Dijo Murphy: “Si algo puede salir mal, saldrá mal”. Añado aquello de “Todo objeto inanimado, por definición, es hostil”.
No era consciente de mi dependencia de los servicios TIC hasta que los perdí.
Los servicios TIC constituyen una base en cualquier organización para el desarrollo de sus actividades, y su pérdida puede comprometer seriamente el modelo de negocio corporativo. Las organizaciones deben adoptar, adaptar y aplicar medidas de Gestión de la Continuidad para tratar los eventos disruptivos sobre sus servicios TIC y, por ende, sobre sus actividades, siendo su enfoque como sistema de gestión el medio ideal para conseguir sus objetivos, dentro de un SGSI global.
Sistema de Gestión de la Continuidad de Negocio (SGCN)–Referenciales.
La construcción de un SGCN dispone de normas referenciales, en este caso la familia cuya matriz es la norma certificable ISO 22301:2019- Security and resilience — Business continuity management systems — Requirements, acompañada de un amplio conjunto de normas complementarias que desarrollan puntos de la norma matriz y, por tanto, facilitan su implementación, destacando entre ellas ISO/TS 22317:2021-Security and resilience — Business continuity management systems — Guidelines for business impact analysis, y también UNE-EN ISO 22313:2020 – Seguridad y resiliencia. Sistemas de gestión de la continuidad del negocio. Directrices para la utilización de la norma ISO 22301.
ERRORES Y CARENCIAS HABITUALES EN LA GESTIÓN DE LA CONTINUIDAD.
Error 01 – Iniciativas de Informática sin refrendo corporativo.
Las iniciativas en materia de continuidad se lanzan frecuentemente desde el área de Informática, aplicando criterios técnicos que, si bien pueden ser válidos desde el prisma puramente técnico, olvidan que los servicios TIC deben soportar el modelo de negocio corporativo y, por ende, no pueden aislarse de los objetivos de continuidad establecidos por sus directivos responsables. Es habitual encontrar iniciativas basadas en criterios decididos por CIO/CISO sin haber consultado, ni mucho menos obtenido la aprobación, de los estamentos directivos afectados por estas decisiones.
La participación directa, activa e informada de los estamentos directivos son fundamentales para determinar los parámetros básicos del BIA (RTO-MBCO, RPO, recursos, dependencias, etc), los cuales deben ser aprobados por Dirección.
Por otra parte, debe recordarse que “disponibilidad y resiliencia” son también requerimientos del RGPD.
Error 02 – BIA, Planes de continuidad y procedimientos no documentados adecuadamente.
Es habitual encontrar BIA, planes de continuidad y procedimientos no documentados o con una documentación que, nuevamente, sólo contempla aspectos técnicos, dejando sin cubrir actuaciones sobre aspectos jurídicos, contractuales, reputacionales, comerciales, comunicaciones, recursos humanos y materiales internos y externos, infraestructuras y financieros, resultando en planes incompletos que sólo serían efectivos ante disrupciones técnicas sin trascendencia en los aspectos mencionados anteriormente.
En la elaboración del BIA, planes y procedimientos deben participar todas las áreas corporativas bajo un prisma de integración de roles y responsabilidades en las actuaciones a desarrollar y, en todos los casos, bajo una directriz formal de Dirección obligando a todos los actores a cumplir con lo requerido en cada escenario. La documentación debe mantenerse permanentemente actualizada, protegida y disponible.
Otra carencia habitual es la falta de una detallada, actualizada y documentada apreciación de riesgos, actividad nuclear para el proceso.
ERROR 03 – Pruebas incompletas de los planes y procedimientos de continuidad.
Las pruebas de los planes y procedimientos de continuidad pueden ser complejas, costosas e incluso peligrosas si no se tienen en cuenta sus riesgos inherentes, pero lo que resulta inasumible es no realizar pruebas que permitan verificar que, en caso de ocurrencia de un evento disruptivo real, los planes y procedimientos aportan capacidades reales de recuperación alineadas con RTO-MBCO y RPO.
El diseño de las pruebas debe realizarse para cada uno de los planes de continuidad diseñados, contemplando todas las actividades contenidas en el mismo y especificando las métricas que permitan determinar su grado de cumplimiento respecto a los objetivos marcados. Las pruebas deben incluir los procedimientos a seguir con su versión vigente. Por supuesto, debe realizarse una evaluación de riesgos de la propia prueba y tomar las medidas pertinentes para mitigarlos a niveles asumibles.
Cada prueba realizada debe registrar los valores obtenidos para sus métricas y obtener indicadores de cumplimiento respecto a los objetivos marcados. Las pruebas que no alcancen el cumplimiento de los objetivos deben ser analizadas inmediatamente para determinar las causas y adaptar los planes convenientemente, pudiendo ser necesario reconsiderar RTO-MBCO y/o RPO por parte de Dirección.
Uno de los errores más habituales en las pruebas de los planes de continuidad consiste en trabajar con “hipótesis única favorable”, es decir, suponer que todos los recursos previstos van a estar disponibles. Esta hipótesis puede cumplirse en las pruebas, pero es necesario desarrollar supuestos menos favorables (y más realistas) donde recursos técnicos, humanos e infraestructuras no estén disponibles en porcentajes determinados.
Un medio de prueba cada vez más utilizado consiste en el desarrollo de ejercicios de simulación (tabletop excercises), donde pueden simularse numerosos escenarios y evaluar el desempeño, principalmente de los recursos humanos, en los planes y procedimientos de continuidad.
ERROR 04 – Me voy a la nube pero no verifico lo que contrato.
Los proveedores de servicios en la nube, al menos los más relevantes, suelen disponer de certificación sobre ISO 22301:2019, pero esta certificación no garantiza en absoluto que cualquier servicio que se contrate con ellos quede automáticamente englobado dentro del contexto de “alta disponibilidad” que conlleva la certificación. De hecho, todos ellos ofrecen opciones (pagando) que aportan la mencionada “alta disponibilidad” a los servicios básicos que ofrecen como punto de partida. Por tanto, siendo altamente recomendable utilizar servicios en la nube con certificación ISO 22301:2019 (y certificación ENS si sois Administración Pública) deben estudiarse detalladamente las opciones a contratar para que los planes de continuidad queden efectivamente reflejados en ese contrato.
Conclusiones
La “necesidad de continuidad” está muy clara, pero su materialización no tiene, en un alto porcentaje de organizaciones, un enfoque adecuado para conseguir unos objetivos que ni siquiera están definidos ni aprobados por Dirección en la mayoría de los casos, resultando en “sorpresas” perfectamente alineadas, eso sí, con las Leyes de Murphy.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.