Estudio sobre Continuidad Negocio en la Pyme

28 02 2011

De nuevo INTECO y Deloitte han colaborado para publicar este “Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio“. En él se analiza la situación tecnológica y los niveles de conocimiento y adopción de planes de continuidad de negocio en la PYME española, a través de una encuesta a 400 organizaciones de diversos sectores de actividad entre febrero y junio del 2010.

Algunos datos relevantes que muestra el estudio son: el principal incidente de seguridad (16,3% de los sufridos en los últimos tres meses) es la falta de servicio por parte de proveedores, pero un 72% de las empresas no exigen ningún tipo de acuerdo que garantice la continuidad de los servicios de sus proveedores en caso de desastre.

También constata la confusión sobre la que hemos hablado anteriormente, ya que a pesar de que un 38,3% de las empresas realizan acciones para hacer frente a los riesgos de continuidad mediante un proceso optimizado, gestionado y abordado periódicamente, sólo un 16,7% reconocen estar plenamente familiarizadas con los conceptos de continuidad de negocio.

Para seguir aprendiendo sobre el escenario que muestra el estudio, os recomendamos consultar el excelente resumen ejecutivo aquí. El estudio completo puede leerse aquí.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Continuidad de negocio, Dirección SI/TI, Seguridad de la información

Guía de implantación de continuidad de negocio

15 11 2010

INTECO y Deloitte han publicado “Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio”, un manual para autónomos, pequeñas y medianas empresas, que busca ayudar en la implementación de planes de continuidad de negocio en la PYME española. La guía contribuye a la difusión de conocimiento sobre la materia, por lo que también puede ser de aplicación en grandes empresas.

La guía toma como referencia la norma BS 25999 de BSI, de la que ya hemos hablado anteriormente, proporcionando un enfoque de carácter práctico y resolutorio. Lo que se pretende es evidenciar la necesidad del desarrollo de planes preventivos orientados a garantizar la continuidad de las operaciones ante una situación de contingencia, así como proporcionar una hoja de ruta de las actividades necesarias para diseñar, implantar y mantener un Plan de Continuidad de Negocio, proporcionando ejemplos y casos de éxito.

La guía puede descargarse aquí.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Continuidad de negocio

Continuidad de negocio vs. Recuperación de desastres

13 10 2009

Ya hemos hablado en alguna otra ocasión de la confusión alrededor de los conceptos de continuidad de negocio, tanto en lo relativo a continuidad de TI como a los planes de recuperación de desastres. Como el tema es recurrente con diversos interlocutores vamos a tratar de poner un poco más de luz en el asunto.

Continuidad de negocio (Business Continuity) es un concepto fundamentalmente PROACTIVO: ¿Cómo evito o mitigo el impacto de un riesgo?

Algunos de los objetivos de la Gestión de la Continuidad del Negocio (Business Continuity Management) son:

  • Evaluar los riesgos potenciales y preparar contingencias para acontecimientos imprevistos, tales como escenarios de desastre.
  • Minimizar las interrupciones en las operaciones normales.
  • Establecer mecanismos alternativos de operación de antemano.
  • Mantener un mínimo nivel de servicio, mientras se restauran las operaciones.
  • Proteger las funciones de negocio que ofrecen productos o servicios.
  • Minimizar el impacto económico de las interrupciones.
  • Capacitar al personal con los procedimientos de emergencia.

Recuperación de desastres (Disaster Recovery) es un concepto fundamentalmente REACTIVO: ¿Cómo me recupero de un desastre y restauro la organización a un estado normal de operación una vez que un riesgo se ha materializado?

El Plan de Recuperación de Desastres (Disaster Recovery Plan) debe establecer los procedimientos para recuperar los procesos y sistemas después de una interrupción. El plan debe incluir:

  • Definición de los sistemas, recursos y procesos necesarios para restaurar el servicio a los niveles previos al desastre.
  • Definición de las fases de notificación y activación para detectar y evaluar los daños.
  • Definición de las actividades, recursos y procedimientos necesarios durante la interrupción de las operaciones.
  • Asignación de responsabilidades al personal autorizado para garantizar la coordinación.

Así pues, queda claro que el plan de recuperación de desastres es sólo una parte dentro de la gestión de la continuidad de negocio.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Continuidad de negocio

II Conferencia Internacional de Continuidad de Negocio BS 25999

8 05 2009

Ayer asistimos a la “II Conferencia Internacional de Continuidad de Negocio BS 25999”, coorganizada por British Standards Institution (BSI) y el Business Continuity Institute (BCI), que tuvo lugar en Barcelona.

bcibsi

La jornada que tenía como subtítulo “Continuidad de Negocio, el ser o no ser de una organización”, sirvió para poner de manifiesto los avances realizados a nivel mundial, durante el pasado año, en la adopción de la norma BS 25999 como estándar para dotar de mecanismos de continuidad de negocio a las organizaciones (BS 25999-1) e implementar un sistema de gestión para ello (BS 25999-2). Recordemos que no hace aún un año desde la presentación de la norma en España.

La jornada sirvió también para trasladar a los asistentes diversas experiencias prácticas en la implantación de mecanismos de continuidad de negocio. Las ponencias en este sentido han corrido a cargo de Julio San José, Gerente de Seguridad de Bankinter (primera y única empresa española certificada BS 25999-2); Roger McLoughlin, Continuity & Risk Assurance Specialist de Vodafone UK; y Tomás Roy y David Forner del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya.

Algunos de los datos presentados y conclusiones de la jornada fueron los siguientes:

  • BCI y BSI, lejos de competir, muestran un enfoque complementario y perfectamente alineado, como partners
  • En este sentido, la última guía de buenas prácticas de continuidad de negocio que ha publicado BCI, ya ha sido recientemente adaptada al vocabulario y principios de la BS 25999-1.
  • Actualmente hay 50 organizaciones en todo el mundo que han certificado sus sistemas de gestión de la continuidad de negocio contra la norma BS 25999-2. Hay 100 organizaciones más en proceso de certificación.
  • Se confirma que la norma BS 25777  de continuidad de TI no va a tener una parte certificable. Su propósito será sólo el de complementar la BS 25999-1 aportando buenas prácticas en el ámbito específico de continuidad de TI.

Así mismo, se constataron diversos problemas en los procesos de implantación de un Sistema de Gestión de la Continuidad de Negocio (SGCN), entre los que destacamos:

  • Confusión. Sigue confundiéndose continuidad de negocio con continuidad de TI, planes de continuidad de negocio con planes de recuperación de desastres, etc. Lo que indica que es preciso seguir fomentando la divulgación de estos conceptos.
  • BIA. Existe muy poca información, y menos en la norma, sobre cómo realizar el Business Impact Analysis (BIA), parte fundamental del proceso de implantación del SGCN. En este sentido se apunta a los consejos de la guía del BCI como un buen punto de partida.
  • Análisis de riesgos. Al igual que sucede con el análisis de riesgos en un SGSI, se constata un cultura bastante pobre al respecto de los conceptos asociados y su aplicación práctica en continuidad de negocio.
  • Alcance de la certificación. Muchas organizaciones certificadas lo están haciendo con un alcance “estrecho”. Esto es un problema si tras obtener la certificación no se amplía progresivamente el alcance. En todo caso, sí es recomendable empezar con el tema de forma progresiva.

Finalmente, y quizás una de las conclusiones que más debiera hacernos reflexionar, es que ya son varias las organizaciones que están adoptando los principios de la continuidad de negocio como modelo de gestión del negocio en su conjunto. Y es que garantizar el servicio continuado a los clientes es una buena forma de garantizar el mantenimiento de los ingresos y una alta reputación. En este sentido, la certificación frente a una norma estándar, aparece como un paso más del proceso de mejora continua en dicha forma de gestión, permitiendo demostrar periódicamente a todos los stakeholders el compromiso con ellos, de manera objetiva y por boca de un tercero independiente. Así pues, parece que la gestión de la continuidad de negocio podría tornarse en una poderosa herramienta de gobernanza.

Para acabar una cita de Charles Darwin que resume muy bien el concepto de resilencia que subyace en los mecanismo de gestión de la continuidad:

“It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change.”


Comentarios : 1 comentario
Etiquetas: , ,
Categorías : Continuidad de negocio, Eventos, Normas y estándares

Norma BS 25777 sobre Gestión de la Continuidad TI

9 02 2009

En junio del año pasado tuvimos la oportunidad de asistir a la presentación de la traducción al castellano de la norma BS 25999 sobre Gestión de la Continuidad de Negocio (GCN). Desde entonces se han sucedido los eventos y los artículos sobre el tema, lo que ha contribuido a la difusión de esta norma así como a su progresiva implantación y al incremento de las organizaciones certificadas en ella en nuestro entorno.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

bsi_business_information

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.


Comentarios : Deja un Comentario »
Etiquetas: , , , ,
Categorías : Continuidad de negocio, Normas y estándares

« Entradas anteriores


Seguir

Get every new post delivered to your Inbox.