Ya hemos hablado en alguna otra ocasión de la confusión alrededor de los conceptos de continuidad de negocio, tanto en lo relativo a continuidad de TI como a los planes de recuperación de desastres. Como el tema es recurrente con diversos interlocutores vamos a tratar de poner un poco más de luz en el asunto.

Continuidad de negocio (Business Continuity) es un concepto fundamentalmente PROACTIVO: ¿Cómo evito o mitigo el impacto de un riesgo?

Algunos de los objetivos de la Gestión de la Continuidad del Negocio (Business Continuity Management) son:

• Evaluar los riesgos potenciales y preparar contingencias para acontecimientos imprevistos, tales como escenarios de desastre.
• Minimizar las interrupciones en las operaciones normales.
• Establecer mecanismos alternativos de operación de antemano.
• Mantener un mínimo nivel de servicio, mientras se restauran las operaciones.
• Proteger las funciones de negocio que ofrecen productos o servicios.
• Minimizar el impacto económico de las interrupciones.
• Capacitar al personal con los procedimientos de emergencia.
• …

Recuperación de desastres (Disaster Recovery) es un concepto fundamentalmente REACTIVO: ¿Cómo me recupero de un desastre y restauro la organización a un estado normal de operación una vez que un riesgo se ha materializado?

El Plan de Recuperación de Desastres (Disaster Recovery Plan) debe establecer los procedimientos para recuperar los procesos y sistemas después de una interrupción. El plan debe incluir:

• Definición de los sistemas, recursos y procesos necesarios para restaurar el servicio a los niveles previos al desastre.
• Definición de las fases de notificación y activación para detectar y evaluar los daños.
• Definición de las actividades, recursos y procedimientos necesarios durante la interrupción de las operaciones.
• Asignación de responsabilidades al personal autorizado para garantizar la coordinación.
• …

Así pues, queda claro que el plan de recuperación de desastres es sólo una parte dentro de la gestión de la continuidad de negocio.

Ayer asistimos a la “II Conferencia Internacional de Continuidad de Negocio BS 25999”, coorganizada por British Standards Institution (BSI) y el Business Continuity Institute (BCI), que tuvo lugar en Barcelona.

La jornada que tenía como subtítulo “Continuidad de Negocio, el ser o no ser de una organización”, sirvió para poner de manifiesto los avances realizados a nivel mundial, durante el pasado año, en la adopción de la norma BS 25999 como estándar para dotar de mecanismos de continuidad de negocio a las organizaciones (BS 25999-1) e implementar un sistema de gestión para ello (BS 25999-2). Recordemos que no hace aún un año desde la presentación de la norma en España.

La jornada sirvió también para trasladar a los asistentes diversas experiencias prácticas en la implantación de mecanismos de continuidad de negocio. Las ponencias en este sentido han corrido a cargo de Julio San José, Gerente de Seguridad de Bankinter (primera y única empresa española certificada BS 25999-2); Roger McLoughlin, Continuity & Risk Assurance Specialist de Vodafone UK; y Tomás Roy y David Forner del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya.

Algunos de los datos presentados y conclusiones de la jornada fueron los siguientes:

• BCI y BSI, lejos de competir, muestran un enfoque complementario y perfectamente alineado, como partners. 
• En este sentido, la última guía de buenas prácticas de continuidad de negocio que ha publicado BCI, ya ha sido recientemente adaptada al vocabulario y principios de la BS 25999-1.
• Actualmente hay 50 organizaciones en todo el mundo que han certificado sus sistemas de gestión de la continuidad de negocio contra la norma BS 25999-2. Hay 100 organizaciones más en proceso de certificación.
• Se confirma que la norma BS 25777  de continuidad de TI no va a tener una parte certificable. Su propósito será sólo el de complementar la BS 25999-1 aportando buenas prácticas en el ámbito específico de continuidad de TI.

Así mismo, se constataron diversos problemas en los procesos de implantación de un Sistema de Gestión de la Continuidad de Negocio (SGCN), entre los que destacamos:

• Confusión. Sigue confundiéndose continuidad de negocio con continuidad de TI, planes de continuidad de negocio con planes de recuperación de desastres, etc. Lo que indica que es preciso seguir fomentando la divulgación de estos conceptos.
• BIA. Existe muy poca información, y menos en la norma, sobre cómo realizar el Business Impact Analysis (BIA), parte fundamental del proceso de implantación del SGCN. En este sentido se apunta a los consejos de la guía del BCI como un buen punto de partida.
• Análisis de riesgos. Al igual que sucede con el análisis de riesgos en un SGSI, se constata un cultura bastante pobre al respecto de los conceptos asociados y su aplicación práctica en continuidad de negocio.
• Alcance de la certificación. Muchas organizaciones certificadas lo están haciendo con un alcance “estrecho”. Esto es un problema si tras obtener la certificación no se amplía progresivamente el alcance. En todo caso, sí es recomendable empezar con el tema de forma progresiva.

Finalmente, y quizás una de las conclusiones que más debiera hacernos reflexionar, es que ya son varias las organizaciones que están adoptando los principios de la continuidad de negocio como modelo de gestión del negocio en su conjunto. Y es que garantizar el servicio continuado a los clientes es una buena forma de garantizar el mantenimiento de los ingresos y una alta reputación. En este sentido, la certificación frente a una norma estándar, aparece como un paso más del proceso de mejora continua en dicha forma de gestión, permitiendo demostrar periódicamente a todos los stakeholders el compromiso con ellos, de manera objetiva y por boca de un tercero independiente. Así pues, parece que la gestión de la continuidad de negocio podría tornarse en una poderosa herramienta de gobernanza.

Para acabar una cita de Charles Darwin que resume muy bien el concepto de resilencia que subyace en los mecanismo de gestión de la continuidad:

“It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change.”

En junio del año pasado tuvimos la oportunidad de asistir a la presentación de la traducción al castellano de la norma BS 25999 sobre Gestión de la Continuidad de Negocio (GCN). Desde entonces se han sucedido los eventos y los artículos sobre el tema, lo que ha contribuido a la difusión de esta norma así como a su progresiva implantación y al incremento de las organizaciones certificadas en ella en nuestro entorno.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.

Hoy en día el volumen de información que gestionan las empresas es inmenso. La facilidad con que las empresas tramitan esta información hace que en muchas ocasiones no se de importancia a la criticidad de la misma, en muchas ocasiones estamos hablando de información estratégica de la compañía, desde información de clientes, proveedores, empleados a datos económicos de la propia empresa, etc.

La dependencia de las empresas en sus sistemas de información es tal, que sin ellos funcionando correctamente se limita, incluso se anula, la continuidad de su negocio, parando su actividad y sin poder suministrar los pedidos a sus clientes, ni atenderles sobre sus demandas, con las consecuencias económicas que ello conlleva.  Estaríamos hablando de cómo gestionar la continuidad del negocio.

Esta Continuidad del Negocio en muchas ocasiones viene provocada por factores externos a la propia compañía, desastres naturales o provocados por el hombre, incendios, terremotos, huracanes, etc, sobre los cuales la empresa no puede actuar per si puede de alguna manera, planificar como reaccionar ante estas situaciones adversas para proder continuar oferciendo a sus clientes el servicio comprometido.

Sólo un 18% de los datos de usuario final están protegidos y el 72% de las empresas se encuentran en alguna de estas tres situaciones: (Datos 2005, www.firstconference.org , Manuel Ballester)

• No tienen un Plan de Continuidad de Negocio
• Si lo tienen nunca lo han probado
• Su plan falló cuando lo probaron

Asegurar el acceso a la información es mucho más que disponer de copias de seguridad, hay que garantizar la existencia de un plan que permita disponer de una infraestructura tal que haga viable el recuperar dicha copia de seguridad en las mismas condiciones que si no hubiera sucedido ningún desastre, garantizando la continuidad de los procesos de la compañía. 

Para trabajar sobre estos riesgos de continuidad de negocio hay que hablar del Proceso de Planificación de la continuidad de Negocio y su recuperación frente a desastres.

Un Plan de Continuidad de Negocio es necesario para el éxito duradero de una organización. Tenerlo implantado no sólo le puede permitir proteger la información crítica de su negocio contra una posible destrucción total sino que permite realizar un trabajo de análisis de los procesos de su negocio y así poder volver a la normalidad en caso de desastre parcial o total de las operaciones diarias.

Existe una metodología basada en el uso de buenas prácticas mundialmente reconocidas y en normas internacionalmente aprobadas basadas en la gestión de riesgos.

La Gestión de Continuidad de Negocio implica un proceso continuo, empezando por un buen conocimiento del entorno de la empresa analizada con el objetivo de que la continuidad forme parte de la propia estrategia de la organización.

http://www.sun.com/emrkt/boardroom/newsletter/spain/0105leadingvision.html

El proceso en su totalidad incluye las siguientes fases:

• Obtener un conocimiento de su negocio a través de la iniciación del proyecto.
• Realizar un análisis de impacto cuyo objetivo es determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos.
• Realizar un análisis de riesgos en el que se valoran los riesgos a los que están expuestos su negocio y más específicamente los procesos críticos identificados en la fase anterior dejando como opciones: eliminar, mitigar o asumir los riesgos valorados.
• Desarrollar unas estrategias de continuidad y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados.
• Documentar los procedimientos a seguir según la estrategia adoptada. Los procedimientos incluyen la planificación de los recursos, la logística y la tecnología necesaria para recuperar los servicios mínimos de su empresa.
• Probar las soluciones de recuperación y realizar ejercicios basados en el Plan para asegurar su buen funcionamiento y para poder actualizar los puntos débiles encontrados durante esta fase.
• Sensibilización y formación de la plantilla al Plan y la importancia que éste tiene para su negocio.

En los EEUU hace muchos años que ya se trabaja en ello, nuestro país aún queda mucho por hacer, pero cada vez se oye hablar más de ello. han sido las grandes corporacione multinacionales que han inciado este trabajo necesario, pero no es así en las pymes, donde en mucahs ocasiones no se valora la gestión del desastre hasta que se ha sufrido, y en donde en ocasiones es dificil de ver el rendimiento de esa inversión.

Pregunto, ¿Cuál es el retorno de la inversión de las pólizas de seguros que tienen contratadas sus empresas?, consideren la inversión en un Plan de negocio en una doble perspectiva:

• Un seguro para garantizar que en caso de desastre pueda recuperar mis datosy segir trabajando.
• Como un trabajo de organización de los procesos de mi empresa lo que permitirá trabajar de una manera más eficaz y eficiente.

Cada vez hay más profesionales que le pueden ayudar a definir su Plan de Continuidad de Negocio, coménteselo a su socio tecnológico.

Hoy en día el volumen de información que gestionan las empresas es inmenso. La facilidad con que las empresas tramitan esta información hace que en muchas ocasiones no se de importancia a la criticidad de la misma, en muchas ocasiones estamos hablando de información estratégica de la compañía, desde información de clientes, proveedores, empleados a datos económicos de la propia empresa, etc.

La dependencia de las empresas en sus sistemas de información es tal, que sin ellos funcionando correctamente se limita, incluso se anula, la continuidad de su negocio, parando su actividad y sin poder suministrar los pedidos a sus clientes, ni atenderles sobre sus demandas, con las consecuencias económicas que ello conlleva.  Estaríamos hablando de cómo gestionar la continuidad del negocio.

Esta Continuidad del Negocio en muchas ocasiones viene provocada por factores externos a la propia compañía, desastres naturales o provocados por el hombre, incendios, terremotos, huracanes, etc, sobre los cuales la empresa no puede actuar per si puede de alguna manera, planificar como reaccionar ante estas situaciones adversas para proder continuar oferciendo a sus clientes el servicio comprometido.

Sólo un 18% de los datos de usuario final están protegidos y el 72% de las empresas se encuentran en alguna de estas tres situaciones: (Datos 2005, www.firstconference.org , Manuel Ballester)

• No tienen un Plan de Continuidad de Negocio
• Si lo tienen nunca lo han probado
• Su plan falló cuando lo probaron

Asegurar el acceso a la información es mucho más que disponer de copias de seguridad, hay que garantizar la existencia de un plan que permita disponer de una infraestructura tal que haga viable el recuperar dicha copia de seguridad en las mismas condiciones que si no hubiera sucedido ningún desastre, garantizando la continuidad de los procesos de la compañía. 

Para trabajar sobre estos riesgos de continuidad de negocio hay que hablar del Proceso de Planificación de la continuidad de Negocio y su recuperación frente a desastres.

Un Plan de Continuidad de Negocio es necesario para el éxito duradero de una organización. Tenerlo implantado no sólo le puede permitir proteger la información crítica de su negocio contra una posible destrucción total sino que permite realizar un trabajo de análisis de los procesos de su negocio y así poder volver a la normalidad en caso de desastre parcial o total de las operaciones diarias.

Existe una metodología basada en el uso de buenas prácticas mundialmente reconocidas y en normas internacionalmente aprobadas basadas en la gestión de riesgos.

La Gestión de Continuidad de Negocio implica un proceso continuo, empezando por un buen conocimiento del entorno de la empresa analizada con el objetivo de que la continuidad forme parte de la propia estrategia de la organización.

http://www.sun.com/emrkt/boardroom/newsletter/spain/0105leadingvision.html

El proceso en su totalidad incluye las siguientes fases:

• Obtener un conocimiento de su negocio a través de la iniciación del proyecto.
• Realizar un análisis de impacto cuyo objetivo es determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos.
• Realizar un análisis de riesgos en el que se valoran los riesgos a los que están expuestos su negocio y más específicamente los procesos críticos identificados en la fase anterior dejando como opciones: eliminar, mitigar o asumir los riesgos valorados.
• Desarrollar unas estrategias de continuidad y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados.
• Documentar los procedimientos a seguir según la estrategia adoptada. Los procedimientos incluyen la planificación de los recursos, la logística y la tecnología necesaria para recuperar los servicios mínimos de su empresa.
• Probar las soluciones de recuperación y realizar ejercicios basados en el Plan para asegurar su buen funcionamiento y para poder actualizar los puntos débiles encontrados durante esta fase.
• Sensibilización y formación de la plantilla al Plan y la importancia que éste tiene para su negocio.

En los EEUU hace muchos años que ya se trabaja en ello, nuestro país aún queda mucho por hacer, pero cada vez se oye hablar más de ello. han sido las grandes corporacione multinacionales que han inciado este trabajo necesario, pero no es así en las pymes, donde en mucahs ocasiones no se valora la gestión del desastre hasta que se ha sufrido, y en donde en ocasiones es dificil de ver el rendimiento de esa inversión.

Pregunto, ¿Cuál es el retorno de la inversión de las pólizas de seguros que tienen contratadas sus empresas?, consideren la inversión en un Plan de negocio en una doble perspectiva:

• Un seguro para garantizar que en caso de desastre pueda recuperar mis datosy segir trabajando.
• Como un trabajo de organización de los procesos de mi empresa lo que permitirá trabajar de una manera más eficaz y eficiente.

Cada vez hay más profesionales que le pueden ayudar a definir su Plan de Continuidad de Negocio, coménteselo a su socio tecnológico.

Las organizaciones se enfrentan a un amplio espectro de situaciones que pueden amenazar la continuidad de las actividades que permiten llevar a cabo el negocio. Algunas amenazas son provocadas deliberadamente, pero muchas otras surgen como resultado de acontecimientos internos o externos inesperados. Acontecimientos recientes demuestran que, aunque relativamente poco probables,  dichas amenazas son reales y no pueden pasarse por alto:

Distribución estadística de amenazas a la continuidad de negocio

En la era del conocimiento, proteger los activos de información es una de las actividades más importantes que toda organización debe asumir para garantizar su supervivencia. Por ello, a menudo se piensa que la continuidad del negocio es una cuestión de seguridad de los sistemas y tecnologías de la información. Eso es cierto, pero la continuidad del negocio depende de muchos más factores, debiendo ocuparse necesariamente de aspectos organizativos, de infraestructuras, de las personas, etc. mesurando los posibles riesgos y su impacto para el negocio. El resultado debe ser un plan de continuidad de negocio (Business Continuity Plan (BCP)) que asegure la recuperación de un desastre y la continuidad de las operaciones, todo ello englobando el conjunto de la organización.

Cada vez más los reguladores, los inversores y los directivos están buscando garantías de que las organizaciones disponen de los mencionados planes, en marcha y actualizados, con el fin de reducir al mínimo cualquier perturbación de la buena marcha del negocio debida a circunstancias imprevistas. Actualmente, pues, esta es una cuestión que las organizaciones no pueden permitirse el lujo de ignorar.

Por fortuna, tanto las administraciones como organismos internacionales de estandarización están tomando cartas en el asunto y de ahí la existencia de normas como la Sarbanes-Oxley Act (SOX), la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la ISO/IEC 27001 para la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la BS 25999 para la Gestión de la Continuidad de Negocio, entre otras. Todas ellas, en mayor o menor medida, hacen referencia a aspectos organizativos y técnicos para salvaguardar los activos de una organización, empezando por su información.

Para acabar una cita de la norma BS 25999 que, en su definición de continuidad de negocio, resume buena parte de todo lo anterior:

“Proceso de gestión holístico que identifica las amenazas potenciales para una organización y el impacto en las operaciones de negocio que esas amenazas podrían causar si se materializasen, y que proporciona un escenario para la incorporación de resiliencia con la capacidad de respuesta efectiva para proteger los intereses de los accionistas, partes interesadas, la imagen, marca o actividades de valor. “ Cláusula 2.3 BS 25999-2:2007.

Hace una semana VMware comenzó una nueva y muy buena iniciativa: la publicación de libros sobre su tecnología y temas específicos llamados VMbooks.

El primero de ellos, contiene 232 páginas y se titula: Una Guía Práctica para la continuidad del negocio y recuperación ante desastres con VMware Infrastructure 3.

Tabla de Contenidos:

Part I: Introduction and Planning
Chapter 1: Introduction
Chapter 2: Understanding and Planning for BCDR
Chapter 3: Virtualization and BCDR
Part II: Design and Implementation
Chapter 4: High-Level Design Considerations
Chapter 5: Implementing a VMware BCDR Solution
Chapter 6: Advanced and Alternative Solutions
Part III: BCDR Operations
Chapter 7: Service Failover and Failback Planning
Chapter 8: Service Failover Testing
Part IV: Solution Architecture Details
Chapter 9: Network Infrastructure Details
Chapter 10: Storage Connectivity
Chapter 11: Storage Platform Details
Chapter 12: Server Platform Details

Por su puesto el libro es gratis. Puedes descargarlo aquí.

Hoy hemos asistido a la presentación de la norma “BS 25999: Gestión de la Continuidad de Negocio”, en su versión en castellano. El evento, organizado por la filial española del British Standars Institution (BSI), ha contado con la presencia de diversos ponentes expertos en materia de continuidad de negocio tanto del Business Continuity Institute (BCI), como de empresas de los sectores de la banca, la consultoría o la administración pública.

La continuidad del negocio después de una interrupción, tanto si es un desastre, una huelga o un pequeño incidente, interno o en un proveedor, es un requisito fundamental para cualquier organización. En este contexto, la BS 25999 es la primera norma certificable en el mundo desarrollada para ayudar a minimizar el riesgo de dichas interrupciones. La norma ha sido desarrollada por un amplio grupo de expertos, representantes de distintos sectores de la industria y de instituciones gubernamentales, para establecer el proceso, los principios y la terminología de la Gestión de Continuidad de Negocio (GCN).

La norma incorpora la GCN dentro de un proceso de mejora continua “PDCA”, haciendo que el plan de continuidad esté permanentemente actualizado y testado ante la posible ocurrencia de un incidente. La implementación debería incrementar la resiliencia o “capacidad de aguante” de la organización ante la ocurrencia de una contingencia o desastre, así como garantizar en mayor medida un nivel de continuidad aceptable de las operaciones críticas para casos de paradas prolongadas del servicio.

Entre los ponentes, podemos destacar a Lyndon Bird, Director Técnico Global del BCI y uno de los mayores expertos en continuidad de negocio a nivel mundial, que dijo como conclusión final a su ponencia, “no se debe ver la continuidad de negocio como la respuesta a un desastre, sino como una manera diferente de gestionar“. Elena Maestre, Directora de PriceWaterhouseCoopers, explicó la evolución que ha tenido la continuidad de negocio en las empresas españolas y señaló que “la BS 25999 viene a focalizar todos los factores que deben ser considerados en una adecuada gestión de continuidad de negocio“. Lluís Vera, Director de TB Security, elaboró su ponencia alrededor de los aspectos que los directivos deben tener muy claros en la gestión de crisis. Tomás Roy, Director del Área de Calidad y Seguridad en el CTTI de la Generalitat de Catalunya, discutió sobre la relación entre la continuidad del servicio de TI y la continuidad de negocio. Algunos de sus argumentos fueron contestados por Fernando Pons, socio responsable del área de GCN de Deloitte.

El Business Continuity Institute ha publicado recientemente la versión de 2008 de su guía de buenas prácticas de gestión de la continuidad de negocio.

El documento desgrana, a lo largo de 121 páginas, las distintas fases que componen la gestión de la continuidad de negocio en una organización. La guía se ha revisado para acercarla más a la norma BS 25999-2 de BSI.

Las empresas tienen que ser competitivas en el mercado, lo cual implica estar tecnológicamente actualizadas para que la productividad de su negocio sea óptimo, la productividad en una empresa está muy ligada a las nuevas tecnologías, por ejemplo no es lo mismo un empleado que trabaja con un pentium II que con un intel core 2 duo vPro, o no es lo mismo aquella empresa que no tiene ningún tipo de dominio y utiliza “ nombreempresa(arroba)telefonica.net” que la empresa que tiene dominio y página web, aquí podemos ver que las nuevas tecnologías están muy ligadas a la productividad.

Ahora bien para que una empresa sea productiva tiene que tener un sistema de continuidad de negocio, esto se refiere a un plan en casos de emergencia para reducir al mínimo el tiempo muerto por falta de recursos. La continuidad de negocio se puede contratar a empresas externas especializadas en este tema, la cual realiza un estudio de la empresa final, estudia toda la infraestructura infomática de la empresa, y los puntos más débiles en caso de desastre informático.

Un plan de continuidad de negocio da seguridad en la empresa, pues se sabe que ocurra lo que ocurra todo está planificado para reducir al mínimo el tiempo del desastre.

Un buen plan de continuidad de negocio incluye desde el ordenador de un usuario de la empresa hasta los servidores/routers/switches de la empresa.

Por ejemplo hasta ahora los sistemas de copias de seguridad se han realizado mediante cintas, las cuales se tienen que ir cambiando periódicamente y en caso de desastre total del servidor lleva mucho tiempo e incluso días la puesta a punto de todo el sistema.

Ahora bien un buen plan de continuidad de negocio referente sólo al servidor/sistema de copias de seguridad por ejemplo, te aseguraría tener un nuevo servidor con la configuración existente en unas pocas horas, la empresa que realiza el servicio habría suplantado el sistema de cintas por un sistema de imágenes completas del servidor, tendría en stock un servidor que puede ser remplazado de inmediato, se instalaría la imagen que se ha realizado del servidor anterior ( esta imagen contiene todas las actualizaciones, configuraciones/software del servidor anterior, pues es una imagen idéntica) y en cuestión de unas pocas horas tendrías el sistema funcionando de nuevo. Un programa que realiza este sistema de backup es Acronis True Image con Universal restore (permite restaurar las imágenes en hardware diferente).

Este sólo ha sido un ejemplo del servidor de una empresa, pero el plan de negocio se aplica a todos los niveles, desde los ordenadores de los usuarios, al router ADSL, switches, impresoras y demás.

Sólo pensar lo que una empresa pierde cuando su sistema informático no funciona!!, esto es lo que quiere solucionar la continuidad de negocio, reducir al mínimo tiempo el desastre informático para que la empresa siga funcionando.

Arturo Laá.