martes, 30 de agosto de 2011

Continuidad en el hogar

Para  cualquier profesional de BCM que haya trabajado con otros profesionales en el extranjero habrá percibido la diferencia de criterio entre lo que en España consideramos Continuidad de Negocio y lo que consideran en otros paises. A mi lo que me sorprendió bastante fue la concepción que tienen en Estados Unidos, donde no se restringe el ámbito de la continuidad de negocio al trabajo, sino que también lo llevan a cabo en sus propias casas. De hecho, una de las preguntas que los BCM Managers realizan a sus empleados es si tienen un plan para poder resistir ante determinadas condiciones adversas, algo que aquí sería inviable, por la oposición que harían los sindicatos a inmiscuirse en la vida privada de los trabajadores.

Gran parte de esta diferencia de criterio está en la diferencia entre la cultura europea y la anglosajona,  una muy confiada de que el ayuntamiento, la comunidad, el estado, la unión europea o cualquier ente superior velará por la seguridad del ciudadano y la otra más individualista, en la que cada ciudadano se hace responsable de su propia seguridad.

Más allá de la valoración de las diferencias entre las distintas culturas, podemos identificar diferentes escenarios que pueden ser más comunes de lo que nos parece cuando hablaos del concepto de seguridad en el hogar. Si analizamos los cinco componentes que enumera la norma BS25999, tendríamos lo siguiente:
  • Personas: Estaría compuesto por los habitantes del hogar, ya sea familia, personas que comparten piso, etc.
  • Ubicaciones físicas: El propio recinto, incluyendo domicilio más anexos (garajes, etc)
  • Información, en sus dos vertientes: en papel y en electrónico. Todos tenemos en casa documentos que pueden ser más o menos importantes e irremplazables, como contratos, escrituras, documentos oficiales, etc. Además, cada vez es mayor la cantidad de información en formato electrónico: fotos, vídeos, documentos que tenemos en los discos duros de nuestros ordenadores, etc.
  • Tecnología: quizás el componente menos crítico, puesto que el servicio que prestan es personal y fácilmente restituible.
  • Proveedores: los cuatro tradicionales: electricidad, agua, gas y teléfono.

El siguiente paso es definir los escenarios sobre los que protegerse, que pueden ser más o menos habituales en función de la zona en la que vivamos. Algunos escenarios pueden ser los siguientes:
  • Pérdida de información por deterioro del soporte (principalmente disco duro)
  • Apagones de luz, con mayor o menor duración
  • Inundación
  • Incendio
  • Inclemencias meteorológicas severas: Grandes Nevadas o tormentas, Huracanes (recientemente Irene)
  • Grandes desastres: Terremotos, incidentes nucleares.
Algunos de estos escenarios no tienen porqué resultarnos muy lejanos, la imagen, por ejemplo, es de una explosión de gas a 50 metros de mi antigua casa. Aunque muchas de estas situaciones nos las cubra el seguro de la casa, quizás no todo se pueda restituir con dinero.

Si analizamos, por ejemplo, el primer escenario el cual seguro que nos ha pasado a más de uno, perderíamos toda la información que tenemos en nuestros disco duro, por lo que nuestro plan de continuidad deberá definir qué mecanismo voy a utilizar para salvaguardar la información. Hay varias opciones: grabo CDs y, a ser posible, me lo llevo a otra ubicación (casa de familiares, por ejemplo), subo mis fotos y vídeos a algún servicio cloud, etc

Como este ejemplo podríamos seguir con el resto de escenarios que queramos incluir en nuestro Plan de Continuidad de nuestro hogar para así estar completamente seguros. Lo más divertido serán las pruebas, como siempre, sobre todo si tenéis niños pequeños.
0 comentarios

viernes, 19 de agosto de 2011

Acreditaciones Profesionales en BCM

De cara a garantizar los conocimientos profesionales sobre Continuidad de Negocio,  hay dos organismos internacionales focalizados exclusivamente en BCM y que llevan a cabo acreditaciones profesionales :

Por motivos históricos, el DRII tiene más prestigio y fama en el continente americano, tanto en Norte América como en Latinoamérica, y Australia, mientras que el BCI tiene una mayor presencia en Europa y Asia.

El esquema de certificación de las dos entidades es muy similar, basado en la aprobación de un examen que garantía los conocimientos básicos y la acreditación de experiencia.

BCI
Los diferentes tipos de certificaciones son las siguientes:
  • CBCI: Básicamente, acredita haber aprobado el examen. 
  • AMBCI (Associate Member): Miembro estatutario, que tiene los mismos derechos de voto y posibilidades de ser elegido como staff del BCI. Para acreditarse es necesario ser CBCI y acreditar un año de experiencia, con dos referencias contrastadas. 
  • SBCI (Specialist) Especialista en alguno de las 6 facultades de continuidad: Politica y gestión, Analista, Servicios estratégicos, Respuesta, planificación y soporte, Ejercicio y auditoría y Educación y formación. Para conseguir la certificación es necesario ser CBCI, acreditar dos años de experiencia y aportar dos referencias contrastadas en la especialidad que se desee. 
  • MBCI (Member) acredita conocimientos en todas las disciplinas.Al igual que los anteriores, se requiere CBCI, aunque en este caso es necesario acreditar 3 años de experiencia y al menos dos referencias, que serán evaluadas por miembros de un jurado del BCI que asignarán una nota.
    En este enlace están las definiciones oficiales

    El examen lo gestiona Prometric , aunque hay que registrarse antes en el BCI, y está basado en la guia de buenas prácticas.

    DRII
    Los tipos de certificación son muy similares:
    • ABCP (Associate Business Continuity Professional) Equivalente a CBCI, es decir, acredita haber pasado el examen sin requisitos de experiencia
    • CFCP (Certified Functional Continuity Professional) Requiere haber pasado el examen y acreditar al menos 2 años de experiencia en tres áreas de conocimiento (SME:  Project initiation and management, Risk Evaluation and control, Business Impact Analysis, Develping BC strategies, Emergency Response and Operations, Developing and implementing BC plans, Awareness program and Training, Maintaining and Exercising BC plans, Crisis Comunications and coordination with external agencies).
    • CBCP (Certified Business Continuity Professional) Requiere haber pasado el examen y acreditación de al menos 2 años de experiencia en cinco áreas de conocimiento.
    • MBCP (Master Business Continuity Professional) Está reservado para especialistas en continuidad de negocio, evaluados por el drii, con más de cinco años de experiencia en al menos 7 áreas de conocimiento.
    En este enlace están las definiciones oficiales
    El examen es presencial y se planifican por todo el mundo. En Europa parece que se organizan desde Italia. 

    Las acreditaciones de Continuidad de Negocio, en España tienen mucho menor reconocimiento que las acreditaciones de seguridad, como CISA o CISSP, además son más difíciles de conseguir, sin embargo son un valor a medio o largo plazo.

    0 comentarios
    Etiquetas:

    miércoles, 10 de agosto de 2011

    Componentes que soportan el negocio, diferente en cada sector


    Es una realidad que la continuidad de negocio ha venido siendo promovida por dos sectores principalmente: el financiero y el de seguros. En estos dos sectores se dan circunstancias muy similares que les han hecho estar más evolucionados que otros en materia de continuidad de negocio:
    • Tienen regulaciones específicas con vinculación a aspectos económicos, Basilea II y Solvencia.
    • Sus procesos de negocio principales están muy centralizados en pocas ubicaciones, principalmente los CPDs y los call centers, lo que hace relativamente sencillas las estrategias de recuperación ya que bastaría con salvaguardar estas ubicaciones centralizadas. El resto de ubicaciones, normalmente muy distribuidas, no son tan importantes.
    • Tienen alto grado de industrialización y automatización de sus procesos, haciéndolos en gran medida dependientes de la infraestructura tecnológica. Esto hace que las medidas de respaldo tecnológico a adoptar supongan un porcentaje alto del total de medias necesarias para garantizar su continuidad de negocio.
    En España, son estos sectores los que han destacado históricamente en su preparación. Unas empresas se han quedado en el respaldo de los CPDs y otras han ido un poco más allá, con las salas de respaldo para puestos de trabajo. 

    Como consecuencia de este sobredesarrollo en la continuidad IT, hoy en día cualquier CPD con un tamaño mediano tiene su centro de respaldo, ya sea propio o contratado a una empresa de servicios de hosting -esta vía ha venido cobrando una mayor relevancia según  ha ido madurando el concepto de outsourcing y, últimamente, cloud computing- pero ha supuesto una falsa sensación de protección en todos los sectores, aunque muchos de ellos no tengan una alta dependencia de la IT. .

    De nada serviría tener respaldada la IT a un hospital ante una infección de legionela, por ejemplo. E igual pasaría para la mayor parte de los escenarios de desastre que se puedan plantear en este hospital. ¿Cuál es el problema?. Que debemos identificar cuales son los componentes que soportan nuestro negocio.
    Lo mejor es partir de los cinco componentes que identifica la BS-25999:
    • Ubicaciones físicas
    • Personas
    • Infraestructura Tecnológica
    • Información
    • Proveedores
    Sin ningún rigor científico, es posible identificar diferentes patrones de dependencia de los recursos por cada uno de los sectores, lo que puede quedar más o menos claro en las siguientes gráficas:

    Queda claro que en el sector financiero la IT supone un alto porcentaje del negocio, sin descuidar el resto de aspectos, como que los proveedores encargados de repartir el dinero en metálico tienen que repartirlo a las oficinas todas las mañana para cubrir las necesidades de cada una de ellas, pero quizás lo tengan más fácil que otros para garantizar su resiliencia.


    Si por el contrario, tu sector es el de la Seguridad Física, tendrás que tener muy en cuenta las personas como principal recurso de tu negocio, de nada te va a servir respaldar tu IT.

    Por lo tanto, como uno de los primeros pasos, es preciso identificar qué componente o componentes son esenciales para garantizar tus productos y servicios a tus clientes para cada uno de los escenarios que quieres cubrir en el alcance de tu plan y a partir de ahí empezar a construir. Una buena práctica es no perder de vista los cinco tipos de componentes que identifica la BS-25999.

    2 comentarios
    Etiquetas:

    miércoles, 3 de agosto de 2011

    Evolución histórica de las normas, estándares y legislación de BCM

    Antes de que la anhelada ISO 22.301 sea publicada y se convierta en la norma de referencia a nivel global, conviene hacer una revisión del conjunto de normas que rigen actualmente la continuidad de negocio.

    El primer estándar que se recuerda de continuidad de negocio es el NIS 800-34 "Contingency Planning Guide for IT" del gobierno de Estados Unidos. En este estándar es donde se empiezan a utilizar términos que han perdurado a lo largo del tiempo y que muchas veces han confundido más que ayudado. Son los términos de DRP, COOP, BCP, etc. Este estándar se publicó en 2002 y, sin duda, supuso la primera gran declaración de intenciones para el ámbito de la continuidad de Servicio IT.

    Por el mismo año también se publicó la primera versión de la GPG del BCI, lo que sería el germen de la norma británica BS-25999 y que estaba más enfocada a la Continuidad de Negocio. El BSi decide en 2003 utilizarla como base para su norma publicando la norma PAS-56 (Pubicly Available Specification), que se mantuvo vigente hasta la publicación de la norma BS-25999-1 que la derrogó en 2006. Junto con esta norma se publicó la BS-25999-2 que describe el sistema de gestión y que es certificable.

    Los organismos de elaboración de normas de Singapur y Australia siempre han estado muy concienciados con la continuidad de negocio y han publicado en este tiempo diferentes normas que completan, de una u otra forma, las normativas occidentales. En el caso de Singapur, publicó la SS507 BC/DR Service Providers que pretende identificar las características que deben cumplir los proveedores de sites de respaldo con el objetivo de la certificación. Durante un tiempo, fue rival de la BS-25999 por establecer los criterios de la norma ISO, pero finalmente no ha sido muy utilizada en occidente.

    En el año 2006 se publica la PAS-77 del BSi, enfocada a cubrir la parte IT de la BS-25999, principalmente motivada por las críticas a esta norma por parte del sector, muy enfocado a la continuidad del servicio IT. En 2008 esta norma se convierte en BS-25777 IT Service Continuity Managemet Esta norma se ha convertido en ISO este año, mediante la ISO 27031, aunque no se espera que sea certificable. Notese que el comité técnico en el que se ha emplazado la norma es el 27, que se refiere a Tecnologías de la Información, mientras que la BS-25999 está en el 22: Social Security.

    En el siguiente gráfico muestro una línea de tiempo que quizás aclare un poco este escenario de normas y estándares:
    Esperemos que la 22301 se convierta en el estándar definitivo que termine de impulsar el sector desde un punto de vista de certificación, como todos esperamos.
    2 comentarios
    Etiquetas: , ,
    Suscribirse a: Entradas (Atom)