II Conferencia Internacional de Continuidad de Negocio BS 25999

Ayer asistimos a la “II Conferencia Internacional de Continuidad de Negocio BS 25999”, coorganizada por British Standards Institution (BSI) y el Business Continuity Institute (BCI), que tuvo lugar en Barcelona.

bcibsi

La jornada que tenía como subtítulo “Continuidad de Negocio, el ser o no ser de una organización”, sirvió para poner de manifiesto los avances realizados a nivel mundial, durante el pasado año, en la adopción de la norma BS 25999 como estándar para dotar de mecanismos de continuidad de negocio a las organizaciones (BS 25999-1) e implementar un sistema de gestión para ello (BS 25999-2). Recordemos que no hace aún un año desde la presentación de la norma en España.

La jornada sirvió también para trasladar a los asistentes diversas experiencias prácticas en la implantación de mecanismos de continuidad de negocio. Las ponencias en este sentido han corrido a cargo de Julio San José, Gerente de Seguridad de Bankinter (primera y única empresa española certificada BS 25999-2); Roger McLoughlin, Continuity & Risk Assurance Specialist de Vodafone UK; y Tomás Roy y David Forner del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya.

Algunos de los datos presentados y conclusiones de la jornada fueron los siguientes:

  • BCI y BSI, lejos de competir, muestran un enfoque complementario y perfectamente alineado, como partners
  • En este sentido, la última guía de buenas prácticas de continuidad de negocio que ha publicado BCI, ya ha sido recientemente adaptada al vocabulario y principios de la BS 25999-1.
  • Actualmente hay 50 organizaciones en todo el mundo que han certificado sus sistemas de gestión de la continuidad de negocio contra la norma BS 25999-2. Hay 100 organizaciones más en proceso de certificación.
  • Se confirma que la norma BS 25777  de continuidad de TI no va a tener una parte certificable. Su propósito será sólo el de complementar la BS 25999-1 aportando buenas prácticas en el ámbito específico de continuidad de TI.

Así mismo, se constataron diversos problemas en los procesos de implantación de un Sistema de Gestión de la Continuidad de Negocio (SGCN), entre los que destacamos:

  • Confusión. Sigue confundiéndose continuidad de negocio con continuidad de TI, planes de continuidad de negocio con planes de recuperación de desastres, etc. Lo que indica que es preciso seguir fomentando la divulgación de estos conceptos.
  • BIA. Existe muy poca información, y menos en la norma, sobre cómo realizar el Business Impact Analysis (BIA), parte fundamental del proceso de implantación del SGCN. En este sentido se apunta a los consejos de la guía del BCI como un buen punto de partida.
  • Análisis de riesgos. Al igual que sucede con el análisis de riesgos en un SGSI, se constata un cultura bastante pobre al respecto de los conceptos asociados y su aplicación práctica en continuidad de negocio.
  • Alcance de la certificación. Muchas organizaciones certificadas lo están haciendo con un alcance “estrecho”. Esto es un problema si tras obtener la certificación no se amplía progresivamente el alcance. En todo caso, sí es recomendable empezar con el tema de forma progresiva.

Finalmente, y quizás una de las conclusiones que más debiera hacernos reflexionar, es que ya son varias las organizaciones que están adoptando los principios de la continuidad de negocio como modelo de gestión del negocio en su conjunto. Y es que garantizar el servicio continuado a los clientes es una buena forma de garantizar el mantenimiento de los ingresos y una alta reputación. En este sentido, la certificación frente a una norma estándar, aparece como un paso más del proceso de mejora continua en dicha forma de gestión, permitiendo demostrar periódicamente a todos los stakeholders el compromiso con ellos, de manera objetiva y por boca de un tercero independiente. Así pues, parece que la gestión de la continuidad de negocio podría tornarse en una poderosa herramienta de gobernanza.

Para acabar una cita de Charles Darwin que resume muy bien el concepto de resilencia que subyace en los mecanismo de gestión de la continuidad:

“It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change.”

  • Agustin Lerma

    Felicitaciones por el articulo.
    Es un resumen excelente.

    Garcias y saludos,
    Agustin Lerma
    BSI España

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *