En este artículo presentamos el Instituto de Continuidad de Negocio y la importancia que para sus fundadores tiene la Seguridad en la Informática y las Comunicaciones y, por tanto, la comunidad profesional de la que forman parte los lectores de la Revista SIC y con la que el Instituto espera mantener una fructífera relación de colaboración y cooperación.

Por César Pérez-Chirinos Sanz
Presidente del Instituto de Continuidad de Negocio
cepeche@gmail.com

Publicado en revista SIC / nº 89 / Abril 2010

¿Qué es la gestión de la continuidad de negocio?
En la comunidad angloparlante, se denomina business continuity management al proceso mediante el que una organización, pública o privada, se prepara de forma sistemática para sobrevivir a los daños causados por la interrupción de sus procesos esenciales, aunque dicha interrupción venga causada por eventos catastróficos, tanto naturales como provocados.

Este proceso debe alcanzar un equilibrio razonable entre las inversiones y costes asociados a la preparación –que pueden ser virtualmente ilimitados- y la capacidad de recuperación –resiliencia- alcanzada frente a las distintas causas y situaciones de interrupción –escenarios- de las que la organización quiere protegerse.

Amenazas para la continuidad de negocio por falta de seguridad de las TIC
Las amenazas para la supervivencia de una organización por interrupción de sus procesos esenciales han evolucionado significativamente en las tres últimas décadas.

Conforme se automatizaban los procesos esenciales de las organizaciones, tímidamente en los setenta, sistemáticamente en los ochenta, apresuradamente en los noventa y frenéticamente desde entonces, la dependencia de la supervivencia de las organizaciones, de sus sistemas de información y telecomunicaciones, ha aumentado de forma inquietante, dada la invisibilidad de las amenazas potenciales y su complejidad creciente. No nos extenderemos en este punto, ya que se trata del ámbito profesional de los lectores de la revista y resulta innecesario recalcar su importancia.

Lo que quizá sea desconocido para bastantes profesionales de la seguridad TIC es que, desde los inventarios de riesgos de origen TIC realizados para evitar el “efecto 2000” y a pesar de las dudas sobre la realidad del problema o el rigor de su supuesta resolución, la alta dirección de las organizaciones cambió su percepción sobre cómo se puede, y debe, gestionar la continuidad de negocio de organizaciones cuya supervivencia depende críticamente de sus sistemas de información.

La profesionalización de la continuidad de negocio
Inicialmente este cambio se reflejó desde mediados de los noventa en unas mayores inversiones para garantizar la redundancia necesaria de estos sistemas, en el marco de los denominados “planes de contingencia tecnológica” (disaster recovery plans), dando lugar a un colectivo profesional especializado.

En los EEUU, este colectivo se agrupó alrededor del Disaster Recovery Institute., que elaboró guías de buena práctica profesional. En el Reino Unido, estos profesionales incluyeron este área de garantía de continuidad tecnológica en las guías ITIL. En pocos años, las grandes organizaciones –especialmente en el sector financiero- se dotaron de centros de proceso de datos duplicados e incluso triplicados para garantizar su continuidad de negocio.

Posteriormente, los grandes atentados en Nueva York, Madrid y Londres pusieron de manifiesto que esta redundancia tecnológica no garantizaba la supervivencia organizativa si no se contaba con una adecuada redundancia de personal cualificado y ubicaciones de trabajo alternativas.

Se llegó así a la identificación de los elementos del modelo actual de excelencia en la gestión de la continuidad de negocio, representado por organizaciones como el Business Continuity Institute (BCI), que ha elaborado junto con el British Standard Institute (BSI) la norma BS 25999, recientemente adoptada como UNE 71599, que especifica un modelo de gestión de continuidad de negocio certificable para organizaciones individuales.

La propuesta específica del Instituto de Continuidad de Negocio: la mejora de la continuidad de las infraestructuras críticas

Aspirando a difundir las mejores prácticas internacionales y convertirse en referente de la continuidad de negocio en España y Latinoamérica, se acaba de constituir el Instituto de Continuidad de Negocio, del que son socios fundadores BME Innova y AENOR, por iniciativa de un conjunto de responsables de continuidad de negocio y/o de seguridad informática del sector financiero español, y a la que ya se están incorporando profesionales de otros sectores.

Haciéndose eco de los resultados del Consorcio Español de Continuidad de Negocio (CECON), en los que los responsables de continuidad de negocio del sector financiero y sus reguladores vienen cooperando desde 2007, el Instituto de Continuidad de Negocio pretende abordar rigurosamente las situaciones en que la supervivencia de una organización ante una gran catástrofe –como el impacto del huracán Katrina en Nueva Orleans, o los recientes terremotos de Haití o Chile- puede requerir la definición previa de mecanismos de cooperación con quienes son competidores en situaciones normales, y de cooperación reforzada con los proveedores de infraestructuras y servicios esenciales. En especial en cuanto a la Gestión coordinada de los Planes de Crisis y Respuesta conjunta, entre todos los actores: CNPIC, Protección Civil, Instituciones, Reguladores, AA.PP. y Empresas de los distintos sectores: Energético, Transportes, Telecomunicaciones, Financiero, Logística, Sanitario, etc.

Para alcanzar este objetivo, el Instituto de Continuidad de Negocio está potenciando la creación de grupos de trabajo sectoriales, similares a CECON, habiendo ya facilitado la constitución del grupo de las operadoras de servicios de telecomunicación. Además, va a colaborar con AENOR en la elaboración de una norma complementaria a la BS 25999/UNE 71599 para la gestión de la continuidad de las infraestructuras y servicios críticos que facilite la adopción práctica del espíritu de la Directiva Europea de Protección de Infraestructuras Críticas recientemente aprobada.

Las líneas generales de esta futura norma fueron presentadas por el Director de Estrategia de AENOR, D. José Luis Tejera, el pasado febrero en el Primer Encuentro Internacional sobre Protección de Infraestructuras de Información Críticas organizado por CNPIC. En este encuentro tuvimos ocasión de comprobar que la seguridad en Internet (ciberseguridad) es claramente un tema de interés conjunto para el Instituto de Continuidad de Negocio y los lectores de la revista SIC, por lo que nos ofrecemos a seguir escribiendo sobre la relación de la seguridad de las TIC y de la continuidad de negocio, e informarles de las actividades del Instituto de Continuidad de Negocio en estas páginas si ustedes así lo desean. Para contactar o solicitar su adhesión como socio del mismo pueden dirigirse a: “Asociados@institutodecontinuidad.es”