Ethernalia’s Blog

 JORNADA DE PRESENTACIÓN INTERNA/ EXPLICACIÓN

Es tremendamente recomendable mantener a todos los miembros activos involucrados en el desarrollo de un BCP, en un nivel mínimo común de entendimiento y comprensión de los conceptos propios de la estrategia de recuperación. No es preciso desarrollar un completo programa de formación, ni un sesudo cursillo técnico; basta con workshop explicativo, de un par de horas de duración. A través de él, se dará un visión completa de la estrategia, incluyendo necesidades y objetivos, así como la metodología, requerimientos y la escala temporal en que se piensa implantar dicha estrategia. Asimismo, es muy recomendable explicar en detalle en qué consiste el Análisis de Impacto de Negocio, y a todos los que vayan a participar en él, detallarles el cuestionario que se va a utilizar y marcales unas pautas para su efectiva ejecución.

ANÁLISIS DE IMPACTO DE NEGOCIO

Sin duda alguna, uno de los puntos fundamentales. En base al estándar BS25999, cada organización sometida a un proceso de continuidad debería:

• Valorar temporalmente el impacto que tendría la no ejecución de un proceso de negocio.
• Establecer el llamado “tiempo máximo tolerable de interrupción” para cada proceso o actividad, identificando:
  • El período máximo de tiempo, después de una incidencia, que una actividad puede no ser ejecutada.
  • El nivel mínimo a que dicha actividad debe llegar en el proceso de recuperación.
  • El período de tiempo que es preciso para delvolver dicha actividad a nivel normal.
• Identificar cualquier actividad interdependiente (p.e., entre departamentos), cuaquier activo (físico o de información), infraestructura o recurso de la organización que por su criticidad exija un mantenimiento continuo o una recuperación inmediata en caso de incidencia.

La siguiente figura ilustra lo comentado muy claramente:

Un sencillo cuestionario BIA se puede preparar rápidamente, tendiendo a captar:

• Información básica de cada una de las actividades de la organización, como por ejemplo:
  • Nombre de la actividad o proceso.
  • Departamento del que depende.
  • Localización física (ubicación).
  • Persona responsable.
  • Descripción de la actividad o proceso.
  • Comentarios
• El efecto de la interrupción de cada actividad o proceso, en términos de:
  • Impacto cuantitativo (financiero).
  • Impacto operacional (p.e, comercial, de imagen, reputación, normativo,…).
• Los recursos necesarios para el desarrollo de cada actividad o proceso:
  • De personal (nº normal de personas vinculadas el proceso, nº mínimo en caso de interrupción, tiempo necesario para volver a la normalidad).
  • Tecnológicos.
  • De equipamiento.
  • Documentales.
• La dependencia con otras actividades o procesos, o la interdependicia que provoca entre diferentes departamentos.

Llegados a este punto, se antoja imprescindible determinar que actividades o procesos se consideran “críticas” para la organización; sólo deben ser consideradas como tales aquellas cuya pérdida o interrupción generan el mayor impacto en el menor tiempo y cuya recuperación se debe realizar en un muy corto espacio de tiempo. De todas formas, el criterio puede ser personal y subjetivo, dado que hay actividades que por su complejidad o especialidad no puedan ser recuperadas en un plazo corto, y no por ello dejan de ser consideradas como críticas (p.e., cadenas de montaje,…). En esencia, cualquier actividad o proceso que requiere una planificación inicial y un plan especial para garantizar su recuperación dentro del “tiempo máximo tolerable de interrupción”, puede ser considerada como crítica para la organización.

(Continuará…)

Para la inmensa mayoría de las organizaciones, implantar una Estrategia de Continuidad de Negocio implica inicialmente responder a una cuestión trascendental: ¿por dónde empezamos?

En honor a la verdad, hay que decir que en organizaciones no muy complejas, los principales elementos de un Plan de Continuidad de Negocio puden ser desarrollados en unas pocas semanas, de forma relativamente rápida. Usando el sentido común, no es complicado diseñar los procedimientos de notificación y escalado de emergencias, una guía clara sobre cómo responder ante una contingencia de carácter grave y un listado de contactos con los miembros del equipo de recuperación. Lo que realmente lleva tiempo e incorpora una carga de trabajo considerable es:

• Desarrollar un Análisis de Impacto de Negocio (Análisis BIA).
• Decidir sobre la Estrategia de Recuperación.
• Desarrollar los procedimientos operativos que cubran las actividades y procesos críticos del negocio.
• Afrontar los trabajos relacionados con la puesta en marcha del plan, su mantenimiento, auditoría, revisión y actualización de los procesos críticos y de los cambios inherentes al desarrollo del negocio.
• Implantar una cultura interna de Continuidad, en toda la organización: formación para los usuarios, y valoración del riesgo del personal, clientes y proveedores.

Un guión rápido sobre las cuestiones fundamentales que debe incluir un programa de continuidad en una organización, bien podría incluir los siguientes puntos:

1. Introducción/ Aspectos fundamentales.
2. Jornada de presentación interna: explicación.
3. Análisis de Impacto de Negocio (Análisis BIA).
4. Análisis de Riesgos.
5. Estrategia de Recuperación.
6. Redacción del Plan de Continuidad.
7. Prueba del Plan

Pasamos a analizar cada uno de los siete puntos comentados:

INTRODUCCIÓN/ ASPECTOS FUNDAMENTALES

Cada organización debe tener muy claro cuál es su objetivo, el método o la metodología que va a seguir, los tiempos y el perfil del trabajo que va a abordar. Es preciso que se definan muy claramente en el momento inicial las actividades clave que se deben desarrollar y las personas responsables de llevarlas a cabo.

Para asegurar que la implantación de una estrategia de continuidad se lleva a cabo de la forma más correcta posible, es preciso que la dirección de la entidad responda a una serie de cuestiones clave: ¿Cómo alineamos el Plan de Continuidad con los objetivos básicos de negocio? ¿Qué criterio se debe seguir para definir la criticidad de cada proceso de negocio, actividad o sistema? ¿Cuáles pueden ser las principales causas para la ocurrencia de una contingencia grave? ¿Qué impacto puede tener en el negocio? ¿Qué departamentos, áreas o personas pueden ser los principales afectados? ¿Cómo y quién va a gestionar un gabinete de crisis? Todas estas cuestiones, y muchas más, deben ser respuestas, y en base a ellas se debe crear y publicar una Política de Continuidad que defina las bases y los recursos necesarios para garantizar la continuidad.

Lee el resto de esta entrada »

Partiendo de la base de la norma británica BS7799, surge a finales del año 2005 la ISO/IEC 27001 como el estándar internacional para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) de las organizaciones. Esta nueva norma ISO establece los códigos de buenas prácticas en cuanto a la Seguridad de la Información se refiere, por lo que ha de constituirse en la fuente de inspiración de todas las organizaciones que quieran proteger de forma adecuada su Información.

Son tres los pilares fundamentales en lo que a Información se refiere:

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando éstos lo requieran.
• Integridad: exactitud y completitud de la información y los métodos de procesamiento.
• Confidencialidad: la información está sólo a disposición de individuos, entidades o procesos autorizados.

Existen una serie de factores que se encuentran directamente relacionados con el éxito en la implantación de un SGSI y que han de ser analizados antes de su inicio:

1. Compromiso por parte de la Alta Dirección; a través de su implicación en el Comité de Seguridad encargado de tomar las decisiones relevantes en materia de Seguridad TIC.
2. Implicar a toda la organización; no se trata sólo del departamento encargado de su implantación sino de todos los profesionales que manejan Información, deben estar concienciados.
3. Enfoque, alcance y ámbito de aplicación; estrategia fundamental en términos de negocio, organización, activos y tecnologías.

Para la implantación de un SGSI, lo más adecuado es guiarse por el ciclo de Deming:

1. Planificación; viene dado por tres aspectos fundamentales:

• Definición de una Política de Seguridad, que debe incluir el alcance y ámbito de aplicación, los requerimientos legales, criterios de evaluación del riesgo… Ha de estar aprobada por la dirección de la organización.
• Identificación, estudio y análisis de los riesgos, estableciendo los criterios de aceptación del riesgo y especificando los niveles de riesgo aceptable. Ha de realizarse mediante una metodología que facilite su identificación y cuyos resultados sean comparables y repetibles.
• Gestión de los riesgos a través de las diferentes opciones: eliminarlo (prescindiendo de activos innecesarios, reemplazando tecnologías obsoletas…), transferirlo a terceros (firma de seguros o externalización), asumirlo o controlarlo. En este último caso, han de seleccionarse los controles más adecuados teniendo en cuenta dos binomios: nivel de seguridad – coste de seguridad y coste de protección – coste de exposición, además del riesgo residual resultante.

2. Implementación o puesta en marcha de las directrices de la Política de Seguridad establecida, con la implantación de los controles y el seguimiento de sus procedimientos. Es importante acompañar este proceso de formación en materia de Seguridad a todo el personal de la organización.

3. Verificación: a través de la monitorización y mediciones, además de revisiones periódicas. Ello nos permitirá:

• Detectar a tiempo los errores en los resultados generados por el procesamiento de la información.
• Identificar brechas e incidentes de seguridad.
• Determinar si los roles y responsabilidades establecidos se desarrollan en relación a lo previsto.
• Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores.
• Determinar si las acciones correctivas realizadas para resolver incidentes de seguridad fueron eficaces.

4. Mejora: directamente relacionada con el paso anterior, consiste en la ejecución de las acciones preventivas y correctivas además de las posibles mejoras detectadas. Es importante asegurarse de que se alcanzan los objetivos previstos.

La efectiva implementación de un SGSI depende en gran medida de la concepción inicial del proyecto y la adaptación del modelo a las necesidades de cada empresa, porque cada empresa es única y único debe ser su modelo de gestión.

Es curioso, pero dentro del sector TIC nos empeñamos constantemente en movernos como masas uniformes, otorgando a determinadas materias el rango de ley sobre un futuro extraordinario.

Se ha pasado de entornos centralizados a entornos distribuidos, de software licenciado a software libre, se habla de servicios de correo no corporativos, y en todos y cada uno de ellos, toda vez iniciado el acalorado debate, se finaliza sin grandes conclusiones. Sin duda alguna, la nuestra en una industria de “moda”, que necesita reinventarse cada cierto tiempo, entre otras cosas para justificar tasas de crecimiento aceptables. En otro artículo trataremos el caso del debate inciado sobre la conveniencia de sacar el correo corporativo de las organizaciones (por ejemplo, a través de gmail), pero quisiera comentar aquí las dudas, beneficios o inconvenientes que aparecen cuando tratamos el archifamoso tema del Cloud Computing (¿nube o realidad?).

No voy a comentar nada sobre la definición de Cloud Computing; muchas y sencillas explicaciones al respecto se encuentran en cualquier sitio. Hay grandes whitepapers que explican a profanos en la materia los conceptos básicos relacionados (a destacar uno de NTT, especialmente brillante) y múltiples los foros, chats y blogs (aparte de éste) donde se menciona el tema (creo recordar uno de Enrique Dans…). Sin embargo, me gustaría orientar la cuestión hacia un campo específico, el de las pymes y micropymes: ¿es el Cloud Computing un instrumento válido para organizaciones empresariales pequeñas o muy pequeñas?

Si nos atenemos a cuestiones puras de coste, evidentemente sí. El coste de las aplicaciones a usar vía SaaS es considerablemente más reducido que mediante la adquisición de licencias, al menos a priori y sin entrar en estudios pormenorizados (por ejemplo, hay soluciones SaaS de ERP, CRM, perfectamente válidas y muy asequibles). Si simplificamos el conceto Cloud, y lo referimos en exclusiva a espacio de alojamiento (servidores dedicados, hosting, web hosting,…), la respuesta sigue siendo positiva; ya existen entidades, como la americana RackSpace, que ofrece cloud servers a 1,5 céntimos de dolar/hora, hasta 10 GB. Proyectándolo a un horizonte temporal anual, nos daría un coste por servidor de entre 200 – 300 dólares anuales. ¿Hay alguna cuenta de resultados que no soporte éso?

Ahora bien: ¿y desde el punto de vista del servicio? ¿están los proveedores preparados para responder con un servicio de calidad a las demandas del cliente, a esos costes? Ellos, obviamente, responderán que sí; y en cuanto a los potenciales clientes, ¿están preparados, desde un punto de vista formativo y cultural, para este tipo de servicio? Algunos, con toda seguridad, sí; en otros muchos, y conociendo el nivel de desarrollo tecnológico de que disponemos en este país, la respuesta lamentablemente será no.

Las dudas que nos suscita la viabilidad del Cloud Computing en pymes y micropymes son numerosas; las dudas de dicha viabilidad en este país, innumerables: queramos o no queramos, nos parezaca mejor o peor, la realidad nos dice que el 90% de nuestro tejido empresarial lo forman micropymes.

Sólo el tiempo dirá si el Cloud Computing es una realidad o simplemente una nube pasajera…