tanto convulso desde el punto de vista de la Continuidad: actividades terroristas en todo el planeta (Nueva York, Madrid, Londres, Bombay, etc.), huracanes más destructivos y frecuentes, terremotos de gran intensidad, etc. Todos estos factores, sumados al incremento notable de profesionales dedicados a este campo, propiciaron un ejercicio de revisión y análisis del papel que jugaba la CN dentro de las organizaciones, quedando de manifiesto que era imprescindible coordinar esfuerzos y trabajos entre departamentos de la misma compañía (por ejemplo, seguridad física, seguridad de la información, servicios generales, auditoría interna, etc.) e, incluso, entre compañías del mismo sector y la Administración Pública. Como consecuencia de este ejercicio, en el año 2003 se publica la norma PAS 56, ofreciendo una visión coherente y consistente entre los principales sectores del mercado. La evolución natural de esta norma 'informal' fueron la norma BS 25999-1:2006, sobre el código de buenas prácticas y la BS 25999-2:2007, sobre las especificaciones necesarias en un Sistema de Gestión de Continuidad de Negocio (en adelante, SGCN). Gráficamente, en la siguiente figura se puede observar el esquema propuesto por el British Standard Institution en la norma BS 25999, empleando los principales elementos definidos en esta norma: Tras esta ligera pincelada de la evolución de la CN hasta nuestros días, la siguiente duda que se nos planteaba era bien sencilla: realmente se puede hablar de una transformación significativa de la Continuidad? Cuál ha sido su progresión en los últimos 20 años? Antes de comenzar a profundizar en las respuestas a estas cuestiones, éstas se antojaban sencillas: estancamiento de la Continuidad desde un punto de vista de enfoque, gestión y operación, porque desde un punto de vista tecnológico, el progreso en las nuevas tecnologías ha supuesto un claro beneficio para la Continuidad. Figura 1: Visión de la Gestión de Continuidad de Negocio según BS 25999: 2007 No obstante, esta intuición o sensación debía ser corroborada con datos. En este sentido, lo primero fue volver a leer el material de Continuidad de que disponíamos, revisar publicaciones y conversar con otros colegas cuyo recorrido profesional, junto con el nuestro, nos permitiría tener una perspectiva mucho más completa. Cuál fue nuestra sorpresa al comprobar que el grueso de la estructura de cualquiera de los PCN que habíamos mirado era, prácticamente, la misma. Y no se trataba de documentos con la misma fecha de elaboración, sino que estaban distanciados en el tiempo por varios lustros, incluso decenios. Sí, evidentemente, existen diferencias entre un plan que se hubiera elaborado a finales de los años 80 o comienzos de los 90 y uno coetáneo de la BS 25999, pero las diferencias no van más allá del nivel de detalle en la definición de los escenarios de continuidad, en los procedimientos específicos de acción ante una situación de contingencia declarada, en los parámetros de valoración de los análisis de riesgos (en adelante, AARR) e impacto, en los planes de comunicación, en los planes de prueba etc. Es decir, la estructura 'básica' sigue siendo la misma hoy que hace 20 años. Transmitimos este hecho (que a nuestro entender podía resultar circunstancial) entre amigos y conocidos que han estado relacionados con la CN a lo largo de su carrera profesional y, reafirmando nuestra intuición inicial, todos ellos avalaban el mismo corolario: la Continuidad, desde un punto de vista 'estructural', parecía estancada. De la CN a la GIC La historia nos demuestra que no es posible predecir de antemano la severidad, duración y repercusión de todos y cada uno de los potenciales incidentes que podrían afectar a nuestra organización, por lo que el desarrollo de Planes de Acción Específicos (en adelante, PAE) basándose en escenarios de contingencia, dentro de la CN, conlleva un elevado riesgo y, por lo tanto, una falsa sensación de seguridad. Realmente, tal y como está concebida y asimilada comúnmente en estos momentos la CN, este concep- red seguridad abril 2012 57

to se trata como un control reactivo '' con el que se pretende mitigar el impacto que conlleva la materialización de una amenaza concreta en la organización. Es decir, se asume, de manera general, que la CN se corresponde con los PAE definidos para recuperar/operar/restaurar un proceso crítico interrumpido, entendiéndola como una actividad, prácticamente, independiente de otros elementos igualmente vitales (tal es el caso de los Planes de Gestión de Incidentes y las tareas de revisión o mantenimiento de la CN). Si atendemos a la definición del término de 'continuidad de negocio' que se recoge en la norma BS 25999-2:2007, ésta se trata como la capacidad estratégica y táctica de la organización de planificar y responder ante incidentes e interrupciones de negocio para continuar las operaciones de negocio en un nivel aceptable predefinido. Es decir, tal y como se muestra en la Figura 1, la norma BS 25999-2:2007 considera que la CN abarca tanto la parte preventiva (planificación) como la parte reactiva (respuesta) frente a una situación de contingencia. Pero, es la CN un control preventivo o reactivo? Estamos empleando una terminología acertada? Se están mezclando los conceptos de CN y Crisis? Cómo podríamos mejorar el enfoque actual de la Continuidad? Desde nuestro punto de vista, la CN y su gestión deberían incluirse dentro de un marco más amplio como el de la Gestión Integral de Crisis (en adelante, GIC), de manera que se reservaran para la CN las funciones meramente reactivas, relegando el mayor peso del carácter preventivo a otras funciones como el análisis y la gestión de riesgos que, dentro de la organización y por lo general, se desarrollan de manera más global y detallada. Concretamente, tal y como se puede observar en la Figura 2, se presenta una propuesta en la que el foco de atención se centra en la gestión integral de cualquier situación de crisis que pudiera sobrevenir a la organización. A través de este enfoque completo, con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no, que pudiera llegar a afectar a nuestra organización, de Figura 2: Visión integral de la Gestión de Crisis. manera que, tanto preventiva como reactivamente, quedan cubiertos los principales estadios que se pueden presentar: Gestión Preventiva de Crisis (en adelante, GPC); Gestión Reactiva de Crisis (en adelante, GRC); Análisis y Lecciones Aprendidas (en adelante, ALA). A continuación se hace una descripción concisa de los principales elementos de la Figura 2. Gestión Preventiva de Crisis Sun Tzu en su obra El arte de la guerra, allá por el año 500 a.c., postulaba que la invencibilidad reside en la defensa, mientras que las oportunidades de victoria lo hacen en el ataque. Si esta directriz puramente militar la traspusiéramos al ámbito de la CN, nos podríamos encontrar con una premisa en la que se propusiera una buena GPC con la que proteger los procesos críticos de la organización, evitando que la GRC se ponga en marcha, pero que, caso de activarse la GRC, ésta fuera eficaz para recuperar adecuadamente los procesos afectados. En este sentido, la siguiente Figura 3 (que podrán ver en la página siguiente) muestra gráficamente el enfoque que se propone con la GPC. Como se puede apreciar, esta fase se asemeja 'clamorosamente' a cualquier proceso de análisis y gestión de riesgos que podemos encontrar en una Organización, pero con una diferencia notable a la hora de manejar la CN, que pasamos a describir a continuación. Una vez que la organización ha definido y aprobado un umbral de riesgo (i.e., el límite superior de riesgo asumido), tras determinar el mapa de riesgos, se debe proceder a la gestión de los riesgos identificados. En este punto, son varias las casuísticas que se presentan: Por un lado, siempre que el riesgo efectivo sobre un proceso se quede por debajo del umbral establecido, no precisaría (a priori) de ningún tipo de gestión, dado que se trataría de una cota aceptable de riesgo para la organización. Por otro lado, si el riesgo efectivo identificado para un proceso quedase por encima del umbral de riesgo de la organización (o incluso dentro de un rango de valores alrededor de dicho umbral, con lo que se proporcionaría un mayor grado de confianza), se debería contar con una serie de acciones correctivas, dentro de un Plan de Tratamiento de Riesgos, para minimizar dicho riesgo hasta cotas aceptables. Con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no A partir de este punto, se debería definir un Plan de Seguimiento de la Implantación con el que monitorizar la evolución de las salvaguardas elegidas en el Plan de Tratamiento, además de contar con unos indicadores que sirvieran para retroalimentar un ulterior AARR. 58 red seguridad abril 2012

Figura 3: Visión de Gestión Preventiva de Crisis. Sin embargo, el tratamiento de la CN en el ciclo de la GPC debería diferir el resto de controles (tanto reactivos como, evidentemente, preventivos) derivados del análisis y la gestión de riesgos. Esta afirmación se sustenta, básicamente, en los siguientes argumentos: En primer lugar, la inclusión de un determinado proceso en el programa de CN está condicionada por el nivel de impacto de dicho proceso en la organización debido a la interrupción/degradación del mismo, teniendo en cuenta un factor de evolución temporal en el impacto (que, además, es independiente de la amenaza materializada). Pero el riesgo se entiende como el producto de la probabilidad de ocurrencia de una amenaza (que aprovecha una vulnerabilidad, más o menos expuesta, que afecta a uno o varios procesos) por el impacto de la materialización de tal amenaza en un proceso. Existe alguna relación entre el AARR y la CN? Un riesgo elevado en un proceso implica la inclusión automática de éste en el programa de CN? El primer punto que, inicialmente, atisba más similitudes es el impacto: el 'impacto' que se maneja en el AARR es el mismo que el 'impacto' de la CN? Existe alguna relación entre el AARR y el análisis de impacto en el negocio (en adelante, BIA)? En el caso del AARR, el impacto se refiere a cómo se vería afectado un proceso (conjunto de activos) desde el punto de vista de la confidencialidad, integridad, disponibilidad y cualquier otra dimensión que se estime oportuna (valor contable, impacto legal, de imagen, lucro cesante, etc.) ante la materialización de unas determinadas amenazas, mientras que en CN el impacto se refiere a cómo se vería afectada la organización, desde el punto de vista operativo, legal, de imagen, etc. ante la pérdida o degradación de un proceso a lo largo de un periodo de tiempo concreto (una hora, un día, una semana, etc.). Es decir, asumiendo que el impacto en el AARR está restringido a un momento temporal concreto, los impactos obtenidos en el AARR y en la CN deberían estar totalmente alineados. No obstante, el riesgo en el AARR se ve condicionado por las amenazas (tanto en el número de éstas que afectan a un proceso, como en su probabilidad de materialización), mientras que éstas no son tenidas en cuenta en el BIA. Por este motivo, si bien los impactos (el de AARR y el del BIA) están alineados, el resultado del AARR no tiene porqué ser una medida de referencia para la CN, puesto que el factor derivado de las amenazas en el AARR desvirtúa, de manera general, cualquier potencial aproximación a la CN. Adicionalmente, si bien el riesgo obtenido en el AARR no es determinante para concluir si un proceso debe ser incluido o no en el programa de CN, sí que se puede rescatar parte de la información procesada en el AARR para tomar esta decisión. Tal y como se ha argumentado en el punto anterior, el impacto calculado para un proceso en el AARR puede servir como magnitud de referencia en una primera aproximación a la CN, de forma que, si el impacto del AARR es próximo al umbral de impacto definido por la organización en el ámbito de la CN, debería efectuarse un BIA completo sobre ese proceso y, en función de los resultados obtenidos, actuar en consecuencia (opciones de CN, PCN, PAE, etc.). De esta manera, se puede reaprovechar parte del trabajo realizado en el ámbito del AARR, pudiendo desarrollar un BIA completo partiendo, no desde cero, sino desde un estadio más avanzado. Por último, para aquellos casos en los que resulte muy costoso (o imposible) la extracción de los impactos en el AARR (e.g., las características del modelo de cálculo del riesgo implantado en la organización no permite una visión parcial del total del riesgo), el tratamiento de la CN en la GPC pasa por el análisis de todos los procesos de la organización, a través del BIA, para conocer el impacto y, por lo tanto, el grado de criticidad de tales procesos. Para aquellos casos en los que el riesgo y el impacto estuviesen alinea- red seguridad abril 2012 59

dos (i.e., AARR y BIA son similares), cabría señalar que la CN debería incorporar aquellos procesos cuyo riesgo no quiera gestionarse de manera preventiva, sino reactiva: no importa cuál sea la amenaza que se haya materializado, sino que hay que focalizar todos los esfuerzos en minimizar el impacto derivado de la afección del proceso dentro de unos márgenes y condicionantes temporales propios del proceso. No obstante, merece la pena resaltar que un PCN (entendido como PAE para recuperar/operar ante una situación de crisis) no minimiza el riesgo asociado a un proceso per se, sino que es necesario que dicho PCN esté contextualizado dentro de un sistema de gestión para que éste sea efectivo (mantenimiento, actualización, revisión, pruebas, etc.). A lo largo de esta GPC, es posible que sobrevenga una situación que afecte al correcto y normal desarrollo de la organización. Ante este escenario, una vez declarada oficialmente la situación crisis, la gestión preventiva quedaría relegada a un segundo plano, mientras que la gestión reactiva (GRC) pasaría a adoptar un papel protagonista en la organización. Gestión Reactiva de Crisis Llegados a este punto, lo primero que habría que señalar es el hecho de que se ha generalizado un mal uso de la terminología y el vocabulario en el ámbito de la CN, de manera que se ha desvirtuado el principal objetivo de la CN. Hoy en día es muy frecuente presenciar conversaciones de CN en las que se emplea, indistintamente, los términos incidencia, incidente, problema, contingencia, crisis, etc. para referirse a situaciones que, muy probablemente, no requieran la invocación de la CN como tal, sino que pueden (y deben) afrontarse mediante procedimientos habituales de actuación para la gestión de incidencias (e.g., corte de servicios, fallos en componentes, etc.). Aún así, se debe tener presente que, en cualquier momento, cualquiera de estas situaciones anteriores puede derivar en una auténtica situación de crisis. La CN está ideada para ser una medida reactiva que entra en funcionamiento dentro de una organización ante situaciones de crisis, es decir, casos excepcionales en los que los controles/contramedidas habituales no son efectivos. La condición de excepcionalidad de cualquier situación deberá ser declarada por un órgano de decisión (o individuo) de la organización con la debida autoridad y competencias. En la siguiente Figura 4 se puede observar el enfoque que se propone con la GRC. Conclusiones Las principales propuestas en materia de CN que llevamos a cabo en este documento son las siguientes: La Continuidad de Negocio, tal y como se presenta en la norma BS 25999, debería ser matizada y clarificada tanto en conceptos como en el modelo de relación con otras áreas (e.g., AARR). Proponemos la inclusión de la Continuidad de Negocio dentro de un Sistema de Gestión Integral de Crisis que cubra tanto fases preventivas como reactivas. La CN es un elemento 'puntual' que debe contextualizarse en la GIC, dentro de un ciclo de vida más Figura 4: Gestión Reactiva de Crisis. amplio y completo que el propuesto actualmente para la Continuidad. El Análisis de Riesgos no es elemento determinante para la definición de los procesos críticos en la Continuidad de Negocio. Un mapa de riesgos no es una medida de referencia infalible para la CN, ya que las amenazas en el AARR desvirtúan cualquier potencial aproximación a la CN (i.e., el impacto). En última instancia, el BIA es imprescindible para valorar el impacto de cualquier proceso y, por lo tanto, para considerar la inclusión de tal proceso en el programa de CN. La dimensión, volumen, inversión, componentes y recursos humanos, técnicos, estructurales del Sistema de Gestión Integral de Crisis estarán condicionados por los resultados del AARR y BIA. Esta relación sería absolutamente subjetiva en un inicio y progresivamente objetiva conforme el Sistema de Gestión vaya adquiriendo madurez (repetición del proceso y mejora continua). 60 red seguridad abril 2012

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback