Sandra Patricia Camacho Bonilla ¿Cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse. El pasado 18 de mayo de 2012 fueron publicadas las normas internacionales ISO 22301 con los “Requerimientos para un sistema de gestión de continuidad del negocio” y en marzo de 2011 las normas ISO/IEC 27031 con las “Guías para la preparación de telecomunicaciones y tecnologías de la información (TIC) para la continuidad del negocio”. Pero, ¿cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse. En este sentido, es importante conocer cuáles son las mejores prácticas  y estándares que existen, así como la relación entre ellos y como aplica en relación al tamaño de la organización, como a su cultura y entender el estado en el que la organización se encuentre y así, medir el esfuerzo y costo de su adopción. Normas de la continuidad del negocio Las recientes normas ISO de continuidad del negocio brindan a las organizaciones estándares para que se maximice la “continuidad” de sus operaciones, a pesar de  eventos catastróficos o incluso de menor dimensión  que puedan presentarse, y de manera particular, ocasionados por la tecnología, por lo que se cuenta con estándares particulares en este sentido. No es reciente la existencia de normativas al respecto, las normas ISO 22301 e ISO/IEC 27031 tienen su origen respectivamente en los estándares británicos BS 25999 “Gestión de la continuidad del negocio” de noviembre del 2006 y BS 25777 “Gestión de la continuidad de la tecnología de información y telecomunicaciones” de noviembre del 2008, y estos a su vez, de estándares internacionales fomentados por diversas organizaciones como el Disaster Recovery Institute International (DRI International), quienes desde 1988 han promovido a nivel internacional, las mejores prácticas respecto a la continuidad del negocio, así como el Business Continuity Institute (BCI),  desde 1994, entre otros. Los estándares BS 25777 y BS 25999 presentan a su vez dos “Códigos de práctica”, el primero en cuanto a la gestión de continuidad de TIC y el segundo, en lo referente a la gestión de continuidad del negocio; introduciendo, desde cada perspectiva, el concepto de “programa de continuidad” presentado como un ciclo de vida compuesto por seis partes. Inicialmente y ubicado en el centro del ciclo, se presenta la “Gestión del programa de continuidad”, donde se define la gobernabilidad, la implementación, la continuidad y la documentación  del programa,  luego, representado como un ciclo de vida que va desde el “Entendimiento de la organización”, pasando por “Determinación de las estrategias” y “Desarrollo e implementación de la respuesta” y finalmente, “Ejercicios, mantenimiento y revisión”, a partir de donde se vuelve a iniciar el ciclo, el cual está inmerso en la “Cultura organizacional”, donde se incluyen los temas de concientización y entrenamiento. Luego, cada uno de ellos se concentra en su ámbito de aplicación, entrando a ser dos ciclos complementarios para lograr la gestión del programa de continuidad. Sintetizan el conocimiento BCI, a través de su “Código de buenas prácticas para la gestión de continuidad del negocio”, promueve el ciclo de vida presentado en el BS-25999 como el cuerpo de conocimiento para la disciplina, especificando adicionalmente, algunas herramientas en cada una de las fases del ciclo, es así como incluye el business impact analisys (BIA), continuity requirement analisys (CRA) y el risk assesment (RA),  para la fase de “Entendimiento de la organización”, el establecimiento de parámetros como el recovery time objective (RTO), recovery point objective (RPO) así como el maximum tolerable period of disruption (MTPD) y el maximum tolerable data lost (MTDL) para la “determinación de las estrategias”, incluyendo la selección e identificación de respuestas tácticas y la consolidación de niveles de recursos, asimismo, presenta una serie de pasos detallados para  las demás fases del ciclo, presentado un enfoque estructurado y claro para el desarrollo de un programa de gestión de la continuidad del negocio. Es así como, las diez prácticas profesionales propuestas por DRI International, la cual sintetiza el conocimiento completo de la disciplina, se consolidan como una base de conocimiento fundamental que incluye tanto las fases del ciclo de vida presentado por el British Standard como por el BCI, así como los requisitos presentados en estándares ISO. Planear-Hacer-Verificar-Actuar (PHVA) En cuanto a la reciente normalización ISO, tanto en los aspectos de “Continuidad del negocio” como de la “Preparación TIC para la continuidad del negocio”, ésta recoge las mejores prácticas y las normaliza con una serie de requisitos, facilitando una mejor gestión en ambos frentes, ya que está inmersa en los conocidos ciclos de mejora continua con los que ya estamos familiarizados planear, hacer, verificar y actuar (véase figura 1, página TBD). En este sentido, las diez prácticas profesionales de la continuidad del negocio de DRI International, se reflejan en el marco de la Norma ISO 22301 “Continuidad del Negocio” (la cual forma parte de la familia de normas ISO relacionadas con “Seguridad Social”) de la manera “PHVA”: Planear: Establecer la política, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio. Hacer: Implementar y operar las políticas, controles, procesos y procedimientos. Verificar: Implementar un monitoreo y revisar el desempeño con relación a la política y los objetivos de continuidad del negocio, reportar resultados a la dirección y acción de mejoramiento. Actuar: Mantener y mejorar el sistema de gestión de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorización del objetivo del sistema y de la política y objetivos de continuidad. Las mejores prácticas del DRI International Por otro lado, y de manera complementaria a la guía BS 25777 “Gestión de la continuidad de la tecnología de información y  telecomunicaciones”, la norma ISO/IEC 27031 con las “Guías para la preparación de TIC para la continuidad del negocio”, se enmarca dentro del ciclo de mejora continua PHVA  y a las mejores prácticas de continuidad del negocio del DRI International, con elementos similares a los descritos arriba pero aplicados a TIC, de tal manera que esta guía gira en torno a los siguientes principios: a)      Prevención de incidentes: Protección de los servicios de TIC de las amenazas, tanto ambientales como fallas de hardware, errores operativos, ataques maliciosos, y desastres naturales. Es crítico mantener los niveles deseables de disponibilidad de los sistemas para una organización;  b)      Detección de incidentes:  Detectar los incidentes en el momento oportuno podrá minimizar el impacto a los servicios, reduciendo los esfuerzos necesarios de recuperación, y preservando la calidad del servicio;   c)      Respuesta: Responder a un incidente de la manera más apropiada, dará lugar a una recuperación más eficiente y minimiza el tiempo de interrupción. Una mala reacción  podría hacer que un incidente menor escale hacia una situación más seria; d)     Recuperación: La identificación e implementación de estrategias de respuesta apropiadas asegurarán la recuperación oportuna de los servicios y mantener la integridad de los datos. El entendimiento de las prioridades de recuperación definirá el que los servicios críticos sean recuperados primero. Los servicios de una naturaleza no críticos, serán reintegrados en un momento posterior; e)     Mejoramiento: Lecciones aprendidas, desde pequeños hasta grandes incidentes, deben ser documentadas, analizadas y revisadas. El entendimiento de estas lecciones permitirá a la organización estar mejor preparada, controlar y evitar incidentes e interrupciones. El ciclo PHVA Con un mayor detalle, la norma sigue el ciclo de mejoramiento de PHVA, de la siguiente manera: Planear: A partir del “Análisis de impacto al negocio” de la organización, se definen los requerimientos de continuidad, la política, el entendimiento de los servicios críticos de tecnología y los requerimientos para la preparación, identificando las “brechas” actuales de preparación con que cuenta TIC. A partir de estas, se formulan las estrategias, definiendo las habilidades y conocimientos necesarios, los recursos, la tecnología, los datos, los proveedores y los requerimientos de capacidad y desempeño “resiliente” requeridos. Hacer: Se considera como la recopilación, mantenimiento e implementación del plan de preparación de TIC, dentro de lo cual se encuentran: los procesos, las estrategias, los planes de respuesta y recuperación, los programas de concientización, competencia y entrenamiento así como el control de documentos relacionados. Verificar: Es el monitoreo y revisión continuos, para los cuales se consideran el análisis de amenazas, la medición del desempeño de preparación de TIC, las revisiones anuales, tanto de pruebas y ejercicios como de las auditorías internas y externas. Actuar: Consiste en la revisión por la dirección y el mejoramiento del plan de preparación de TIC. En conclusión, es importante contar con estándares y esquemas de medición que nos permitan identificar la posición en que se encuentra la organización, pero el gran riesgo es confiar en que solo la teoría y la documentación nos brinda protección y confiabilidad sin mantener  el control en un evento de catástrofe, es en este sentido importante, resaltar que para contar con una exitosa preparación ante desastres, las pruebas y ejercicios se convierten en un elemento fundamental de las estrategias y arquitecturas tanto de TIC como operativas; las cuales deben ser realizadas de manera programada y constante, ya que nos permiten desarrollar confianza en nuestras capacidades de reacción, así como fortalecer las habilidades y experiencia de los equipos de encargados de la continuidad. Estas pruebas y ejercicios se deben hacer tanto de “escritorio” como “simuladas”, con escenarios de fallas totales o parciales de todos y cada uno de los recursos críticos para el negocio. Es importante superar el temor que nos representa “simular” una  falla o crisis, mediante la preparación de todas las áreas, no solo de tecnología, sino también de las áreas operativas, ante la posibilidad de una falla severa a nivel de la provisión de recursos (personal clave, infraestructura,  potencia, ambiente, tecnología, etc.), todo esto orientado al final, a minimizar la “incertidumbre” y conocer las propias vulnerabilidades,  trabajar en ellas y aumentar la capacidad de “resiliencia” para la organización como un todo y así garantizar una real “continuidad del negocio”. Sandra Patricia Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Es especialista en “business impact analysis” y “emergency management and safety solutions”. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia.  Es certificada en CBCP por el DRI International desde 2001 en Boston, MA, EEUU, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005.  Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad. Puede ser contactada en scamacbo@banrep.gov.co