Seguritecnia 380

56 SEGURITECNIA Noviembre 2011 Opinión ley y el Reglamento en una situación económico-social tan compleja como la actual, donde los mercados viven a diario situaciones de incertidumbre y donde fenómenos puntuales (Por ejem- plo, catástrofes naturales, ataques terro- ristas o ‘ciberterrorismo’, etc.) pueden hacer que toda medida preventiva sea insuficiente ante eventos “no controla- dos” de estas características , así como que una infraestructura crítica pueda sufrir un impacto importante en sus ac- tividades, pudiendo alcanzar incluso el final de las mismas. Un concepto amplio Cuando hablamos de manera gene- ral de “continuidad de negocio” o de “continuidad de la actividad” , y de su terminología asociada, estamos repa- sando fundamentos clásicos que han convivido siempre a lo largo de dife- rentes generaciones, y que ahora la Ley parece que recoge casi como una “no- vedad” en la gestión. Continuidad de negocio es un concepto amplio que abarca todos los sectores de negocio y todas las líneas de actividad (no solo las referidas a disaster recovery desde el punto de vista de TI). A pesar de su existencia anterior, desde el 11 de sep- tiembre de 2001 se puso un mayor én- fasis sobre ello y la gestión de la con- tinuidad de negocio adquirió una ma- yor importancia, abarcando una mayor cobertura inicialmente a compañías del sector financiero y sus empresas relacio- nadas, extendiéndose posteriormente a otros sectores y ahora, al amparo de la legislación vigente, llegando a todas las infraestructuras críticas. Desde un punto de vista amplio, de- finimos continuidad de negocio como un proceso de gestión holístico que identifica impactos potenciales que amenazan a la organización, y que nos proporciona un marco de trabajo para desarrollar resiliencia y una capacidad E l pasado mes de junio, Willis, SGS Tecnos, GTD y Elecnor-Dei- mos llegaron a un acuerdo para establecer un marco de colaboración para la explotación y producción de las soluciones necesarias en la aplicación y cumplimiento de la recientemente apro- bada Ley 8/2011, de 28 de abril, por la que se establecen medidas para la pro- tección de las infraestructuras críticas, y de su Reglamento 704/2011, de 21 de mayo. Esta ley obliga a los operadores críticos, instituciones y empresas con in- fraestructuras críticas o infraestructuras críticas europeas bajo su responsabili- dad a adoptar una serie de soluciones y acciones que redundarán en el asegura- miento de la prestación de los servicios esenciales para nuestra sociedad. La citada ley, tal y como recoge su ar- tículo 1, tiene por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las ac- tuaciones de los distintos órganos de las administraciones públicas en ma- teria de protección de infraestructuras críticas, previa identificación y designa- ción de las mismas. Además, la norma impulsa la colaboración e implicación de los organismos gestores y propieta- rios de dichas infraestructuras, a fin de optimizar el grado de protección de és- tas contra ataques deliberados de todo tipo y de conseguir, en el menor plazo posible, la recuperación del negocio o actividad y su continuidad. Asimismo, la ley regula las especiales obligaciones que deben asumir tanto las administraciones públicas como los operadores de aquellas infraestructuras que se determinen como críticas, se- gún lo dispuesto por el Centro Nacio- nal de Infraestructuras Críticas (CNPIC). En la actualidad, hay que enmarcar la Álvaro Rodríguez de Roa Gómez Director de Seguridad de la Información y Gobierno TI de SGS IT Services Continuidad de negocio en el marco de las infraestructuras críticas