El día a día en la gestión de los sistemas de información, no deja ver, mas allá de un horizonte cercano a muchos que con esfuerzo y sabiduría realizan management de IT.
El presupuesto se balancea entre el capex y opex generando un pico de stress en aquellas personas responsables de equilibrarlo o justificarlo.
En seguridad y continuidad los presupuestos cada vez mas lejanos de la «supuesta» realidad.
Los planes de continuidad de negocio (BCP) se convierten en compliance, los análisis de impacto se hacen cada vez mas esporádicos, generando una brecha cada vez mas amplia entre los verdaderos procesos críticos de negocio y los BCP.
En paralelo los planes de recuperación ante desastres (DRP), no pasaron metodológicamente por una clasificación de activos y mucho menos por un análisis del plan estratégico de TI de la empresa, generando DRPs, que si bien pueden asegurar continuidad de algunos de los procesos, no incluyen a todos aquellos identificados por el BIA, no contemplan la dirección estratégica de TI y no contemplan el status de clasificación real de los activos.
Ya hemos tratado la importancia del plan de sistemas, explicando como puede alejarlo en costos y tecnología del rumbo estratégico a seguir.
El tema principal hoy es la clasificación de activos.
La importancia de contar con una clasificación por mas de una dimensión (integridad, confidencialidad, disponibilidad, trazabilidad, etc) realizada por el propietario del activo de información y no IT. Conocer estos valores son claves a la hora de desarrollar un BCP y und DRP; sin dejar de nombrar que es un componente clave, fundamental e infantable en un proceso de análisis y gestión de riesgos.
Como podemos asegurar que nuestros planes de recuperación se ajustan a la realidad, si no tomamos en cuenta la opinión y necesidad que surge del proceso de clasificación?
Si bien este proceso a lo largo de la historia ha sido relegado por el on-going, a la altura de las circunstancias y empujado por la necesidad indiscutida de aporte de valor a la organización por parte del CIO y CISO, toma prioridad incluso para tomar desiciones como una migración a «Cloud», implementaciones de sistemas de gestión de identidades, DLP, y muchos otros temas en agenda
Conocer que valor real tiene para la organización la información tanto digital como impresa, incluso el importante y devaluado aporte de los RRHH, restándole un valor que muchas veces supera el calculado.
Tener la certeza de las dependencias procesales que tienen los activos, y adminar que había activos relegados, olvidados y totalmente fuera de los BCP y DRP.
En este tiempo de oportunidades pero al mismo tiempo de desafíos para el management, clave es planificar el gobierno de la información contemplando estos requerimientos metodológicos y estratégicos.
Diego San Esteban, CRISC
Humanizing Banking 