En el presente artículo se analiza la gestión de la continuidad de negocio o BCM, donde se utilizan estándares como BS-25999-1/2 (que minimiza el riesgo de posibles trastornos en las operaciones continuadas debido a un desastre o a un incidente menor y particularmente relevante para organizaciones que operan en entornos de elevado riesgo), BS-25777 (más específico para la gestión de la continuidad de las TIC).

La BCM preside la seguridad de la información en situaciones de crisis, es clave para todas las organizaciones en la sociedad actual

donde se debe proteger al personal, a  infraestructuras, a TIC, se debe preservar la reputación y se debe proporcionar la capacidad para poder continuar las operaciones y el comercio como B2B, B2C, etc. La BCM es un proceso de gestión integral que posibilita estar preparado en este mundo tecnológico de cambios, incertidumbres y gran turbulencia y guarda relación con tecnologías de disponibilidad como backups, hot-sites, warm-sites, cold-sites, SAI-UPS, RAID, redundancia, etc. El estar preparado para afrontar incidentes-desastres debe ser el enfoque en vez de esperar a posibles crisis y resultados de auditoría. Los resultados del estudio de GSISS’08 (Global State of Information Security Survey 2008) realizado en España por PricewaterhouseCoopers revelan que la inversión en seguridad de la información continúa estando principalmente dirigida por las funciones de Continuidad de Negocio y Recuperación ante Desastres con un 40% en 2008 y un 55% en 2007. Así mismo, en relación a los cargos directivos asociados con la seguridad: los CEO (Chief Executive Officer), CFO (Chief Financial Officer) y CIO (Chief Information Officer; directivo que se sienta al lado de TI de la mesa) indican como principal factor que condiciona la inversión en seguridad de la información a la Continuidad de Negocio y Recuperación ante Desastres, en cambio los CISO (Responsables de Seguridad de la Información) indican como principal factor el cumplimiento regulatorio. Por tanto entre las principales preocupaciones de tienen los CEOs y CIOs, la continuidad de negocios es una prioridad. Ha llegado a ser una necesidad clave para sobrevivir en la actual economía turbulenta basada en tecnología. Consecuentemente la continuidad de negocios debe asegurarse a implantarse como una disciplina y no solamente como un requisito de auditoría. Algunas razones comunes que se pueden identificar ante la no preparación de algunas organizaciones frente a situaciones de crisis son: la carencia de concienciación del daño potencial, la incapacidad para aprender de las experiencias de otros o de las propias y la negación de la realidad donde día a día crece el número de vulnerabilidades y amenazas. Todo aquello que prevenga la realización de los objetivos de negocio de una organización es un riesgo y se deben tomar medidas de prevención, detección y reacción. Algunas razones de la continuidad de negocios son: necesidad de entrega de servicio continuo, protección de personas y activos, crecimiento de las vulnerabilidades de materialización de amenazas y régimen de cumplimientos. Según un informe de IDC el coste de un incidente en la seguridad de la información puede oscilar entre 15.000 y 6 millones de euros, dada la creciente sofisticación de los atacantes, este costo crecerá durante los próximos años, el coste del problema supera con creces el costo de su solución. Según el IDC el mercado de la seguridad incrementará su volumen de negocio hasta los 7.300 millones de dólares a finales del 2010, lo que significa una media anual de crecimiento del 11%.

Terminología. Caracterización de las contramedidas
Un incidente es un evento que si no se controla conducirá a múltiples impactos. Un desastre es un evento no predecible, desastroso, no planificado y súbito que causa un gran daño o pérdida o también cualquier evento que crea una incapacidad de una parte de las organizaciones para proporcionar funciones de negocios críticas, por ejemplo terremotos, huracanes, bombas por parte de terroristas, pérdida masivas de datos personales de los clientes de una entidad financiera, DDoS, etc. Como posibles características de un desastre:

(i) Es impredecible. (ii) Puede destruir de vidas humanas o afectar negativamente a la salud de las personas. (iii) Puede generar pérdida de propiedades, infraestructuras, instalaciones, software, datos, hardware, etc. (iv) Genera impacto financiero. (v) El impacto puede ser a diferentes niveles: individuos, organizacional, de comunidad, nacional e internacional.

La gestión de la continuidad de negocios o BCM (Business Continuity Management) tiene que ver con la disponibilidad de procesos y recursos para asegurar una realización continuada de los objetivos críticos; pueden utilizarse métodos como: BS-25999, BS-25777, HB 292 (permite realizar el ciclo de vida BCM, incluye plantillas), FEMA 141 (se enfoca en BCM con una planificación de emergencias, incluye una sección muy detallada sobre gestión de incidentes), BCI GPG, APS 232, TR 19. La BCM es el proceso de gestión integral que identifica los impactos potenciales que amenazan una organización y proporciona un marco para construir resiliciencia organizacional con capacidad de una respuesta efectiva que salvaguarde los intereses de sus stakeholders clave, cerebro y valor que crea actividades. La BCM debe estar totalmente integrada en las organizaciones como un proceso de gestión embebido.
La planificación de la continuidad de negocios o BCP (Business Continuity Planning) hace referencia a la capacidad para mantener la disponibilidad constante de sistemas, aplicaciones e información crítica a través de la organización; también puede definirse como un conjunto de procedimientos documentados y de información que se desarrolla compila y mantiene a punto para su uso en un incidente para permite que una organización continúe realizando las actividades críticas a un nivel predefinido aceptable. La BCP se enfoca fuertemente en los negocios.

La gestión y planificación de emergencias o EP/EM (Emergency Planning and Management) es el proceso que resulta de un conjunto de procedimientos acordados para prevenir, reducir, controlar, mitigar y tomar otras acciones en el caso de una emergencia civil que impacte en la organización; pueden utilizarse métodos como: BS 25999/UK, NFPA-1600, FEMA-141 e ISO PAS 22399.
La continuidad del servicio de tecnologías de la información o ITSC (Information Technology Service Continuity) soporta la BCM asegurando que los componentes TI (Tecnologías de la Información) requeridos puedan recuperarse con las escalas de tiempo de

negocios requeridas y convenidas; pueden utilizarse métodos como: PAS 77, BS 25777, NIST 800-34. La planificación de la recuperación de desastres o DRP (Disaster Recovery Planning) integra los procedimientos para restaurar la operatividad del sistema, aplicación o instalación de computadores destino; pueden utilizarse métodos como: NIST 800-34 (se enfoca en la continuidad del servicio TI, incluye una buena sección sobre BIA. Describe estrategias para el mantenimiento de la disponibilidad TI). Permite la restauración temporal e inmediata de las operaciones de red o de computación dentro de marcos temporales definidos después de que haya ocurrido un desastre; también se define como un conjunto de procedimientos documentados e información necesaria para reanudar las capacidades de computación normales asociadas con procesos críticos de negocios. La DRP se enfoca fuertemente en la tecnología.

El análisis del impacto en los negocios o BIA (Business Impact Analysis) hace referencia a las acciones necesarias para identificar los impactos del cliente, los impactos financieros, los impactos de reputación y otros impactos del negocio relacionados y valorarlos en base a su criticidad para la continuidad del negocio.

Importancia de la continuidad de negocios
Existe un creciente número de razones que justifican la continuidad de negocios: (i) Ningún sistema es a prueba de imprudentes. (ii) Aunque se hayan identificado los riesgos de TIC y de seguridad de la información por ejemplo pérdida de datos, fallo del sistema, ataques de virus, etc., aunque se haya determinado el nivel de aceptación de riesgo, aunque se hayan mitigado los riesgos que pueden tratarse, aunque se hayan implementado controles, por ejemplo mecanismos de cifrado, prevención de intrusiones, monitorización de red y aunque haya gestionado de forma proactiva los riesgos aún puede desencadenar en un incidente.

Justificación de la necesidad y beneficios de BCP y DRP
Algunas de las razones que justifican BCP/DRP son: (i) El cumplimiento regulatorio. Existe un creciente número de reglamentos y estándares a cumplir. Normalmente el sector esta basado en SOX, PCI DSS, ISO-27001, BS-25999, BS-25777:2008 (gestión de continuidad TIC, es más concreto que el BS-25999 bajando a detalles como por ejemplo hablar de centros alternativos y de procedimientos específicos de TIC), HIPPA, GLBA, FISMA, CUBG, FERPA, MiFID, LSSI-CE, LOPD-RMS, LISI, etc. (ii) La necesidad de los negocios. Para minimizar las pérdidas. Según Jim Hoffer de Health Management Technology sólo el 6% de las organizaciones que sufren una pérdida de datos catastrófica logra sobrevivir, mientras el 43% nunca vuelve a reabrir y el 51% cierra en el plazo de dos años. (iii) La protección de personas y activos. (iv) Crecimiento de vulnerabilidades de materialización de amenazas. (v) Necesidad de la realización continua del servicio.

Los principales beneficios que se obtiene de BCP/DRP son: (1) Identifica de forma proactiva los impactos de un trastorno operacional. (2) Proporciona una respuesta efectiva que minimiza el impacto en la organización. (3) Mantiene la capacidad para gestionar los riesgos no asegurables. (4) Fomenta el trabajo entre equipos. (5) Puede mejorar la reputación y ventajas competitivas de las organizaciones en su capacidad para mantener, entregar y recuperarse de un desastre.

Fases de un programa BCM
Las fases de un programa BCM son: (1) Preparación. Se identifica el negocio, en que situación se encuentra la organización, qué consecuencias tendrían una crisis o desastre probable, los objetivos, cual debería ser la inversión inicial (presupuesto), quienes serían los responsables de su iniciación y seguimiento (CEO, CFO, CIO, CRO, CEO, responsable del negocio, etc.) y cuando debería arrancar y cuando debería finalizarse. Un enfoque útil es BS 259999 con la

parte 1 de código de prácticas y la parte 2 de especificación. El modelo PDCA (Plan-Do-Check-Act) se aplica a la BCM. (2) Entender la organización. Nombramiento de una persona para implantación BCM, desarrollar la política BCM, realizar un BIA, determinar las líneas críticas de misión del negocio. El objetivo del BIA es valorar a lo largo del tiempo los impactos (descenso del nivel de rendimiento) que ocurrirán en las actividades que soportan los servicios y productos claves. Un documento BIA tiene como cabecera; proceso de negocios, impacto, mínimo nivel de rendimiento esperado, RTO, tiempo necesario para reestablecer el servicio al completo y otras dependencias. La forma de operar el BIA es: (i) Seleccionar las entidades que intervienen. (ii) Valorar los impactos a lo largo del tiempo que trastornan a la actividad. (iii) Establecer el MTPOD (Maximum Tolerable Period Of Downtime) también denominado MTD (Maximum Tolerable Downtime), el RTO (Recovery Time Objetive), el TTRNO (Time To Resume Normal Operations) donde MTPOD = RTO + TTRNO. (iv) Identificar interdependencias, por ejemplo personas, soporte de la infraestructura, recursos. (v) Priorizar proceso de recuperación y ganar consenso. (3) Valorar riesgos. Se compone de: (i) Determinar los criterios de aceptación de riesgos. (ii) Determinar el nivel aceptable de riesgo. (iii) Analizar los riesgos para estar preparados. (iv) Realizar un análisis de gap para mitigar los riesgos. (4) Determinar estrategias y opciones BCM. Como resultado de una valoración de riesgos en combinación con el BIA, la organización debería identificar medidas que: (i) Reduzcan la probabilidad de un trastorno. (ii) Acortar el período de trastorno. (iii) Limitar el impacto del trastorno. Son medidas de tratamiento del riesgo y mitigación de pérdidas. Tener en cuenta que no todos los riesgos pueden prevenirse o reducirse. Las estrategias de mitigación de pérdidas pueden utilizarse junto con otras estrategias: continuidad de negocios, la aceptación, la transferencia y el cambio, suspensión o terminación. Pueden necesitarse estrategias para la recuperación de los siguientes recursos organizacionales: personas, infraestructuras físicas, infraestructuras técnicas, información, procesos de negocios, stakeholders (entidades que pueden afectar o verse afectadas por la organización). (5) Desarrollar e implementar respuestas BCM. Se trata de desarrollar los planes de respuesta y documentación. Para ello: (i) Reconocer el incidente o potencial incidente. (ii) Proceder al escalado del incidente. (iii) Activar la respuesta de continuidad de negocios apropiada. (iv) Considerar si se tendrán recursos para soportar el plan. (v) Comunicarse con los stakeholders. Los componentes de una respuesta de emergencia son: (a) Procedimiento de escalado interno. (b) Procedimiento de notificación de emergencia. (c) Respuesta integrada: procedimientos de seguridad de vidas, protección de la propiedad- seguridad física, protección de la tecnología y protección de la organización. (d) Procedimientos y responsabilidades de formación. La gestión de crisis implica: acción de respuesta a nivel de tierra, escalado del incidente, marco de gestión del incidente, política de comunicación a los medios, control central, asistencia a personas y continuidad y recuperación de actividades críticas. (6)  Embeber BCM en la cultura de la organización. El construir, promocionar y embeber una cultura BCM dentro de la organización asegura que se convierta en una parte de los valores del núcleo de la organización y posibilita una gestión efectiva. Se consigue creando concienciación y realizando formación. (7) Testear-ejercitar. Ejercitar y entrenar a las personas, utilizar procedimientos de evacuación, crear árbol de llamadas. Realizar test en equipos, tecnologías, servidores, UPS-SAI, redes de telecomunicaciones, etc. Posibles tipos de test son: checklist, walkthrough estructurado, simulación, paralelo, test de estrés, total interrupción, de sorpresa, exhaustivo, modulares/de componentes, funcionales, etc. (8) Monitorizar y mantener (objetivo de mantenimiento). Se deben gestionar los incidentes a pesar de posibles cambios en la organización o del entorno. Una revisión puede activarse debido a: cambio del proceso de gestión, autovaloración, auditoría interna/externa o por entrenamiento o test.

Estándares y guías en BCM
El NIST en su documento SP800-34 describe una guía para la planificación de continuidad de los sistemas de tecnologías de la información, que se estructura en los siguientes puntos: (1) Desarrollar una declaración de política de planificación de continuidad. (2) Llevar a cabo un análisis de impacto en los negocios. (3) Identificar controles preventivos. (4) Desarrollar estrategias de recuperación. (5) Desarrollar el plan de contingencias. (6) Comprobar el plan y llevar a cabo formación y ejercicios. (7)

Mantener el plan. El BSI (British Standards Institute) en su código de buenas prácticas BS25999 relativo a la gestión de continuidad de negocios establece los siguientes puntos: (1) Establecer la política de gestión de continuidad de negocios. (2) Gestionar el programa BCM (Business Continuity Management). (3) Entender la organización. (4) Desarrollar e implementar una respuesta BCM. (5) Ejercitar, mantener y revisar los acuerdos BCM. (6) Embeber la BCM en la cultura de la organización. El estándar del ISO 27001 relativo a la gestión de la seguridad de la información incluye seguridad de información en el proceso de gestión de continuidad del negocio, posibilita una valoración de riesgos y de continuidad de negocio, permite desarrollar e implementar planes de continuidad incluyendo seguridad de la información. Posibilita un marco de planificación de continuidad de negocios y permite comprobar, mantener y re-valorar los planes de continuidad de negocios.
Consideraciones finales
Nuestro grupo de investigación lleva trabajado en la síntesis-diseño, análisis, implantación, valoración y evaluación de programas BCM desde más de doce años utilizando diversas estrategias y métodos en combinación con análisis-gestión de riesgos. Identificando riesgos e impactos y desarrollando contramedidas a todos los niveles técnicas, administrativas, etc.

Más información o presupuesto

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates 2005-2007. European Commission).

Bibliografía

- Areitio, J. “Identificación y análisis de servicios y mecanismos de seguridad de la información”. Revista Conectrónica. Nº 97. Mayo 2006.
- Areitio, J. “Análisis de la medida y de las métricas de seguridad de la información”. Revista Conectrónica. Nº 92. Noviembre 2005.
- Areitio, J. “Implicación de la seguridad de la información en la gestión de servicios TIC basada en ITIL”. Revista Conectrónica. Nº 110. Septiembre 2007.
- Areitio, J. “Integración sólida entre la gestión de incidentes y el análisis forense de seguridad de la información”. Revista Conectrónica. Nº 103. Enero 2007.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2008.
- Benantar, M. “Access Control Systems: Security, Identity Management and Trust Models”. Springer-Verlag. New York, Inc. 2005.
- Hills, A. “Definitive Handbook of Business Continuity Management”. John Wiley and Sons. 2007.
- Solms, S.H. von “Information Security Governance”. Springer. 2008.
- Walsh, T.R. “A Manager’s Guide to Handling Information Security Incidents”. Auerbach. 2009.
- Blyth, M. “Business Continuity Management: Building an Effective Incident Management Plan”. Wiley. 2009.
- Hare-Brown, N. “Information Security Incidents Management: A Methodology”. BSI Standards. 2007.
- Elliot, D. “Business Continuity Management: A Critical Management”. Routledge. 2009.
- Schmidt, K. “High Availability and Disaster Recovery: Concepts, Design, Implementation”. Springer. 2006.
- Snedaker, S. “Business Continuity and Disaster Recovery Planning for IT Professionals”. Syngress. 2007.

Autor:
Prof. Dr. Javier Areitio Bertolín
Catedrático de la Facultad de Ingeniería. ESIDE.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .