Seguritecnia 385

40 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad tro de un ciclo de vida más amplio y completo que el propuesto actual- mente para la Continuidad. ▪ El Análisis de Riesgos no es ele- mento determinante para la defini- ción de los procesos críticos en la Continuidad de Negocio. ▪ Un mapa de riesgos no es una me- dida de referencia infalible para la CN, ya que las amenazas en el AARR desvirtúan cualquier poten- cial aproximación a la CN (i.e., el im- pacto). ▪ En última instancia, el BIA es impres- cindible para valorar el impacto de cualquier proceso y, por lo tanto, para considerar la inclusión de tal proceso en el programa de CN. ▪ La dimensión, volumen, inversión, componentes y recursos humanos, técnicos, estructurales del Sistema de Gestión Integral de Crisis estarán condicionados por los resultados del AARR y BIA. ▪ Esta relación sería absolutamente subjetiva en un inicio y progresiva- mente objetiva conforme el Sistema de Gestión vaya adquiriendo madu- rez (repetición del proceso y mejora continua). S miento dentro de una organización ante situaciones de crisis, es decir, casos excepcionales en los que los controles/ contramedidas habituales no son efec- tivos. La condición de excepcionalidad de cualquier situación deberá ser decla- rada por un órgano de decisión (o indi- viduo) de la organización con la debida autoridad y competencias. En la siguiente Figura 4 se puede ob- servar el enfoque que se propone con la GRC. Conclusiones Las principales propuestas en materia de CN que llevamos a cabo en este do- cumento son las siguientes: ▪ La Continuidad de Negocio, tal y como se presenta en la norma BS 25999, debería ser matizada y clarifi- cada tanto en conceptos como en el modelo de relación con otras áreas (e.g., AARR). ▪ Proponemos la inclusión de la Con- tinuidad de Negocio dentro de un Sistema de Gestión Integral de Cri- sis que cubra tanto fases preventivas como reactivas. ▪ La CN es un elemento ‘puntual’ que debe contextualizarse en la GIC, den- rar aquellos procesos cuyo riesgo no quiera gestionarse de manera preven- tiva, sino reactiva: no importa cuál sea la amenaza que se haya materializado, sino que hay que focalizar todos los es- fuerzos en minimizar el impacto deri- vado de la afección del proceso den- tro de unos márgenes y condicionan- tes temporales propios del proceso. No obstante, merece la pena resaltar que un PCN (entendido como PAE para re- cuperar/operar ante una situación de crisis) no minimiza el riesgo asociado a un proceso per se, sino que es necesa- rio que dicho PCN esté contextualizado dentro de un sistema de gestión para que éste sea efectivo (mantenimiento, actualización, revisión, pruebas, etc.). A lo largo de esta GPC, es posible que sobrevenga una situación que afecte al correcto y normal desarrollo de la orga- nización. Ante este escenario, una vez declarada oficialmente la situación cri- sis, la gestión preventiva quedaría re- legada a un segundo plano, mientras que la gestión reactiva (GRC) pasaría a adoptar un papel protagonista en la or- ganización. Gestión Reactiva de Crisis Llegados a este punto, lo primero que habría que señalar es el hecho de que se ha generalizado un mal uso de la ter- minología y el vocabulario en el ámbito de la CN, de manera que se ha desvir- tuado el principal objetivo de la CN. Hoy en día es muy frecuente presen- ciar conversaciones de CN en las que se emplea, indistintamente, los términos incidencia, incidente, problema, contin- gencia, crisis, etc. para referirse a situa- ciones que, muy probablemente, no re- quieran la invocación de la CN como tal, sino que pueden (y deben) afrontarse mediante procedimientos habituales de actuación para la gestión de incidencias (e.g., corte de servicios, fallos en com- ponentes, etc.). Aún así, se debe tener presente que, en cualquier momento, cualquiera de estas situaciones anterio- res puede derivar en una auténtica si- tuación de crisis. La CN está ideada para ser una me- dida reactiva que entra en funciona- Figura 4: Gestión Reactiva de Crisis.