V Conferencia Internacional sobre Continuidad de Negocio
En el incomparable marco (aunque suene pedante, hay que reconocer que lo es… digo incomparable, por si acaso) del Hotel Ritz de Madrid, en la mañana de hoy -23 de mayo- he asistido a la V Conferencia Internacional de Continuidad de Negocio, y aunque el título de la Conferencia era “El camino hacia la ISO 22301”, hemos tenido la gran suerte de que esta conferencia se celebre transcurrida solo una semana de la aprobación definitiva de la norma, configurándose por tanto como el segundo evento a nivel mundial que se celebra tras la publicación de esta norma, siendo el primero sólo la presentación en sociedad de la misma celebrada ayer en París…
La organización ha resultado francamente buena y el nivel de los ponentes mucho más que aceptable, por ello, mi enhorabuena a BSI España.
Comenzó el evento D. Marcio Viegas, Director General del BSI, dando la bienvenida a los cerca de 200 asistentes y, tras realizar una breve presentación del BSI, hizo una presentación de la nueva norma basada, entre otras, en la BS 25999. Se trata de una norma “de requisitos”, y por tanto, certificable; está basada en el ciclo PDCA o de mejora continua. No se trata en absoluto de una norma para reducir costes, sino para proteger la imagen de marca, la reputación o las actividades de creación de valor en la empresa.
Como punto de partida para su implantación en cualquier organización, se exige un profundo conocimiento de la misma. Pero además, no sólo es preciso tal conocimiento, sino que además, el liderazgo se configura como imprescindible: sin una total implicación de la alta dirección, resulta imposible su adopción… De hecho, la norma incluye varios “controles” que se convertirán en evidencias auditables de tal compromiso… Casi en el plano anecdótico, resaltar que esta norma rebaja el nivel de exigencia de documentación, que suele ser uno de los “peros” con que siempre cuenta cualquier sistema de gestión.
Tras su intervención, D. Agustín Lerma, Director de Producto de Continuidad de Negocio de BSI tomó la palabra para dejar claro que se hace precisa la integración de los Sistemas de Gestión dentro de cualquier organización: mantener los diferentes sistemas de forma aislada (ISO 9000, 14000, 20000, 27000…) resulta caro e ineficiente.
La ISO 22301 es el primer estándar totalmente alineado con la ISO 83, que trata de homogeneizar estos sistemas de gestión. Introduce términos como entorno, partes interesadas, liderazgo… y destaca como objetivos del Sistema de Gestión de Continuidad de Negocio la definición de alcance adecuado, las expectativas de partes interesadas, factores internos y externos, requisitos regulatorios, el apetito o aversión al riesgo, que los objetivos fijados resulten alcanzables…
En relación al compromiso de la dirección, destacó igual que hizo su predecesor en el uso de la palabra, que debe ser evidenciable.
Tras él, intervino Mr. Dave Austin, miembro del Comité de ISO para el desarrollo de la norma en análisis. Destacó que mientras la ISO 22301 es la norma que fija los requisitos, se espera que la ISO 22313 se publique el próximo año y contenga el documento guía para el cumplimiento de la primera. Realizó un breve repaso por los antecedentes que nos llevan hasta la 22301 y desarrolló, dentro de lo limitado del tiempo de que dispuso por razones de organización, de forma breve el contenido y principales características y requisitos de la norma.
En relación alcance, defendió que es necesario que cada organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los requisitos fijados por las partes interesadas. Este aspecto resulta interesante, ya que no requerirá el mismo nivel de documentación una organización con 20 empleados que otra con 20.000. Además especificó que la nueva norma cubre los requisitos legales y reguladores de forma mucho más explícita de lo que lo hacía la BS 25999 y, como ya se ha comentado, refuerza la necesidad del compromiso de la alta dirección. Resaltó que la norma en su capítulo dedicado al Soporte, no olvida que son las personas las que toman las decisiones cuando se materializan los riesgos, y que cada uno tiene que ser consciente de su papel.
Para su implementación, debe contarse con un análisis de impacto del negocio y el mismo, requiere evaluar los riesgos y en ese sentido, la ISO 22301 está alineada, también con la ISO 31000 de Gestión del Riesgo.
Otro de los factores que no conviene olvidar es el relativo a la política de comunicaciones y advertencias cuando se materializan los riesgos, tanto a las partes interesadas, como de forma interna. Y no menos importante resulta que el plan sea testeado mediante la realización de pruebas y simulacros, pero no por hacerlos, sino bien controlados y documentados para que de ellos, podamos extraer consecuencias y aprendizaje.
Para finalizar, tal y como se ha dicho, estamos ante una norma basada en el ciclo de mejora continua, por lo que no menos importante resultarán tanto la evaluación del desempeño (que precisará de su correspondiente sistema de indicadores y métricas) y la parte dedicada a mejoras, en forma tanto de acciones correctivas para solventar posibles no conformidades, como acciones de mejora.
Tras esta interesantísima intervención, partcipó D. Fernando Picatoste, Socio del Área de Riesgos Tecnológicos de Deloitte. En su participación, dejó claro que disponer del plan de continuidad tan sólo es el primer paso… Luego hay que mantenerlo vivo… Para avanzar en madurez de gestión de continuidad se hace preciso:
-
Involucración de la alta dirección: Muchas decisiones deben activarse desde la alta dirección.
-
Disponer de un completo análisis de riesgos: en este sentido resulta importante contar con un catálogo de riesgos y amenazas bien clasificado y completo. También será preciso mantener actualizado inventario de activos. El método que se emplee debe contemplar los cambios que se producen en uno y otro (catálogo de riesgos e inventario de activos).
-
Planes de gestión de crisis y de respuesta a emergencias: ante incidencias leves, igual no es preciso activar el Plan de Continuidad, sino el de resolución de incidencias leves. Un equipo que gestiona la crisis, debe contar con información fiable y en tiempo real.
-
Revisión del Plan: Se precisa analizar los cambios que se producen en el entorno (ya sea en el negocio, en la organización, en los requerimientos regulatorios…). Pueden aparecer nuevos escenarios de riesgos, cambios en las infraestructuras…
-
Formación y concienciación.
-
Realización de ejercicios y pruebas. Es imprescindible involucrar a la dirección, programar pruebas y simulacros… Medirlos, documentarlos…. También es importante tratar de aprender de ello.
-
Mejora continua. Fundamental identificar y solucionar las debilidades
Tras un café y la correspondiente dosis de networking en la terraza del hotel, D. Andrés González, Consultor de Seguridad de la Información de Near Technologies, hizo un breve repaso a las enseñanzas que se pueden sacar de cómo se gestionó la crisis del tsunami de Japón y la central de Fukushima, así como del accidente en Barajas del avión de Spanair…
Posteriormente, D. Ángel Escorial, Vocal de la Junta Directiva de AGERS, apuntó algunos aspectos de la ISO 31000 de Gestión de Riesgos (norma breve y no certificable, también basada en el ciclo de mejora continua) y sobre todo, en cómo se integra esta gestión de riesgos en la continuidad de negocio. Afirmó que la gestión de riesgos es generalista y proactiva, mientras que la continuidad de negocio se entiende como especialista y reactiva. La Gestión de Riesgos funciona bien para fenómenos conocidos y sucesos no extremos, mientras que la Continuidad de Negocio se basa en impactos y escalas de tiempos.
En definitiva, la ISO 31000 aporta a la ISO 22301 un marco integral, sistemático y adaptable para la gestión de riesgos.
Por último, Mr. David Clarke, Business Continuity Manager de O2 (o Telefónica Reino Unido, como prefieran) hizo un repaso por el proceso de implantación y certificación a que se sometieron en su empresa…
Y digo por último y digo mal, ya que tras la intervención de Mr. Clarke, seguía un debate que adivino interesante por sus participantes (D. Julio San José de Bankinter, D. Fernando Picatoste y D. Andrés González, todos ellos moderados por D. Marcio Viegas), pero desgraciadamente, tras realizar mi análisis de riesgos, decidí mitigar el de perder mi billete de regreso a Zamora y me vi obligado a abandonar el evento sin aguardar a su conclusión. Afortunadamente, mi plan de prevención de incidencias leves ha funcionado de forma totalmente correcta y les escribo este resumen mientras vuelvo a casa tras dos días de interesantes eventos en tierras madrileñas.
Muy buenas tardes…