lunes, 22 de mayo de 2017

BCM en empresas TIC

Las empresas del sector TIC ( Tecnologías de la Información y Comunicación) se enfrentan a un entorno cambiante y con grandes riesgo, por ello es habitual que los consultores   a la hora de mejorar la resiliencia de dichas organizaciones, propongan un “Plan de Continuidad de Negocio”, pero se debería hablar de implantar una “Gestión de la Continuidad de Negocio” o BCM (Business Continuity Management), puesto que se trata de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas.

Uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC, pero no son los únicos “outputs” del BCM, pero por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización.



Como se muestra en el diagrama anterior (según  ISO 22301/22313 y BS25999-1/2), antes elaborar los planos en la fase “Implantación”, hay que realizar las tareas asociadas con “Comprender la organización” y “Definir la Estrategia”.

Comprender la Organización  incluye tareas como los BIA (Business Impact Analysis, o análisis de impacto en los negocios), análisis de riesgos, o determinar los parámetros RTO/RPO.

Los BIA nos dicen qué le ocurre a lo largo del tiempo a mi organización en caso de que las distintas actividades relevantes estén paralizadas. En base a ello se ha fijado un objetivo de tiempo de recuperación (RTO) para cada una y se ha determinado qué niveles de servicio degradado se puede seguir prestando y qué se necesitaría en términos de TIC, personas, proveedores o instalaciones para prestar dicho servicio mínimo.

Los planes deberían ser concisos, prácticos, con toda la información relevante para gestionar un incidente y sin ningún dato superfluo, orientados a la acción, etc. Pero cuál debería ser el contenido de dichos planes y cómo enlazaría con la información proveniente de los BIA.  Existe un paso entre el BIA y el Plan, y este paso consiste en definir CÓMO pienso recuperar el proceso.

Un plan puede reflejar aquellos pasos que se deben seguir para empezar a utilizar mis métodos alternativos, pero antes habrá que haber decidido cuáles son esos métodos alternativos y eso no está en ninguna parte del BIA.

La fase de estrategia “identifica y selecciona tácticas y estrategias adecuadas para determinar cómo conseguir la continuidad y la recuperación a partir de una disrupción”.  ¿cómo consigo seguir trabajando en modo de contingencia? y ¿cómo podría volver a la normalidad (recuperación o restauración)?

Aunque es imposible tener una estrategia para cada posible amenaza (fuego, hacking, huelga, malware, gripe aviar, volcán islandés paralizando el tráfico aéreo, sabotaje, apocalipsis zombi o guerra termonuclear global). La lista de amenazas o causas de interrupción es infinita y, aunque contemple todas las que se me ocurran, la ley de Murphy dicta que la que finalmente acontezca será una en la que nadie había pensado antes.

El libro The route map to BCM ( basado en BS25999) indica: Se recomienda que se consideren cuatro escenarios a la hora de definir estrategias. La causa que subyace al escenario no debería tenerse en cuenta. En cambio, se debe considerar el efecto que tendrían.
. Imposibilidad de acceso a instalaciones
. Falta de personal
. Fallo de la tecnología
. Fallo de un proveedor clave
Pase lo que nos pase las consecuencias de la materialización de cualquier amenaza se traducirá en uno o varios de los 4 escenarios anteriores.

No hay comentarios:

Publicar un comentario