En esta mi primera entrada, voy a introducir la norma BS 25999, la cual seguramente sea el tema de mi tesina de máster. Probablemente el término BS 25999 pueda resultar poco conocido, pero si hablamos de plan de continuidad de negocio seguro que el concepto les suena más. Lo que propone esta norma es tratar la continuidad de negocio como un sistema de gestión de la continuidad de negocio (SGCN), ofreciendo la posibilidad de algo que está de “moda”: CERTIFICARSE.

A pesar de lo poco extendida que está, esta norma no es nueva, puesto que fue publicada en 2006 y 2007 respectivamente. Consta de dos partes:

• BS 25999-1, propone un código de buenas prácticas para la gestión de la continuidad de negocio
• BS 25999-2, propone especificaciones para la implantación SGCN

Grosso modo esta norma ofrece un marco de trabajo para desarrollar la continuidad de negocio, marcando una serie de pautas que nos permiten definir unos planes de continuidad. Estos estarán basados en estrategias de continuidad que se han seleccionado en base a la criticidad de los servicios corporativos como resultado del BIA (Business Analysis Impact). Podríamos empezar a hablar de términos como RPO y RTO, pero llenaríamos demasiadas páginas y habrá otras ocasiones mejores.

Sin haber acabado aún -espero- la serie de posts dedicada a seguridad sectorial, quiero comenzar con este artículo una nueva serie: la serie GOTO. Muchas entradas de este y otros blogs no generan casi debate (tenemos una información, la estructuramos para convertirla en un post, estamos todos de acuerdo con el contenido del mismo -o no, pero nadie lo dice-, y vuelta a empezar). Eso obviamente es bueno para un libro, pero no para un blog, donde lo que se busca es debatir y polemizar, que cada uno exponga sus opiniones (buenas o malas, pero siempre respetables) y así, entre todos, aprender cosas nuevas y analizar puntos de vista diferentes a los nuestros. Con esta idea surge la serie GOTO, porque… ¿qué hay más polémico que la instrucción GOTO plantada en el código de un programa? Realmente podríamos haber titulado la serie RISC vs. CISC, vi vs. emacs, Unix vs. Windows… y así un largo etcétera, pero hemos decidido llamarla GOTO (si alguien prefiere otro nombre, que lo proponga, que de eso se trata).

Dentro de esta serie, vamos a hablar hoy de los Consultores; más concretamente, de los Consultores de Seguridad, aunque imagino que los comentarios podrían extrapolarse a cualquier otro tipo de consultor: RRHH, financiero… Para mí, al menos hasta hace unos años, un consultor -simplificando- era alguien que sabía mucho de un tema concreto, de forma que podía ayudar enormemente a resolver problemas tanto por el conocimiento de la materia a tratar como, en muchos casos, del negocio en sí. En resumen, un perfil muy valorado en cualquier organización, sin importar si era externo o interno a la misma.