¿Continuidad de negocio en un SGSI?

En este artículo se analiza qué cambió en la saga de estándares ISO 27002 respecto de la continuidad de negocio.

Introducción

En este artículo se aborda el posible solape entre 2 disciplinas bastante relacionadas entre sí, aunque cada una con su área específica: la seguridad de la información y la continuidad de negocio. En particular, se analiza el grado en que los 2 estándares de referencia (ISO 27001 e ISO 22301) están, o no, solapados.

En un artículo aparte trataré las áreas de confluencia de ambos mundos y cómo puede llevarse a cabo la implantación de ambos estándares sin caer en redundancias innecesarias.

La razón de escribir este artículo se debe a que, en no pocas ocasiones, me han manifestado cosas como:

  • “Si tengo un SGSI certificado, entonces ya tengo continuidad de negocio”
  • “Para que una organización cumpla con los controles del capítulo 17 de la ISO 27002, basta con que tenga hecho un BIA y disponga de un DRP”

[Read more…]

Estrategia de Continuidad de Negocio – II

La semana pasada hacíamos algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio, y como ejemplo, nos planteábamos qué estrategias utilizar en el caso hipotético de que nuestra oficina en Madrid no estuviese disponible y tuviésemos que recuperar el proceso en 24h.

Aquí toca empezar a ser creativo y formular posibles alternativas. Formulemos algunas posibilidades:

  • Mandar en AVE a la gente de Madrid a mi otra oficina en Barcelona (bueno, a lo mejor alguno se niega o no puede, y no está claro cuántos días podría tener a la gente desplazada).
  • Que trabajen desde su casa (parece sencillo, pero ¿cómo desvío las llamadas a la casa de cada uno? ¿Tienen acceso internet? ¿Tienen en sus casas un sitio desde el que trabajar?).
  • Disponer de puestos de trabajo de contingencia en una empresa especializada (Tengo que decidir si los puestos de trabajo me los reservo en exclusiva para mí, o son en modo compartido más barato pero que no garantiza que otro cliente que también haya contratado los mismos puestos no los esté usando).
  • Si no se pudiese volver al edificio nunca, alquilar otro (ya, pero podría tardar semanas o meses en acondicionarlo)
  • Formar a parte del personal de Barcelona para que puedan atender ellos el servicio (todo el mundo anda muy atareado y la formación puede requerir no menos de 2 semanas).

Como se puede ver, para cada alternativa surgen dudas, cuestiones que habría que resolver para que la estrategia fuera operativa, plazos, costes, algunas son más viables que otras. No suele haber una alternativa claramente ganadora: cada una con sus pros y sus contras; algunas alternativas pueden ser válidas a corto plazo, para salir de atolladero mientras voy implantando soluciones a corto y medio plazo, etc.

En su momento llegué a la conclusión de que había que estructurar de alguna forma la información sobre cada estrategia de manera que fuera sencillo consultar los datos de cada una y se facilitase el escoger la más apropiada.

Mi solución fue escribir las estrategias conforme el modelo de la tabla siguiente:

En un caso real, habría que repetir esta tabla unas cuantas veces, ya que se deben identificar y analizar todas las estrategias mínimamente viables para cada posible escenario (uno de los cuatro mencionados antes) y para cada proceso afectado. El resultado, aunque pueda resultar algo voluminoso, no sólo recogerá cuál es la solución finalmente adoptada, sino también cuáles eran las otras alternativas analizadas y las razones por las cuales fueron descartadas.

Volviendo al inicio de este post, ahora SÍ tengo un guion para mi plan, ya sé qué actividades tengo que recoger en el mismo, que son aquéllas requeridas para poner en la práctica la estrategia que se eligió.

En el ejemplo que estamos manejando, y suponiendo que la estrategia es contratar 15 puestos de trabajo permanentes al proveedor Imperus, las tareas a plasmar en el plan podrían ser:

  • Contactar con las 15 personas que formarán el equipo de contingencia del proceso, y hacerles llegar la dirección de la oficina de contingencia.
  • Avisar al contacto de Imperus indicándole que se van activar los 15 puestos.
  • Contactar con la compañía de teléfonos para que reenvíen las llamadas a la oficina de Imperus.
  • Enviar ya un técnico TIC a Imperus para que verifique que los puestos están operativos
  • Si las oficinas principales no van a estar operativas en menos de 5 días (o nunca), solicitar a Imperus que nos provea en menos de una semana de locales para albergar al total del personal

El lector puede que se plantee que aún falta algo, alguna acción, entre definir la estrategia y disponer de un plan realmente operativo.

En nuestro ejemplo, hemos decidido contratar a Imperus unos puestos de contingencia, desviar llamadas de un sitio a otro. Son actividades que no se pueden tomar sobre la marcha, una vez se ha producido el incidente, sino que es algo que se ha tenido que negociar con los proveedores apropiados.

Pues bien, las tareas derivadas de las estrategias elegidas deben plasmarse en un Plan de Acción, cuya ejecución, al igual que la redacción de los planes de contingencia, forma parte de la Fase “Implantación” del ciclo de vida BCM.

Por concluir, la Fase “Definir la Estrategia” está íntimamente relacionada con los resultados del BIA, del Análisis de Riesgos y de los parámetros RTO/RPO (Fase “Entender la organización”) y la estrategia o estrategias que se decidan influirán de forma decisiva en los contenidos de los planes y en las acciones de mejora y las contrataciones que se lleven a cabo en la Fase “Implantación”.

Estrategia de Continuidad de Negocio – I

En este artículo se hacen algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio.

Es más que habitual que los clientes, y no pocos consultores, a la hora de mejorar la resiliencia de las organizaciones, propongan un “Plan de Continuidad de Negocio”. En realidad, se debería hablar de implantar una “Gestión de la Continuidad de Negocio”, ya que de lo que se trata es de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas. De aquí en adelante usaremos las siglas BCM para referirnos a dicha Gestión.

Sí, hay que reconocer que uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC. No obstante, dichos planes no son, por supuesto, los únicos “outputs” del BCM, aunque sí es cierto que son los más visibles y, por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización (el clásico de poner la marca de “cumple” en la casilla de verificación).

[Read more…]