Continuidad del Negocio

Hay cuestiones que aunque habitualmente se reconocen como significativas, en contextos como el actual se resignifican y cobran aún mayor importancia: uno de estos casos es el concepto de “Continuidad del Negocio”.


¿Quién no se ha puesto a analizar, durante al menos los últimos 6 meses, los riesgos que podrían tener impacto en, precisamente, la continuidad de alguno de los negocios que desarrolla?
Y no es una cuestión que involucre exclusivamente a grandes compañías. Por el contrario, si hemos extraído una importante lección desde mediados del año pasado hasta ahora, es que en cualquier momento todo puede cambiar, para cualquiera de los actores que participan en los diferentes mercados locales, regionales y globales.


Pero si bien los sucesos que mencionamos han servido para reforzar la concientización acerca de la importancia de cuestiones como realizar y mantener Análisis de Riesgo; desarrollar e implementar Planes de Contingencia y mantener un contacto fluido entre los responsables de Tecnología y los responsables de Finanzas en las organizaciones, entre otras; aún no se percibe que las lecciones aprendidas hayan sido implementadas de manera fehaciente ni de forma masiva entre las empresas.


¿Con qué nos encontramos cuando les preguntamos a las empresas qué están haciendo para garantizar la continuidad de su negocio?


Analicemos cuáles son los tres enfoques principales que podemos encontrar:


Continuidad Operativa


Refiriéndonos a lo que podemos ver en la región, es decir, en Latinoamérica (con acento en países como Argentina, Ecuador, y Perú; y atenuantes en otros países como Brasil, Chile y Colombia), es posible comprobar que aún persiste la noción de que cuando se habla de “Continuidad del Negocio”, en realidad se dice “Continuidad Operativa”.


Si bien para muchas organizaciones disponer de mecanismos eficaces y eficientes que garanticen Continuidad Operativa ante distintos escenarios de desastre —de mayor o menor alcance— sería un paso importante y un estadio deseable, es fundamental destacar las limitaciones que implica dejar de lado cuestiones relativas al negocio para atender solamente los aspectos que se desprenden de lo operativo.


La continuidad operativa se centra, fundamentalmente, en la infraestructura. Lo que está en funcionamiento siga de la misma manera y, en caso de desastres, la operación pueda ser restaurada dentro de márgenes de tiempo acordes con las necesidades de la organización.


En este sentido, lo que se busca es principalmente duplicar aquellos componentes tecnológicos que se consideran fundamentales, y paralelamente generar resguardos de la información considerada importante en relación con los componentes descriptos.


Si bien me atrevo a asegurar que cualquier director de tecnología hoy en día va a coincidir en la importancia de contar con infraestructura redundante y backups, el problema de este enfoque radica en que empieza y termina justamente en eso. Es decir, no se detiene a analizar qué otros componentes (tecnológicos y no tecnológicos) son necesarios para el adecuado funcionamiento del negocio. Y esto es así porque para garantizar continuidad operativa no es necesario entender el funcionamiento del negocio.


En un entorno donde no existan restricciones presupuestarias, mecanismos de control y/o justificación de inversiones, ni se realicen análisis de Retorno de la Inversión, este enfoque puede ser válido siempre y cuando no se modifiquen las condiciones del negocio, como por ejemplo: nuevos canales de venta, integración con clientes/proveedores, recambios tecnológicos derivados de condiciones del mercado, ingreso a nuevos mercados con distintos requerimientos normativos, cambios en la legislación vigente…


En síntesis: no existen en la práctica entornos donde sea sustentable en el tiempo garantizar continuidad del negocio meramente desde los aspectos operativos.


Es por esto que no conviene detenernos a enumerar las desventajas de este modelo, sino más bien avanzar en la cadena evolutiva de las diferentes prácticas de continuidad existentes.


Fuente: Gabriel Marcos
Product Manager - Datacenter, Security & Outsourcing
Global Crossing

¿Qué es la Gestión de Riesgos?

Ante la probabilidad de que una amenaza en particular explote una vulnerabilidad y genere un impacto negativo sobre los recursos de mi empresa, debo implementar un servicio que permita determinar claramente el nivel de riesgo de una organización.


Este servicio es el pilar fundamental para una correcta gestión de seguridad de la información ya que permite implementar controles de manera estratégica al interior de la organización.


La Gestión de Riesgos básicamente debe ofrecer:


Confidencialidad: garantizar que la información es accesible sólo a aquellos que están autorizados.


Integridad: resguardar la veracidad e integridad de la información y los métodos de procesamiento.


Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y a los recursos asociados cuando lo requieran.


Seguridad de la información: preservar la confidencialidad, integridad y disponibilidad de la información. Además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no-repudiación y confiabilidad.


Los Activos de Información involucran a cualquier cosa que tenga valor para la organización:


- hardware, servicios, documentos, software, personas e información.


Y las amenazas a las que se ven sometidos esos Activos de la Información pueden originarse por vulnerabilidades o incidentes no deseados —tecnológicos, sociales, operacionales, humanos, naturales o de instalaciones—que puede dañar a un sistema u organización.


La Gestión de Riesgos ofrece un proceso sistemático que reduce la exposición a un nivel aceptable por la empresa, o bien lo reconoce para continuar las actividades asumiendo la probable pérdida.

A patir del análisis se establece una matriz de riesgos que hace una valorización de los mismos a través probabilidades y niveles de impacto.

Con este informe en sus manos, la empresa deberá tomar algunas de las siguientes decisiones:

Mitigar: implementar controles.

Transferir: tomar un seguro, contratar a un proveedor.

Eludir: cambiar la forma de hacer las cosas y no utilizar el activo que es sujeto de la amenaza.

Aceptar: vivir con el riesgo, asumir las pérdidas.

Fuente: Miguel Iván Cisterna

Especialista de Seguridad - Global Crossing