Por Jorge García Carnicero
Un año más, el BSI ha sido el promotor de la Conferencia anual de Continuidad de Negocio, que ya va por su IX edición. El lugar elegido esta vez fue el Hotel Gran Melia Fénix, en Madrid, donde acudimos a primera hora de la mañana para asistir a las conferencias en cuestión. En una sala prácticamente llena, con 50 o 60 personas, BSI demostró que su capacidad de convocatoria sigue contando con buena salud.
La primera ponencia corrió a cargo de Jose Luis Miguel, Country Manager de BSI, que expuso las capacidades del BSI, tanto en la faceta de generación de normas como en la de auditoría y formación en continuidad. Seguidamente presentó los resultados del informe Horizon Scan, del BCI, destacando aspectos como el top ten de amenazas de continuidad, que se pueden ver en la imagen o los porcentajes de empresas que pretenden incrementa su presupuesto de continuidad de negocio para los próximos meses/años.
La segunda ponencia corrió a cargo de Julio San Jose, de EY, junto con Cristina Pereira, responsable de seguridad de Abanca. Julio recalcó dos aspectos clave de la continuidad.
- la necesidad de la pruebas y de los ejercicios de continuidad
- la importancia de la comunicación de crisis.
Comento aspectos como las diferentes estrategias de comunicación que existen (buenas o malas): Silencio, Negación, Transferencia de Responsabilidades, Confesión y Discreción Controlada, proponiendo la Confesión como la mejor estrategia de comunicación (Yo lo habría llamado Transparencia)
Por su parte Cristina Pereira expuso el caso concreto de Abanca, comentando los diferentes problemas con los que se había encontrado a la hora de desplegar el plan de continuidad de negocio dentro de la organización. En línea con la exposición de Julio, también comentó la importancia de loss simulacros.
Antes del descanso vino la tercera ponencia a cargo de Agustín Lopez, en calidad de representante del DRI en España. Agustín expuso diferentes escenarios de contingencia del datacenter enlazados en una presentación bastante original, utilizando para películas clásicas para mostrar los ejemplos de escenarios (regreso al futuro, atrapado en el tiempo, etc...)
Una vez finalizdo el momento de Cofee Break y Networking, volvimos a la sala donde GMV hizo la cuarta ponencia de la mañana. Estaba basada en el sistema de gestión de continuidad que promueve la ISO 22301 y su posible integración con el resto de sistemas de gestión que pueda tener las compañías: seguridad (27000) gestión de IT (20000), calidad (9000), etc, con orientación principalmente a la certifiación.
La quinta ponencia corrió a cargo de Uxía Fernandez, del grupo Ozona. Uxia expuso el concepto de recogido en la norma 27031, conocida como IRBC (ICT Readiness for Business Continuity) . Uxia expuso el contenido de la norma, con los 5 pilares que define como elementos a proteger: Instalaciones, Tecnología, Personas, Datos, Proveedores y Procesos. Dado que normalmente se tienen en cuenta las contingencias de Datos y Tecnologías, quiso hacer enfasis en la importancia del resto de componentes del servicio. la ponencia se hizo un poco larga.
Por último, la sexta ponencia corrió a cargo de Ricardo Mesias, Director de Gestión del riesgo de EDP. Ricardo hizo su exposición indicando los principales problemas con los que se había encontrado a la hora de desplegar su sistema de continuidad de negocio. Habló del equipo, de lograr la complicidad de todos los departamentos de la empresa, de la importancia de los ejercicios, de las métricas de continuidad y del soporte de empresas externas que siempre es importante.
Conclusion
Como conclusión, creo que la labor del BSI manteniendo este evento año tras año es encomiable y todos los profesionales de la continuidad de negocio deberíamos estar agradecidos por ello. El evento supone un punto de encuentro, a la vez que sirve como termómetro para ver en qué estado se encuentra esta disciplina.
Sin embargo, creo que los mensajes que se trasladan en las ponencias son poco innovadores y muchos no reflejan la realidad de los clientes. Recientemente leía una cita de de Amy DeMartine, analista de Forrester para DevOps en un artículo de Computer World que creo que es de aplicabilidad. Decía: "Creo que la razón por la que muchas empresas se introducen en DevOps y se olvidan del personal de seguridad es que todavía existe una brecha cultural. El personal de seguridad habla un lenguaje totalmente distinto - infracciones, incidentes, vulnerabilidades y riesgos -, así que todo el mundo los coloca al final del ciclo de vida de desarrollo, si es que se acuerdan de ellos". Aplica igualmente en el caso de la Continuidad, que debería se ser un proceso imbricado en el resto de procesos de las compañías y, sin embargo, no lo está mucho, al menos en España. Si nos fijamos demasiado en el sistema de gestión y nos olvidamos de la practicidad de la continuidad nos lleva a que la Continuidad de Negocio se vea como un gasto, en vez de como una inversión.
Recientemente ha sido la Business Continuity Awareness Week, promovida por el BCI con un objetivo principal: demostrar el ROI de la continuidad y creo que deberíamos aprender de ello.
Aunque evidentemente el BSI, como promotor del evento, tiende a enfocar las ponencias hacia los sistemas de gestión, es urgente y imprescindible actualizar los mensajes hacia una realidad de mercado distinta, principalmente en el ámbito IT. No tiene sentido hablar de sacar una copia de las cintas fuera del CPD cuando la mayoría de las empresas están hablando de backup en nube pública como tercera copia, por ejemplo.