Seguritecnia 334

92 SEGURITECNIA Octubre 2007 S EG63*%A% E/ E /T*%A%ES ' */A/$*E3AS Sin embargo, resulta paradójico que a día de hoy las entidades estén realizando un esfuerzo considerable para el cumplimiento de la Directiva 2004/39/CE Mi- FID, con entrada en vigor el próximo 1 de noviembre. En relación a la continuidad de negocio, esta directiva obliga a las entidades de inversión a elaborar una po- lítica de continuidad de la actividad con el objetivo de garantizar, en caso de interrupción de sus sistemas y procedimientos, la preservación de los datos y fun- ciones esenciales, y el mantenimiento de los servicios y actividades de inversión. El hito alcanzado por Mi- FID es que eleva a nivel de ley lo que hasta ahora era una práctica no regularizada. Todavía queda por ver si este esfuerzo viene derivado por un intento de “cu- brir el expediente” o si producirá una transformación real en la cultura de la seguridad dentro de las entida- des. Ahí tendrá un papel decisivo la implicación de la alta dirección de las entidades en su implantación y la rigurosidad de los organismos supervisores en la veri- ficación de su cumplimiento. En paralelo al desarrollo del marco regulatorio an- terior, se han venido desarrollando y unificando cri- terios de seguridad y buenas prácticas asociadas en estándares internacionales aceptados como ISO/IEC 27001:200 , ISO/IEC 27002:200 , BS 2 999-1:2006, BCI GPG: 2007y Continuidad de neGocio El seguimiento de estos estándares proporciona una base sólida y contrastada para el cumplimiento de los requi- sitos de continuidad de nego- cio dados en las normativas y legislación vigente. Adicional- mente, la certificación en alguna de ellas (ISO/IEC 27001:200 , futura BS2 999-2y) supondrá la generación de “confianza” en los clientes y una ventaja compe- titiva dentro del mercado, pro- yectando el compromiso, con- cienciación y “cultura” de la pro- pia entidad. En cualquier caso, la certificación debería ser la con- secuencia del esfuerzo de trans- formación en la entidad y nunca el objetivo a alcanzar. Así pues, ¿qué fases deben lle- var a cabo las organizaciones en general y el sector bancario en particular para la consecución de sus objetivos de con- tinuidad de negocio? Es importante resaltar que no es lo mismo un “Plan de Contingencia Informático” (recuperar las activida- des informáticas) que un “Plan de Continuidad de Ne- gocio” (restablecer todas las funciones y activos críticos de la organización). El primer paso para realizar un Plan de Continuidad de Negocio consistirá en la definición de una política de continuidad de negocio alineada con los objetivos estratégicos de la entidad y bajo un alcance delimitado y aprobado por la alta dirección de la entidad. Posteriormente, se debería reali- zar un análisis de impacto en el ne- gocio (BIA) y de riesgos, destinados a conocer el impacto producido por la interrupción de las funciones de negocio y activos críticos. De esta manera, se establecerán dos de los parámetros principales que defini- rán nuestra estrategia de respaldo: el establecimiento de los tiempos de recuperación (RTO) y la pérdida de información admisibles (RPO) para la organización. Tras la definición de dichos re- quisitos, se deberá desarrollar los procedimientos de recuperación y respuesta ante desastres, en los que se recogerá el conjunto de estra- tegias, acciones y procedimientos operativos y organizativos a em-