Mª Carmen Bauset Doctora en Informática por la Universidad de Valencia.  Gerente senior de la oficina de gobierno TI en Indra Ver perfil en Linkedin

Es una realidad que el perfil de riesgo del entorno en el que están operando las compañías desde la pandemia, es de gran volatilidad y de interconexión a escala global, lo que incrementa la complejidad de su mitigación. Esta situación ha puesto como riesgo de primer nivel el de la continuidad de negocio de todo tipo de empresas, bien porque se vean impactadas de forma directa como indirecta.

Esto, unido al incremento de riesgos externos como el de ciberseguridad, cadena de suministro, precio de la energía, entre otros, han hecho que el riesgo de continuidad de negocio deje de percibirse como un riesgo nicho relacionado a áreas operativas o relacionado con los daños físicos, para percibirse como un riesgo transversal en la compañía, para el que la mitigación más eficaz pasa por la implantación de un sistema de continuidad de negocio que cubra las áreas más críticas de la actividad.

Adicionalmente, los clientes nos piden cada vez más que evidenciemos que estamos preparados para afrontar una amenaza que pueda poner en jaque la organización, tener una certificación de reconocimiento internacional como la norma ISO 22301 es una garantía de ello que les transmite confianza. Por otro lado, certificaciones como CMMI y el Esquema nacional de seguridad solicitan también requisitos de continuidad, así que tener la certificación ISO 22301 es una gran ayuda. Y por último vemos cada vez más ofertas y pliegos que solicitan la certificación ISO 22301, así que no es de extrañar que se haya incrementado notablemente el interés de implantar en las organizaciones un sistema de gestión de continuidad de negocio.

Las organizaciones que ya gestionen sus servicios en base los procesos de la norma ISO/IEC 20000 y estén interesados en implantar la norma ISO 22301, lo tienen más fácil ya que les va a servir de ayuda.

La norma ISO/IEC 20000:2018 sigue la estructura del anexo SL que facilita en general la integración con otros sistemas de gestión, al compartir puntos comunes como: el contexto, liderazgo, planificación o gestión de mejoras.

La norma ISO 20000 es un sistema de gestión que te ayuda a gestionar los servicios siguiendo un enfoque de procesos integrado. Y hay un proceso concretamente que es la gestión de la continuidad cuyos requisitos normativos, nos facilitan tener un procedimiento de continuidad del servicio y un plan de pruebas basado en unos escenarios que deberían salir del análisis de riesgos, no es algo caprichoso que dejemos al azar.

¿Donde está el mayor esfuerzo a realizar, si queremos implementar la ISO 22301 teniendo ya la ISO 20000?

La ISO 22301 se basa en 4 pilares:

• Los activos de TI que nos hacen falta para recuperar el servicio ante un caso de catástrofe
• Las personas implicadas, no solo técnicas sino las de las áreas usuarias o negocio que dado el momento estarían afectadas y deben estar entrenadas
• Los proveedores: rara es la empresa que hoy en día no se apoye con algún proveedor para prestar sus servicios con la evolución al cloud y modelos de outsourcing.
• Las ubicaciones implicadas, aunque con el teletrabajo haya cambiado bastante el panorama.

Pues bien, los que tienen implantada la ISO 20000 ya tendrían el primer pilar, así que deberían focalizarse en los otros 3 sobre todo. Adicionalmente, a nivel normativo tendrán que elaborar: una nueva política de continuidad, un procedimiento, así como constituir nuevos órganos llamados comités de dirección y técnico. A continuación, podremos ver otros documentos clave necesarios y su interrelación:

Como consejo, aunque la certificación esté acotada a ciertos servicios, hacer un ejercicio holístico e identificar las dependencias de los servicios del alcance con otros servicios cross como puedan ser las comunicaciones, lo cual nos permitirá tener la garantía de recuperar full los servicios en caso de desastre. Y preparar los simulacros con todos los responsables de los servicios incluyendo éstos últimos.

A nivel de medición, que ya sabéis que es un tema que suelo referenciar en los artículos dada su importancia. Podemos establecer un modelo de cuadros de mando en cascada de modo que siguiendo un enfoque botton up, los kpi’s más técnicos del proceso de continuidad de la ISO 20000, podrían ser uno de los pilares como he comentado anteriormente de la ISO 22301 que complementaríamos con Kpi’s de los otros 3 pilares como: % personas perfil técnico que han participado en los simulacros, % personas del negocio que han participado en los simulacros, % personas formadas, % proveedores que incluyen requisitos continuidad en sus contratos, % ubicaciones implicadas en simulacro... A su vez este cuadro de mando podría alimentar uno de los KPI’s del BSC gobierno, siendo un objetivo estratégico de negocio evidenciar a nuestros clientes que estamos preparados para afrontar una amenaza del tipo ya mencionado.

Como valor añadido la certificación de continuidad servirá a las áreas de sistemas, para fortalecer los lazos y mejorar la interrelación con otras áreas de la organización que directa o indirectamente puedan verse implicadas como: las áreas de negocio, seguridad física, servicios generales, riesgos, etc. Y por otro lado destacar que realizar el ejercicio del Business impact análisis con el negocio, hace que el RTO, el tiempo de recuperación admisible para el negocio en caso de desastre, esté definido por el área usuaria siendo un requisito que se traslade a sistemas para buscar soluciones técnicas que cubran dicha necesidad y no al revés.

Por último, animaros los que estáis pensando ir a por ello, que hay bastantes ventajas y la cosa es más fácil si venimos de la ISO 20000. Ahora sí, no os voy a engañar el primer año con la implantación se requiere mayor esfuerzo, pero la formación y los planes de difusión son de gran ayuda.

Espero haberos podido ayudar, aunque sea un poco, con este artículo con enfoque teórico-práctico que no pretende responder a todas vuestras inquietudes ya que sería demasiado osado en unas pocas líneas, pero sí despertar “la famosa bombillita”, símil que suelo utilizar asociado a despertar interés y curiosidad.