Estrategia de Continuidad de Negocio – II

La semana pasada hacíamos algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio, y como ejemplo, nos planteábamos qué estrategias utilizar en el caso hipotético de que nuestra oficina en Madrid no estuviese disponible y tuviésemos que recuperar el proceso en 24h.... Leer Más

Estrategia de Continuidad de Negocio – I

En este artículo se hacen algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio.

Es más que habitual que los clientes, y no pocos consultores, a la hora de mejorar la resiliencia de las organizaciones, propongan un “Plan de Continuidad de Negocio”. En realidad, se debería hablar de implantar una “Gestión de la Continuidad de Negocio”, ya que de lo que se trata es de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas. De aquí en adelante usaremos las siglas BCM para referirnos a dicha Gestión.

Sí, hay que reconocer que uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC. No obstante, dichos planes no son, por supuesto, los únicos “outputs” del BCM, aunque sí es cierto que son los más visibles y, por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización (el clásico de poner la marca de “cumple” en la casilla de verificación).

[Read more…]

Continuidad de Negocio: las pruebas (II)

bcm-lifecycleEn el post anterior, se nos ponía en contexto sobre la importancia de la realización de pruebas tras el diseño e implementación de un Plan de Continuidad de Negocio (en adelante, PCN).

Pero ¿en serio es tan importante la realización de pruebas? Pensamientos como éste pueden ser comunes: “Hemos pasado meses planificando y diseñando el PCN, involucrando a personal de distintas áreas de la organización y contando con la ayuda de expertos en la materia, ¿cómo va a fallar? Es posible que haya que probarlo dentro de un tiempo, pero de momento vamos a dejarnos de jaleos”. Me gustaría matizar que ese “tiempo” suele traducirse en años.
[Read more…]

Continuidad de Negocio: tipos de proyectos

En el pasado hemos hablado en diferentes ocasiones de Continuidad de Negocio. Concretamente, hemos tratado de los aspectos a tener en cuenta al abordar un proyecto de Continuidad de Negocio, de la valoración de tiempos en el Análisis de Impacto sobre el Negocio (I y II) y hemos comentado (y dejado a medias) por qué son necesarias las pruebas de continuidad de negocio. En general, siempre en el ámbito tecnológico, es decir en el marco de los Planes de Contingencia TIC.... Leer Más

Continuidad de Negocio: las Pruebas (I)

Bien. Después de varias semanas o meses y un esfuerzo significativo, ya tenemos listo nuestro Plan de Continuidad de Negocio. Con su trabajo de campo, su Análisis de Riesgos y Análisis de Impacto sobre el Negocio, sus decisiones ejecutivas, estrategias de recuperación, Plan de Crisis y tal. Muchas horas de trabajo con sus respectivos cafés, colaboración más o menos voluntaria por parte de todos para obtener una serie de documentos y controles que reflejan la realidad de nuestra organización y la preparan para una contingencia que, afortunadamente, esperemos que no aparezca.... Leer Más

Continuidad de Negocio: Aspectos a tener en cuenta

Seguimos con continuidad de negocio. Hace unos días estuvimos viendo, con cierto nivel de detalle (quizá demasiado para aquellos más interesados en una guía rápida más orientada al how-to), algunos aspectos sobre los elementos que forman los tiempos de recuperación y la importancia que tiene el tipo de actividad que estemos analizando. Pasando a otros temas más prácticos, hoy me gustaría repasar algunos puntos a tener en cuenta durante la realización de un Plan de Continuidad de Negocio, que considero vitales para llegar a buen puerto: alcance, contar con el apoyo de Dirección, tener en cuenta la posible necesidad de inversión, y cómo determinar los tiempos de recuperación objetivo.

Alcance

El primer aspecto que debemos tener en cuenta es el alcance de nuestro Plan de Continuidad de Negocio (PCN), en dos aspectos diferentes. Por un lado, en un sentido de horizontalidad; es necesario definir claramente qué servicios, actividades o procesos van a estar incluidos en el PCN, si además tenemos la intención de certificar el sistema según la ISO 22301; aunque desde un punto de vista de utilidad de un PCN lo más lógico es intentar que el alcance cubra toda la organización, especialmente en empresas de reducido tamaño donde la infraestructura se comparte, también cabe la posibilidad de escoger un alcance reducido que cubra elementos relativamente independientes (una división geográfica o la matriz organizativa de la empresa, por ejemplo) o simplemente aquellos procesos que de antemano ya se sabe que son los más críticos para la continuidad de la organización, como podría ser la producción o logística en una empresa de carácter más industrial, o el portal web en una empresa puramente de comercio electrónico.

[Read more…]

Continuidad de Negocio: Análisis de Impacto sobre el Negocio: tiempos (II)

El pasado miércoles vimos algunas reflexiones, más teóricas que prácticas, todo sea dicho, sobre la importancia no sólo de conocer los tiempos límite de recuperación de cada actividad, sino de saber, en la medida de lo posible, cómo éstas se comportan tras el momento crítico, lo que puede determinar el margen de error tolerable al determinar los tiempos (que no olvidemos que están determinados por el impacto máximo tolerable) y la irreversibilidad del incidente una vez superado el tiempo límite de recuperación (sin que ésta se produzca). ... Leer Más

Continuidad de Negocio: Análisis de Impacto sobre el Negocio: tiempos (I)

Como seguramente sepan, desde hace poco más de un mes tenemos la suerte de contar con una nueva norma ISO relacionada con la Continuidad de Negocio, concretamente la norma ISO 22301:2012, Societal Security – Business continuity management systems – Requirements. Como ya pasó con la norma BS 7799 y la norma ISO 27001, y es que estos británicos en temas normativos nos sacan un cuerpo y dos cabezas a todos, esta nueva norma toma como referencia a la BS 25999:2, Specification, aunque introduce algunas diferencias que pueden ver en esta infografía del blog de Dejan Kosutic. ... Leer Más

Continuidad de Negocio: UNE 71599 / BS 25999

Como seguramente recuerden, el pasado 12 de mayo tuvo lugar una jornada en la que participamos junto con AENOR y Tecnofor, titulada El papel de los Sistemas de Gestión en las TIC. Durante las próximas semanas iremos incluyendo en el blog las presentaciones que tuvieron lugar. Por una simple cuestión de orgullo, comenzaremos con la mía, que versaba sobre la Continuidad de Negocio, desde el punto de vista de la UNE 71599 / BS 25999. Aunque se pierden los chistes y mi vis cómica, espero que les guste la presentación.... Leer Más

I Encuentro Internacional CIIP: Taller de Continuidad

En esta entrada me voy a atrever a darles mi visión personal de las conclusiones que se extrajeron del taller “Gestión de Continuidad: Planes de Contingencia, Gestión de Crisis” del I Encuentro Internacional de Ciberseguridad y Protección de Infraestructuras Críticas, taller que dirigió con mucha habilidad y dinamismo Miguel Rego, Director de Seguridad Corporativa de ONO, y que resultó muy participativo.... Leer Más