CongresoDINTEL número 05■2012 126 Nuevos modelos de Continuidad de Negocio ■ Jacob Vega Varo Gerente de Cuentas Cobser Consulting CHANDO la vista hacia atrás durante los últimos 12 años, podemos comprobar cómo ha madurado el concepto de la gestión de continuidad de negocio en el territorio español. Para el año 2000, pocas empresas contaban con un plan de continuidad de negocio, y las que disponían de uno, éste solo era capaz de responder ante un único escenario de contingencia que cubría un desastre total del CPD (Centro de Procesamiento de Datos) que podía afectar o no a los edificios singulares de la organización, lo cual era poco probable. El objetivo principal era el cumplimiento normativo para salvar las exigencias de auditoría interna o externa. La documentación desarrollada tendía a ser estática, se actualizaba a lo sumo una vez al año terminando por quedar obsoleta, y apenas se realizaban pruebas, en su lugar se realizaba una formación global dirigida a los todos los empleados de la empresa, sobre los aspectos generales de un Plan de Continuidad de Negocio. E CONTINUIDAD de NEGOCIO 2012 En la actualidad, lo que vemos es un modelo muy diferente, más avanzado, las empresas ya tienen conciencia de la importancia de disponer de planes actualizados y probados, y además de la necesidad del cumplimiento normativo, por las diferentes ventajas que aporta a la compañía la adecuación a los estándares y la aplicación de buenas prácticas. Si bien, el objetivo fundamental de un Plan de Con- tinuidad de Negocio es ahora incrementar la fortaleza de la compañía para recuperarse ante imprevistos que pudieran poner en peligro la continuidad de sus procesos críticos, o afectar a su imagen, o incluso que pudiera causar el cierre definitivo de la compañía. Los planes de Continuidad no sólo cubren un escenario de desastre total, sino que contemplan también diferentes contingencias parciales, que tienen menor impacto pero que en el día a día se ha comprobado tienen mayor ocurrencia. La documentación es más operativa, no se documenta más allá de lo justo y necesario en condiciones normales y la información a utilizar en caso de contingencia real. Los planes son cada vez más dinámicos, la actualización trata de realizarse lo más próxima posible al momento en que se produce un cambio que afecte al Plan. La formación es mayoritariamente de carácter práctico, se realizan pruebas tecnológicas de recuperación así como pruebas de continuidad de negocio en las que participan los diferentes usuarios críticos y los equipos de soporte. Si bien, la experiencia de Cobser a lo largo de todos estos años de especialización en este ámbito de la seguridad de la información: “La Continuidad de Negocio” es que el elemento clave para garantizar una correcta puesta en marcha de los planes de continuidad, es la realización de los Simulacros del Comité de Gestión de Crisis, que hacen participar a los CongresoDINTEL sajes y contenido a clientes, proveedores, personal de la entidad y medios de comunicación (imagen pública) en situaciones de Crisis. – Cumplir con los diversos requerimientos de negocio, auditorías informáticas, requerimientos de auditorías externas y demás reguladores. – Validar la eficacia de los Planes en caso de entrar en contingencia Parcial o Total. – Catalizador de la puesta en marcha de los Planes – Herramienta eficaz de concienciación e involucración de la Dirección. comités de Crisis o Continuidad ante una situación de contingencia, pues son el órgano de más alto nivel en la estructura organizativa de gestión de crisis; sus miembros habitualmente son los menos entrenados en la resolución de contingencias y son los responsables de tomar las decisiones más importantes durante las primeras horas (que son las de mayor impacto) desde la ocurrencia de la crisis. Los simulacros del Comité de Gestión de Crisis permiten entrenar, probar y mejorar la resolución de situaciones y/o sucesos críticos que afecten a la Continuidad del Negocio de la entidad, en el menor tiempo posible, con el menor coste, y minimizando el impacto en la imagen corporativa. Evitar así la improvisación y mejorar la confianza. Beneficios: – Preparar y planificar las actuaciones del Comité de Gestión de Crisis y los diferentes Grupos de Recuperación de Negocio y de Soporte ante situaciones de alta criticidad que requieran de su participación. – Validar el protocolo general de actuación, puesta en marcha. – Validar la comunicación de men- número 05■2012 En Cobser Consulting hemos diseñado servicios avanzados de Continuidad de Negocio para aquellas compañías que se encuentran más maduras (tienen planes desarrollados y realizan pruebas periódicamente) en cuanto a la gestión de su continuidad de negocio. Hemos desarrollado una metodología específica para el desarrollo de estos Simulacros del Comité de Crisis, que llevamos aplicando con algunos de nuestros clientes, principalmente entidades financieras, desde hace más de 5 años como un plan estratégico de mejora continúa en la gestión de la continuidad de negocio. La tendencia prevista durante los próximos años, para la maduración y actualización de los Sistemas de Gestión de Continuidad de Negocio (SGCN), vendrá dada por la implantación de soluciones operativas, validadas y cada vez más automatizadas que mitiguen los riesgos asociados a las Contingencias Parciales, que son las que más perjudican la Continuidad del día a día en la organización. En cuanto a las contingencias de mayor impacto, Los simulacros del Comité de Crisis se han convertido ya en un requisito necesario para garantizar la Continuidad de Negocio así como herramienta aliada para la concienciación a la dirección. Y en los próximos años creemos la realización de Simulacros del Comité de Gestión de Crisis, serán prácticas de obligado cumplimiento para adecuarse a las normativas vigentes. Ya la Ley de Protección de Infraestructuras Críticas “Ley PIC” (Ley 8/2011) por la que se establecen medidas para la Protección de las Infraestructuras Críticas exige la realización periódica de Simulacros como medida preventiva. 127