Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Un estándar de gestión de la continuidad del negocio ofrecería consistencia

«Estos son mis estándares. Si no te gustan, tengo otros».

Esta paráfrasis de un pronunciamiento marxista (Groucho, por supuesto) parece aplicarse a la gestión de la continuidad del negocio (BCM). Sería excelente tener un enfoque unificado y consistente para la disciplina de la continuidad del negocio, pero lo que tenemos en cambio es una plétora de declaraciones, estándares, pautas y metodologías superpuestas y algo contradictorias que pretenden ser el único camino verdadero hacia la iluminación (o, al menos, a la recuperabilidad). A saber, existen los siguientes:

  • La Organización Internacional de Normalización (ISO) 27001/2 Tecnología de la información – Técnicas de seguridad – Código de prácticas para la gestión de la seguridad de la información: La Biblia de facto de la seguridad de la información, que incluye un capítulo sobre la gestión de la continuidad del negocio.
  • BS 25999 de la British Standards Institution (BSI): un estándar autoproclamado, escrito a un alto nivel y de manera bastante vaga. Es un código de prácticas y un conjunto de especificaciones para la certificación, similar a ISO 27001/2.
  • Directrices de buenas prácticas del Business Continuity Institute (BCI): una extensa explicación sobre seis principios de buenas prácticas, alineados con los pasos para desarrollar un plan. BCI tiene la intención de alinearlo con BS 25999 en 2010.
  • Prácticas profesionales para planificadores de continuidad empresarial del Disaster Recovery Institute International: más un resumen de las mejores prácticas que un estándar, pero dado que se utiliza para la certificación, adquiere el peso de uno.
  • Resiliencia organizacional del American National Standard Institute: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso. Este pretende alinearse con ISO 27001/2 y otras normas ISO, pero de hecho se parece mucho a BS 25999. No debe confundirse con la norma nacional anterior basada en NFPA 1600, que es muy parecida a la canadiense CSA Z1600… aw , diablos, es demasiado confuso para explicarlo.

Preguntas sin formular y sin respuesta

Por lo tanto, es razonable preguntarse si, con tantos estándares entre los que elegir, ¿son realmente necesarios los estándares de gestión de la continuidad del negocio? Esto es difícil de responder directamente porque detrás de la cortina de humo de los estándares en conflicto hay algunas preguntas muy reales que quedan sin respuesta (o las respuestas simplemente se asumen).

Por ejemplo, ¿es BCM un subconjunto de la seguridad industrial o de la seguridad de la información, o es una disciplina que se sostiene por sí misma? ¿Se aplica un estándar a un concepto, la continuidad de las operaciones comerciales, oa una actividad en particular, es decir, la creación y mantenimiento de planes de continuidad comercial? ¿Cuál es la relevancia de BCM para otras disciplinas como la seguridad antes mencionada, pero también para TI, planificación estratégica y gestión de riesgos?

Y luego está la gran pregunta, sin respuesta, sin respuesta e incontestable: si un plan de continuidad del negocio se desarrolla de acuerdo con todos y cada uno de los estándares, ¿funcionará cuando sea necesario? Por mucho que a uno le guste creer que la respuesta es sí, no se puede probar lo positivo. El hecho de que un plan permita a una organización recuperarse del Desastre 1 no significa necesariamente que se recuperará de la Catástrofe 2. Y si la respuesta a la gran pregunta es no, entonces, ¿cuál es el valor de cualquier estándar en primer lugar? El hecho es que nadie puede demostrar que un plan que se adhiera a los diversos estándares tenga más probabilidades de éxito que uno que no lo haga.

¿Qué hacen los estándares?

¿Pero es esa la verdadera prueba de un estándar? Necesitamos considerar por qué se crean los estándares. El sitio web de ISO dice que «los estándares garantizan características deseables de productos y servicios como calidad, respeto al medio ambiente, seguridad, confiabilidad, eficiencia e intercambiabilidad, ya un costo económico». ¿Los estándares BCM fomentan estos atributos (dejando de lado el respeto al medio ambiente)? Como se argumentó anteriormente, no lo hacen directamente, pero parece que los estándares BCM, tomados en conjunto, logran la mayoría de estos objetivos.

Todos los estándares, en mayor o menor grado, dicen lo mismo: entender las necesidades de la organización; desarrollar una estrategia que satisfaga esas necesidades; documentar la estrategia en planes procesables; implementar, entrenar, probar y mantener los planes. Por tanto, son los procesos de creación de la gobernanza, y no los planes resultantes, los que son objeto de las normas. No es que los planes estén estandarizados y por tanto mejores planes. Más bien, los planes de continuidad del negocio desarrollados de manera estándar tienen más probabilidades de tener una mayor calidad, confiabilidad y el resto de los atributos de ISO porque tienen en cuenta los éxitos y los fracasos de quienes han desarrollado dichos planes en el pasado.

Estándares y certificación de gestión de la continuidad del negocio

El mayor beneficio de los estándares BCM es que sirven como punto de referencia. La suerte de muchas organizaciones está ligada a la de sus proveedores de productos y servicios, así como a la de sus clientes. En esta red de intereses entrelazados, el fracaso de uno repercute en muchos. Por lo tanto, seguir la práctica estándar y obtener la certificación correspondiente. mayo sea ​​parte del pegamento que mantendrá unida a una empresa extendida. La opinión global está convergiendo en BS 25999 como el principal estándar de BCM, sobre todo porque BSI ofrece una certificación independiente de cumplimiento.

Así, una organización puede desarrollar un plan de continuidad del negocio y una estructura de gobierno para mantener y mejorar con el tiempo, siguiendo o no siguiendo cualquier estándar que le plazca. Los socios comerciales que desean tener la certeza de que es probable que los planes de recuperación de una organización funcionen en una emergencia, no garantizados, pueden obtener dicha garantía solo mediante un proceso de auditoría. Este tipo de auditoría se puede realizar directamente, pero existen limitaciones en el número de proveedores que una organización puede auditar, por no hablar de la renuencia de los proveedores a tener a todos sus clientes en sus puertas exigiendo entrar e inspeccionar la articulación. . El cumplimiento certificado de un estándar logra la auditoría para la empresa. La organización certificadora actúa como un sustituto de todos aquellos que buscan seguridad y lo hace midiendo el nivel de la organización auditada. proceso, que por implicación debería proporcionar una medida de certeza sobre la recuperabilidad de la empresa.

Ahora bien, «una medida de certeza» difícilmente es una garantía completa, pero puede ser lo mejor que todos los involucrados obtendrán. Si reduce la fricción entre socios comerciales, aumenta el nivel de resiliencia en las empresas y fomenta el comercio, entonces no es tan malo. Muy bueno, de hecho.

Volviendo a la cuestión de la necesidad de los estándares BCM, parece entonces que los estándares, por sí mismos, no son necesarios y ni siquiera pueden ser útiles. Pero el cumplimiento demostrado con un estándar es extremadamente útil, y para ese fin es necesario un estándar reconocido mundialmente utilizado para una medición consistente.

Steven Ross, MBCP, CISSP, CISA, es el fundador y director de Risk Masters Inc. Háganos saber lo que piensa sobre la historia; Email [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  El web scraping con IA aumenta la recopilación de datos

También te puede interesar...

¿Qué es un programa piloto (estudio piloto)?

Un programa piloto, también llamado estudio de viabilidad o ensayo experimental, es un experimento a pequeña escala y a corto plazo que ayuda a una organización a aprender cómo un proyecto a gran escala podría

¿Qué es un centro de datos con carbono negativo?

Un centro de datos con carbono negativo es aquel que efectivamente tiene una salida negativa de dióxido de carbono (CO2), por lo que tiende a reducir el efecto invernadero (aunque muy levemente) y, en general,

¿Qué factores debo tener en cuenta?

No es exactamente un secreto de la industria que los costos de las unidades de estado sólido se están desplomando. No hace mucho tiempo, se consideraba que 1 dólar por gigabyte era el precio en

Problemas y uso justificado de cursores

Las penalizaciones por desempeño son un problema aún mayor. Las sentencias SQL regulares están orientadas a conjuntos y son mucho más rápidas. Algunos… Los tipos de cursores bloquean registros en la base de datos y

Por qué las ciudades deben ser inteligentes con IoT

Las predicciones sobre el surgimiento de ciudades «más inteligentes» están ganando impulso en la conversación popular. Visualice una red de sensores de la ciudad que capture datos para optimizar mejor los procesos y reaccionar a

La nube es clave para canalizar el futuro

Ofrecer a los socios de canal una muestra de lo que vendrá en la Cumbre Ingram Micro Cloud, que se celebrará del 11 de abril al mes de abril. 13 pulg Phoenix, Arizona, el distribuidor

Descripción general del DBMS de gráfico de Neo4j

La base de datos de gráficos de Neo4j proporciona un sistema de gestión de bases de datos de código abierto y escalable que admite ACID (atomicidad, consistencia, aislamiento y durabilidad) y proporciona agrupación en clústeres

¿Qué es Oracle Content Management?

Oracle Content Management es un completo sistema de gestión de contenido creado por Oracle Corporation. Oracle Content Management, un sistema de administración de contenido empresarial, combina la administración de documentos, la administración de contenido web,

Pasos para la preparación de FCoE

El canal de fibra a través de Ethernet, o FCoE, tiene una puntuación alta en este momento en el medidor de publicidad, pero ¿están sus clientes preparados para ello? Y, lo que es más importante,

¿Qué es el desarrollo impulsado por pruebas (TDD)?

El desarrollo impulsado por pruebas (TDD), también llamado diseño impulsado por pruebas, es un método para implementar la programación de software que entrelaza las pruebas unitarias, la programación y la refactorización en el código fuente.

¿Qué es mejor para la virtualización basada en host?

Nota del editor: el debate sobre la virtualización basada en host continúa con las últimas versiones de VirtualBox y VMware Workstation. Encuentre más información actualizada en nuestra cobertura reciente de Workstation y VirtualBox. Cuando se

El proveedor de seguridad administrada llama a la puerta

Comparta este artículo con su red: Descargar Seguridad de información ofrece a los líderes de seguridad una amplia gama de perspectivas sobre temas esenciales para decidir qué tecnologías implementar, cómo combinar la tecnología con la

¿Qué es ActiveX Data Objects (ADO)?

ActiveX Data Objects (ADO) es una interfaz de programa de aplicación de Microsoft que permite a un programador que escribe aplicaciones de Windows obtener acceso a una base de datos relacional o no relacional tanto

Riesgos de seguridad del Internet de las cosas

El viernes 21 de octubre, se lanzó un ataque masivo de denegación de servicio distribuido (DDoS) contra Dyn, una empresa de infraestructura de Internet. El ataque se produjo en al menos tres oleadas e imposibilitó

Conozca el banco tecnológico de Windows 10

Al buscar en varios sitios de recursos de Windows 10, me he encontrado con menciones periódicas de Windows 10 Tech Bench. Hoy, decidí desenterrarlo y comprobarlo por mí mismo. Me alegro de haberlo hecho: es

¿Qué es la TI empresarial (TI de clase empresarial)?

La TI empresarial, también conocida como TI de clase empresarial, es hardware y software diseñado para satisfacer las demandas de una gran organización. En comparación con los consumidores y las pequeñas empresas, una empresa tiene

Se acerca OpsDev – Agenda de IoT

Los desarrolladores, usuarios finales, inversores, analistas y la competencia estaban ansiosos por conocer lo que Apple tenía en mente para mantener su liderazgo y participación de mercado en la reciente WWDC en San Francisco. No

Deja un comentario