Por Moises Lopez Soto
Aunque este post no pretende ser un resumen detallado de la jornada y quedarán muchas cosas sin reflejar, me gustaría divulgar el acontecimiento y algunos de los puntos tratados durante las ponencias de los expertos invitados.
La jornada dio comienzo con la presentación por parte de D. José Luís Tejera, director de desarrollo de AENOR del contenido de la misma, así como un repaso por las distintas normas de seguridad, y, entre otras cosas, una primera referencia a un punto que luego sería mencionado y recalcado una y otra vez, la absoluta necesidad de colaboración ante las dependencias con la cadena de suministro, es decir, los proveedores.
Posteriormente, se dio apertura a una Mesa Redonda sobre Normalización y Certificación, desde la
cual, se repasaron los contenidos de la ISO 22301 de la mano de D. Tomás Martín Iñurrieta, jefe del servicio de Normativa y Coordinación del CNPIC, y D. Carlos Manuel Fernández Sánchez, gerente TIC’s de la dirección de desarrollo de AENOR, el cual hizo la apreciación que más allá de la certificación lo importante es implantar aunque la certificación te aporta la obligación de mantener lo implantado.
D. Juan José Miguez Iglesias, socio de riesgos tecnológicos de PwC, aportó la experiencia de PwC en la consultoría de Continuidad de Negocio, presentando una metodología en cuatro fases (Revisión Documental, Adecuación del SGCN, Verificación y Pruebas, y Apoyo en Auditoría) con lo cual tratan de cubrir todas las necesidades de los clientes para la implantación de un Sistema de Gestión de Continuidad de Negocio certificable, aunque también ofreció la idea de realizar una metodología fastrack, con la cual se comenzaría probando directamente mediante role play e ir aprendiendo y desarrollando los planes a posteriori, algo así como aplicar primero el carácter latino (improvisa inicialmente) y luego el anglosajón (procedimenta).
Cerrando esta primera Mesa Redonda, Cristo Pérez, Continuity Business Management de Sanitas realizó la presentación del proceso seguido para la implantación y certificación en Sanitas del Sistema de Gestión de Continuidad de Negocio, mostrando un claro ejemplo de evolución del DRP o planes de Sistemas, insuficiente para dar respuesta a la variedad de posibles escenarios a contemplar en Continuidad de Negocio (como ejemplos puso, la amenaza de atentado en Campo de las Naciones que provocó la indisponibilidad de acceso a sus instalaciones, o la Gripe Aviar), hacia un Sistema de Gestión donde se incluyera la visión y toma de decisiones de Negocio y, sobre todo, se pusiera a las Personas como piedra angular sobre la que hacer pivotar su Continuidad de Negocio.
En la segunda parte de la jornada, D. César Pérez Chirinos, presidente de Continuam, y Dña. María Parga, consejera director general de BME-INNOVA y vicepresidenta de Continuam, realizaron la presentación del instituto de continuidad de negocio y su labor de conexión entre profesionales con filosofía de compartir conocimiento y tratar de divulgar y promocionar las prácticas en Continuidad de Negocio.
Cerrando la jornada, una segunda Mesa Redonda, en la que participaron:
- D. Manuel Carpio Cámara, director of information security and fraud prevention de Telefónica, donde además de presentar casos concretos y la estructura de la Continuidad de Negocio para un gigante como Telefónica, llevándolo a dos dimensiones (una vertical con el SGCN y otra horizontal aglutinadora de necesidades más particulares), y una distribución de operadoras por países con herramienta Sungard en modo DRASS, pronunció una frase que me gustaría reflejar aquí: “La Continuidad de Negocio NO es Opcional” y conceptos, tan interesantes, como la Correlación de Eventos que llevarían a tener la información de dónde está cada cual en el momento del incidente.
- D. Ángel Robles Rodríguez, letrado adjunto a Dirección de la EMT, presentando como desde su organización deben pensar en los autobuses como un empleado más.
- D. Pedro Pablo, gerente de Seguridad, Privacidad y Continuidad Global de RSI, cuya charla enfatizó la necesidad de fortalecer la cadena de suministro donde comentó las complicaciones que nos podemos encontrar a la hora de garantizar nuestra cadena de suministro bajo contrato, sobre todo con los grandes proveedores. Además, también aboga por la búsqueda de sinergias entre las distintas disciplinas (seguridad, calidad, etc.).
- D. Javier García Carmona, responsable de la seguridad de la información y de las comunicaciones de Iberdrola, autor de otra frase que considero se debe reflejar y además secundo: en España “No hay cultura de Continuidad de Negocio”, y entre otras apreciaciones envío un mensaje “tranquilizador” acerca de la infraestructura eléctrica española y su salud en referencia a infraestructuras críticas.
- D. Roberto Rodriguez, director de continuidad de negocio del Grupo Santander, en cuya intervención se subrayó la importancia de las pruebas como generadoras de automatismos en la forma de proceder ante una contingencia, sirviendo como elemento catalizador que impida el bloqueo del personal elegido para dar respuesta al incidente, ya sea por el carácter de la contingencia (posible impacto a su entorno) o por su propia forma de ser (capacidad de reacción en una crisis), siendo vital la elección de este grupo de personas y en cuyo proceso no se presta demasiada atención.
- D. Victor Llorente, consultor de negocio de Grupo SIA que ahondó en la necesidad de apoyarse en herramientas que permitan la automatización del Sistema de Gestión de Continuidad de Negocio.
En líneas generales, considero que se ha tratado de un evento interesante, donde se pone de manifiesto el progreso en el ámbito de la Continuidad de Negocio una vez que se comienza a mirar hacia fuera buscando fortalecer u obtener resiliencia garantizando, no sólo nuestras capacidades internas, sino las dependencias con terceros y sus capacidades de Continuidad, donde se focaliza mucho más hacia las personas, hacia su capacidad de respuesta, donde se escucha y se otorga la capacidad y toma de decisiones a negocio en contraposición con la antigua disposición TI y donde se dispone de un marco internacional en el que mirarse y obligarse a mejorar en forma de ISO22301.