Seguridad, mucho más que estar a salvo

Dos de cada cinco empresas que experimentan un desastre están abocadas a quedar fuera del mercado en un plazo de cinco años. Esta contundente afirmación de la consultora Gartner pone de manifiesto uno de los motivos que ha llevado a la seguridad corporativa a ocupar una posición de primer orden en la lista de prioridades tanto de CIOs como de CEOs. Ciertos tipos de organizaciones, como las financieras que pueden traducir en millones de dólares los minutos de permanecen inoperativos sus sistemas, o las sanitarias, para las que una interrupción del servicio tiene consecuencias vitales, son conscientes desde hace tiempo de esta amenaza y, consecuentemente, de la importancia de disponer de sistemas tolerantes a fallos y planes de continuidad del negocio para evitar esas temidas interrupciones que, o bien, llevan a los clientes a trasladar su demanda a un competidor, o bien, implican un coste de recuperación tan elevado que resulta imposible de asumir.
Pero en el actual entorno de negocio donde la globalización es una realidad que no deja al margen a ningún jugador por pequeño que sea- ningún tipo de organización, independientemente del sector de actividad en el que opera, puede obviar el reconocimiento del carácter estratégico y determinante para su supervivencia que poseen este tipo de soluciones. De hecho, un reciente estudio de la publicación CIO estima que el 65 por ciento de las organizaciones a escala mundial espera un incremento de su inversión en sistemas TI de contingencia de cara a este año. En este contexto, las TIC juegan un papel vital teniendo en cuenta su capacidad para responder a una crisis pero, con anterioridad a cualquier consideración de una determinada solución tecnológica, resultan imperativos la evaluación y el establecimiento de un orden de prioridad en las operaciones de misión crítica, de cara a tomar las medidas necesarias para calificar y tomar decisiones en relación con su estado de seguridad. Así, la concentración de los esfuerzos en la determinación de las aplicaciones más importantes es uno de los principios básicos en la tarea de creación de un plan de continuidad de negocio y, evidentemente, no puede ni debe es una decisión exclusiva del departamento de TI. Una vez que se han identificado las aplicaciones más críticas a proteger así como los potenciales puntos de fallo, es necesario determinar el impacto que las disrupciones de las operaciones de misión crítica pueden tener en el negocio. Y es que si ocho horas de caída de los sistemas puede resultar costoso pero no devastador para un fabricante de pequeño tamaño; en el caso de un banco global, una sola hora de transacciones pérdidas puede tener consecuencias nefastas. Y, además, no hay que olvidar que dichas disrupciones no sólo tienen un impacto en los clientes actuales, sino que su ámbito de influencia también alcanza a los clientes potenciales, los medios de comunicación, la comuniadad financiera e, incluso, la moral de los empleados. En el proceso de identificación de potenciales eventos con un impacto negativo en el negocio, es muy importante no pasar por alto aquéllos aparentemente pequeños ya que, en no pocas ocasiones, los grandes desastres empiezan por un pequeño suceso que, si no activa el plan de continuidad de negocio, sus efectos colaterales pueden traducirse en una caída de los sistemas y, en extensión, la declaración de desastre. Estos últimos también deben ser clara y minuciosamente identificados cubriendo desde un terremoto hasta la rotura de un disco. Se trata en última instante de conocer la verdadera preparación de la organización ante todos y cada uno de los posibles incidentes que pueden afectar a sus operaciones. Sólo una vez que la organización dispone de una fotografía detallada de sus operaciones de misión crítica, que conoce el impacto de las posibles disrupciones en cada una de sus ellas y que ha determinado las causas más probables de esas disrupciones, se encuentra en disposición para establecer las pautas para la construcción de un entorno en el que la seguridad de las operaciones esté plenamente garantizada. Habitualmente ese proceso comienza con el establecimiento de ciertas bases como el mantenimiento continuo de las infraestructuras TIC, pero al final del día son muchos y muy diversos los factores a tener en cuenta para disponer de un entorno de negocio verdaderamente seguro. Servidores redundantes, backup remoto de los datos, software, almacenamiento, networking…, son algunos de los muchos componentes que hay que considerar tanto desde la perspectiva externa como, y especialmente, desde la perspectiva interna. En definitiva, es necesaria la consideración del todo en su conjunto y, en ese escenario, en la continuidad del negocio existe un factor clave que merece especial atención: las personas. Las organizaciones son concientes de esa realidad y, por ese motivo, no es erróneo afirmar que la continuidad del negocio empieza en cualquiera de los rincones de la oficina. Esa estrecha implicación humana se hace patente desde el reconocimiento de la necesidad e implica que el desarrollo del plan necesario para alcanzar ese estadio de seguridad plena requiere, en primer lugar y sobre todo, apoyo ejecutivo, porque está demostrado que un plan de este tipo únicamente atrae la atención que merece cuando el nivel ejecutivo lo considera prioritario. Por otra parte, es necesario situar a alguien al cargo de la totalidad de las decisiones relacionadas con la continuidad del negocio y, además, es necesario crear un equipo multifuncional con responsabilidades específicas sobre cada uno de los aspectos de la continuidad de negocio que reciba formación multidisciplinar y cuente con un plan de sucesiones considerando la posible indisponibilidad de personal clave. Esos RRHH constituyen uno de los componentes fundamentales en la construcción de una infraestructura en tiempo real en la que las operaciones se desarrollan de forma continua con los niveles de seguridad y confianza requeridos, y que de forma simultánea es lo suficiente ágil y flexible para ser competitiva, además de estar controlada al 100 por cien. Si las personas ocupan un lugar preeminente en los planes de continuidad de negocio, no menos importantes son los bienes, componentes y servicios en los que las organizaciones apoyan su actividad comercial y, en ese sentido, el concepto de seguridad está ganando peso en la esfera material a medida que se eleva su grado de inteligencia y se amplía el grado de colaboración entre distintas organizaciones. Las soluciones y los servicios Global Visibility Commerce, que contemplan desde la seguridad y visibilidad en tránsito hasta las redes de aprovisionamiento seguro entre industrias, pasando por la colaboración con entornos hospedados, el uso de dispositivos inteligentes y la sincronización global de datos, aparecen en este escenario como la respuesta a los requerimientos de visibilidad y control que exige el comercio global y que obliga a las organizaciones a realizar el seguimiento de bienes y componentes, y el control de su calidad y estado. Tecnologías como RFID o GPS resultan clave en este acercamiento que, básicamente, aporta visibilidad a la cadena de valor para crear un entorno de comercio global, seguro y ágil. Y, entorno esas soluciones de seguridad y visibilidad, emergen una serie de servicios que permiten convertir en operativa una visión a través de la evaluación del valor y el riesgo, el estudio de casos de negocio, la planificación de la estrategia, el desarrollo de pilotos RFID y la adecuada implementación.