Es una realidad que la continuidad de negocio ha venido siendo promovida por dos sectores principalmente: el financiero y el de seguros. En estos dos sectores se dan circunstancias muy similares que les han hecho estar más evolucionados que otros en materia de continuidad de negocio:
- Tienen regulaciones específicas con vinculación a aspectos económicos, Basilea II y Solvencia.
- Sus procesos de negocio principales están muy centralizados en pocas ubicaciones, principalmente los CPDs y los call centers, lo que hace relativamente sencillas las estrategias de recuperación ya que bastaría con salvaguardar estas ubicaciones centralizadas. El resto de ubicaciones, normalmente muy distribuidas, no son tan importantes.
- Tienen alto grado de industrialización y automatización de sus procesos, haciéndolos en gran medida dependientes de la infraestructura tecnológica. Esto hace que las medidas de respaldo tecnológico a adoptar supongan un porcentaje alto del total de medias necesarias para garantizar su continuidad de negocio.
En España, son estos sectores los que han destacado históricamente en su preparación. Unas empresas se han quedado en el respaldo de los CPDs y otras han ido un poco más allá, con las salas de respaldo para puestos de trabajo.
Como consecuencia de este sobredesarrollo en la continuidad IT, hoy en día cualquier CPD con un tamaño mediano tiene su centro de respaldo, ya sea propio o contratado a una empresa de servicios de hosting -esta vía ha venido cobrando una mayor relevancia según ha ido madurando el concepto de outsourcing y, últimamente, cloud computing- pero ha supuesto una falsa sensación de protección en todos los sectores, aunque muchos de ellos no tengan una alta dependencia de la IT. .
De nada serviría tener respaldada la IT a un hospital ante una infección de legionela, por ejemplo. E igual pasaría para la mayor parte de los escenarios de desastre que se puedan plantear en este hospital. ¿Cuál es el problema?. Que debemos identificar cuales son los componentes que soportan nuestro negocio.
Lo mejor es partir de los cinco componentes que identifica la BS-25999:
- Ubicaciones físicas
- Personas
- Infraestructura Tecnológica
- Información
- Proveedores
Sin ningún rigor científico, es posible identificar diferentes patrones de dependencia de los recursos por cada uno de los sectores, lo que puede quedar más o menos claro en las siguientes gráficas:
Queda claro que en el sector financiero la IT supone un alto porcentaje del negocio, sin descuidar el resto de aspectos, como que los proveedores encargados de repartir el dinero en metálico tienen que repartirlo a las oficinas todas las mañana para cubrir las necesidades de cada una de ellas, pero quizás lo tengan más fácil que otros para garantizar su resiliencia.
Si por el contrario, tu sector es el de la Seguridad Física, tendrás que tener muy en cuenta las personas como principal recurso de tu negocio, de nada te va a servir respaldar tu IT.
Por lo tanto, como uno de los primeros pasos, es preciso identificar qué componente o componentes son esenciales para garantizar tus productos y servicios a tus clientes para cada uno de los escenarios que quieres cubrir en el alcance de tu plan y a partir de ahí empezar a construir. Una buena práctica es no perder de vista los cinco tipos de componentes que identifica la BS-25999.
Si por el contrario, tu sector es el de la Seguridad Física, tendrás que tener muy en cuenta las personas como principal recurso de tu negocio, de nada te va a servir respaldar tu IT.
Por lo tanto, como uno de los primeros pasos, es preciso identificar qué componente o componentes son esenciales para garantizar tus productos y servicios a tus clientes para cada uno de los escenarios que quieres cubrir en el alcance de tu plan y a partir de ahí empezar a construir. Una buena práctica es no perder de vista los cinco tipos de componentes que identifica la BS-25999.
2 comentarios:
Bueno pero si vas a aplicar la Iso 27001 SGSI lo primero que te indica la norma es la identificacion/valoracion de tus activos,que es lo que explicas aqui no?.
Yo destacaria tambien el alcance del plan de seguridad,las partes de la empresa que afecta.
Esto en un plan de seguridad para cumplir la LOPD,no esta tan especificado.....El problema es que muchas veces ese estudio lo hacen abogados,no informaticos jejeje....
Muy buen articulo.Saludos.
Gracias por tu comentario. Uno de los motivos del nombre del blog es precisamente tratar de separar la continuidad de la seguridad, porque la seguridad se centra en la Información y continuidad en el Negocio. En continuidad hay recursos y procesos que no son relevantes para seguridad y no siempre tienen que ver con IT.
Publicar un comentario