Seguritecnia 385

SEGURITECNIA Abril 2012 37 Gestión integral de la Seguridad junto con la propia CN, gracias al creci- miento económico de los EEUU durante este periodo. El comienzo del siglo XXI fue un tanto convulso desde el punto de vista de la Continuidad: actividades terroristas en todo el planeta (Nueva York, Madrid, Londres, Bombay, etc.), huracanes más destructivos y frecuentes, terremotos de gran intensidad, etc. Todos estos facto- res, sumados al incremento notable de profesionales dedicados a este campo, propiciaron un ejercicio de revisión y análisis del papel que jugaba la CN den- tro de las organizaciones, quedando de manifiesto que era imprescindible coor- dinar esfuerzos y trabajos entre depar- tamentos de la misma compañía (por ejemplo, seguridad física, seguridad de la información, servicios generales, auditoría interna, etc.) e, incluso, entre compañías del mismo sector y la Admi- nistración Pública. Como consecuencia de este ejercicio, en el año 2003 se pu- blica la norma PAS 56, ofreciendo una visión coherente y consistente entre los principales sectores del mercado. La evolución natural de esta norma ‘infor- mal’ fueron la norma BS 25999-1:2006, sobre el código de buenas prácticas y la BS 25999-2:2007, sobre las especifi- caciones necesarias en un Sistema de Gestión de Continuidad de Negocio (en adelante, SGCN). Gráficamente, en la si- guiente figura se puede observar el es- quema propuesto por el British Stan- dard Institution en la norma BS 25999, empleando los principales elementos definidos en esta norma: Tras esta ligera pincelada de la evolu- ción de la CN hasta nuestros días, la si- guiente duda que se nos planteaba era bien sencilla: ¿realmente se puede ha- blar de una transformación significativa de la Continuidad? ¿Cuál ha sido su pro- gresión en los últimos 20 años? Antes de comenzar a profundizar en las res- puestas a estas cuestiones, éstas se an- tojaban sencillas: estancamiento de la Continuidad desde un punto de vista de enfoque, gestión y operación, por- que desde un punto de vista tecnoló- gico, el progreso en las nuevas tecnolo- gías ha supuesto un claro beneficio para la Continuidad. No obstante, esta intui- ción o sensación debía ser corroborada con datos. En este sentido, lo primero fue volver a leer el material de Continui- dad de que disponíamos, revisar publi- caciones y conversar con otros colegas cuyo recorrido profesional, junto con el nuestro, nos permitiría tener una pers- pectiva mucho más completa. Cuál fue nuestra sorpresa al compro- bar que el grueso de la estructura de cualquiera de los PCN que habíamos mirado era, prácticamente, la misma. Y no se trataba de documentos con la misma fecha de elaboración, sino que estaban distanciados en el tiempo por varios lustros, incluso decenios. Sí, evi- dentemente, existen diferencias entre un plan que se hubiera elaborado a fi- nales de los años 80 o comienzos de los 90 y uno coetáneo de la BS 25999, pero las diferencias no van más allá del nivel de detalle en la definición de los esce- narios de continuidad, en los procedi- mientos específicos de acción ante una situación de contingencia declarada, en los parámetros de valoración de los análisis de riesgos (en adelante, AARR) e impacto, en los planes de comunica- ción, en los planes de prueba etc. Es decir, la estructura ‘básica’ sigue siendo la misma hoy que hace 20 años. Transmitimos este hecho (que a nues- tro entender podía resultar circunstan- cial) entre amigos y conocidos que han estado relacionados con la CN a lo largo de su carrera profesional y, reafirmando nuestra intuición inicial, todos ellos ava- laban el mismo corolario: la Continui- dad, desde un punto de vista ‘estructu- ral’, parecía estancada. De la CN a la GIC La historia nos demuestra que no es posible predecir de antemano la seve- ridad, duración y repercusión de todos y cada uno de los potenciales inciden- tes que podrían afectar a nuestra orga- nización, por lo que el desarrollo de Pla- nes de Acción Específicos (en adelante, PAE) basándose en escenarios de con- tingencia, dentro de la CN, conlleva un Figura 1: Visión de la Gestión de Continuidad de Negocio según BS 25999: 2007