Seguritecnia 385

38 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad recuperar adecuadamente los proce- sos afectados. En este sentido, la siguiente Figura 3 (que podrán ver en la página si- guiente) muestra gráficamente el en- foque que se propone con la GPC. Como se puede apreciar, esta fase se asemeja ‘clamorosamente’ a cual- quier proceso de análisis y gestión de riesgos que podemos encontrar en una Organización, pero con una dife- rencia notable a la hora de manejar la CN, que pasamos a describir a conti- nuación. Una vez que la organización ha de- finido y aprobado un umbral de riesgo (i.e., el límite superior de riesgo asu- mido), tras determinar el mapa de ries- gos, se debe proceder a la gestión de los riesgos identificados. En este punto, son varias las casuísticas que se presen- tan: ▪ Por un lado, siempre que el riesgo efectivo sobre un proceso se quede por debajo del umbral establecido, no precisaría (a priori) de ningún tipo de gestión, dado que se trataría de una cota aceptable de riesgo para la organización. ▪ Por otro lado, si el riesgo efectivo identificado para un proceso quedase por encima del umbral de riesgo de la organización (o incluso dentro de un rango de valores alrededor de di- cho umbral, con lo que se proporcio- naría un mayor grado de confianza), se debería contar con una serie de ac- ciones correctivas, dentro de un Plan de Tratamiento de Riesgos, para mini- mizar dicho riesgo hasta cotas acep- tables. A partir de este punto, se debería de- finir un Plan de Seguimiento de la Im- plantación con el que monitorizar la evolución de las salvaguardas elegidas en el Plan de Tratamiento, además de contar con unos indicadores que sir- vieran para retroalimentar un ulterior AARR. Sin embargo, el tratamiento de la CN en el ciclo de la GPC debería dife- rir el resto de controles (tanto reactivos como, evidentemente, preventivos) de- se centra en la gestión integral de cual- quier situación de crisis que pudiera so- brevenir a la organización. A través de este enfoque completo, con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situa- ción, excepcional o no, que pudiera lle- gar a afectar a nuestra organización, de manera que, tanto preventiva como reactivamente, quedan cubiertos los principales estadios que se pueden pre- sentar: ▪ Gestión Preventiva de Crisis (en ade- lante, GPC); ▪ Gestión Reactiva de Crisis (en ade- lante, GRC); ▪ Análisis y Lecciones Aprendidas (en adelante, ALA). A continuación se hace una descrip- ción concisa de los principales elemen- tos de la Figura 2. Gestión Preventiva de Crisis Sun Tzu en su obra El arte de la guerra , allá por el año 500 a.C., postulaba que la invencibilidad reside en la defensa, mientras que las oportunidades de vic- toria lo hacen en el ataque. Si esta di- rectriz puramente militar la traspusié- ramos al ámbito de la CN, nos podría- mos encontrar con una premisa en la que se propusiera una buena GPC con la que proteger los procesos críticos de la organización, evitando que la GRC se ponga en marcha, pero que, caso de activarse la GRC, ésta fuera eficaz para elevado riesgo y, por lo tanto, una falsa sensación de seguridad. Realmente, tal y como está conce- bida y asimilada comúnmente en es- tos momentos la CN, este concepto se trata como un control reactivo ‘espe- cial’ con el que se pretende mitigar el impacto que conlleva la materializa- ción de una amenaza concreta en la or- ganización. Es decir, se asume, de ma- nera general, que la CN se corresponde con los PAE definidos para recuperar/ operar/restaurar un proceso crítico inte- rrumpido, entendiéndola como una ac- tividad, prácticamente, independiente de otros elementos igualmente vitales (tal es el caso de los Planes de Gestión de Incidentes y las tareas de revisión o mantenimiento de la CN). Si atendemos a la definición del tér- mino de ‘continuidad de negocio’ que se recoge en la norma BS 25999-2:2007, ésta se trata como la capacidad estraté- gica y táctica de la organización de pla- nificar y responder ante incidentes e in- terrupciones de negocio para conti- nuar las operaciones de negocio en un nivel aceptable predefinido. Es decir, tal y como se muestra en la Figura 1, la norma BS 25999-2:2007 considera que la CN abarca tanto la parte preventiva (planificación) como la parte reactiva (respuesta) frente a una situación de contingencia. Pero, ¿es la CN un control preventivo o reactivo? ¿Estamos em- pleando una terminología acertada? ¿Se están mezclando los conceptos de CN y Crisis? ¿Cómo podríamos mejorar el en- foque actual de la Continuidad? Desde nuestro punto de vista, la CN y su gestión deberían incluirse dentro de un marco más amplio como el de la Gestión Integral de Crisis (en adelante, GIC), de manera que se reservaran para la CN las funciones meramente reacti- vas, relegando el mayor peso del carác- ter preventivo a otras funciones como el análisis y la gestión de riesgos que, den- tro de la organización y por lo general, se desarrollan de manera más global y detallada. Concretamente, tal y como se puede observar en la Figura 2, se presenta una propuesta en la que el foco de atención Figura 2: Visión integral de la Gestión de Crisis.