Entrevista a Mario Ureña #BusinessContinuity #DisasterRecovery
En este post, retomamos las conversaciones con los profesionales y gurús en la disciplina del business continuity; y en esta oportunidad contamos con la colaboración de Mario Ureña, reconocido consultor internacional en temas de gestión de riesgos, presidente de Secure Information Technologies, y especialista en auditoria, control y seguridad de TI.
¿Cómo llegaste al mundo de la Continuidad del Negocio?
Mi interés hacia los temas de Continuidad del Negocio y Recuperación ante Desastres nació el 19 de septiembre de 1985 a las 7:19, cuando un terremoto de 8 grados en escala de Richter sacudió la Ciudad de México para cambiar para siempre su historia. En esa época, yo tenía diez años de edad; y aún cuando ya había escuchado información sobre grandes desastres —como la gran explosión de 1984 en San Juan Ixhuatepec, México—, realmente fue hasta el terremoto de 1985 cuando realmente logré dimensionar los impactos que pueden ocurrir como consecuencia de un gran desastre.
En esa época pasaba la mayor parte del tiempo en casa de mis abuelos; su vivienda sufrió daños irreversibles y fue necesaria su demolición, además de ser expropiada por el gobierno federal para construir viviendas más pequeñas y poder alojar a otras familias damnificadas.
La falta de alimentos y agua eran evidentes los días posteriores al sismo y existía una gran dificultad para acceder a la energía eléctrica, gas, comunicaciones telefónicas, entre otros.
Mi padre se encontraba fuera del país y la capacidad de las líneas áreas había sido afectada por la demanda de pasajes que se presentó. En aquella época yo no lograba entender las razones por las que una línea área no podía ofrecer niveles de servicio adecuados a la situación presentada.
Recuerdo haber pasado varias horas pensando en el desastre que había ocurrido y las opciones que en mi limitada experiencia, a los diez años de edad, suponía que podrían haber prevenido tanta destrucción.
Por otra parte, en términos profesionales inicié formalmente a trabajar en temas de continuidad del negocio en una institución financiera, trabajando como becario a los 19 años de edad y posteriormente como auditor interno en la Unidad de Contraloría Interna de la Secretaría de Hacienda y Crédito Público, que era la entidad de recaudación tributaria en México.
Entrando al nuevo siglo XXI e impulsado por las preocupaciones generadas por el tema del “bug del milenio”, trabajé para el despacho Arthur Andersen, y ante el creciente interés en temas de Seguridad de la Información y Continuidad del Negocio fundé la consultora Secure Information Technologies hace doce años, compartiendo el interés en estos temas con mi esposa, quien también ha trabajado en estos temas desde muy corta edad.
Durante este último periodo, se ha incrementado el interés de las organizaciones sobre estos temas y por ello, actualmente realizo consultorías para la gestión de riesgos en sus diferentes especialidades para organizaciones en toda Latinoamérica.
En tu experiencia, ¿cuál es el caso más exitoso en la disciplina del business continuity?
He conocido diversos casos exitosos en esta disciplina, sin embargo, en algunos de ellos donde he participado de manera muy cercana, la confidencialidad de la información tiene un papel muy importante, por lo que en esta ocasión te compartiré un caso igualmente exitoso pero que resulta del dominio público.
Y me refiero al caso de la Comisión Federal de Electricidad de México, conocida como CFE, quien actualmente es la única entidad responsable de proveer energía eléctrica a toda la República Mexicana. Y esto no es para menos, cuando hablamos de un país con alrededor de 100 millones de habitantes.
El éxito al que me refiero en este caso atiende al hecho de que la CFE logró superar la crisis generada tras la desaparición de la empresa de Luz y Fuerza del Centro. Hasta el año 2009 la compañía de Luz y Fuerza del Centro era la responsable de proveer energía eléctrica a la Ciudad de México y otras ciudades localizadas en el centro del país, mientras CFE atendía el resto del territorio nacional. Por decreto presidencial, durante el mandato de Felipe Calderón, prácticamente de la noche a la mañana, se dio a conocer el cierre de la compañía de Luz y Fuerza del Centro y se asignó la tarea de continuar la provisión de energía a la ciudad por parte de la CFE. Los riesgos relacionados con esta decisión incluían diversos eventos como el cierre de instalaciones, posibles actos de sabotaje, inconformidad de trabajadores, fallas en los procesos operativos, entre un largo etcétera. Personalmente considero grave la posibilidad de que una ciudad del tamaño de la Ciudad de México pudiera enfrentarse a una interrupción indefinida en la provisión de energía eléctrica. Afortunadamente, desde el punto de vista operacional, la CFE logró asegurar la continuidad en la provisión del servicio y no se presentaron daños irreversibles.
¿Y el caso menos exitoso? ¿Qué pudiste aprender de él?
El primero en mi lista de casos no exitosos definitivamente es el relacionado con el terremoto de 1985 referido anteriormente; sin embargo, en la historia reciente han existido casos igualmente desfavorables como el terremoto en Haiti, el derrame de petróleo que involucró a la empresa BP o la pandemia por brote de influenza AH1N1 en el 2009.
Y me quiero referir a este último caso, el de la pandemia, ya que en complemento a la pregunta que amablemente me has realizado, este caso nos dejó grandes lecciones relacionadas con la preparación ante crisis o desastres. Particularmente, fue evidente en la mayoría de las organizaciones que no contaban con estrategias para atender una situación tan particular como la presentada.
Y ¿cuál era esa situación tan particular?, pues el hecho de contar con recursos como la materia prima, las instalaciones, la tecnología, la información, las telecomunicaciones, los recursos financieros, pero con una afectación a la disponibilidad de su personal.
Anteriormente, existía una tendencia hacia documentar planes de continuidad del negocio tomando como base los escenarios de riesgo; por eso muchas organizaciones no contaban con planes de continuidad del negocio ante una pandemia ya que la organización no la había reconocido como riesgo, o bien, se había reconocido pero se había decidido aceptar o retener el riesgo. Esto ha evolucionado en la actualidad y, gracias también a estándares como el BS 25999 e ISO 22301, ahora sabemos que las estrategias de continuidad del negocio funcionan mejor cuando se encuentran basadas en la disponibilidad de recursos, incluso ante escenarios que no se han presentado con anterioridad.
Respecto de la importante variable RTO, ¿cuán objetivo se puede llegar a ser para establecerla?
Considero que se puede llegar a ser muy objetivos en el establecimiento de los tiempos de recuperación objetivo cuando se complementa la definición de los mismos con un adecuado programa de ejercicios y pruebas que permita estimar de una manera mas cercana a la realidad los tiempos involucrados en la recuperación de los recursos necesarios para ejecutar las actividades críticas de la organización. El ejercicio constante de las estrategias de recuperación puede reducir considerablemente el grado de incertidumbre en el logro de los RTO. Sin embargo, considero que siempre se tratará de una simulación y no necesariamente se puede obtener un RTO totalmente exacto.
¿Cómo ves el futuro de la Continuidad del Negocio de aquí a 10 años?
En los próximos años seguirá siendo un tema primordial la protección de infraestructuras críticas y la gestión de la continuidad del negocio en un enfoque de “seguridad de la sociedad”. Un ejemplo muy interesante a tomar en cuenta es la ley que establece las medidas para la protección de infraestructuras críticas de España.
También considero que habrá un mayor énfasis en temas de negocio como el “análisis de contexto” y “gestión de partes interesadas” con el fin de optimizar la asignación y uso de recursos a temas primordiales.
Respecto a la gestión de riesgos, encontraremos mayores esfuerzos por gestionar el riesgo de manera integral y la adopción de estándares como el ISO 31000; una mayor interacción entre diferentes tipos de riesgos que ahora se tratan de una forma aislada, pero que tienden a correlacionarse, como el caso de riesgos de seguridad de la información, riesgos tecnológicos, riesgo operacional, riesgo ambiental, entre otros.
De igual manera, estimo un incremento en temas de cibercriminalidad, por lo que debemos estar al pendiente en los próximos años de temas como los ataques distribuidos de denegación de servicio (DDoS) y la amenazas persistentes avanzadas (APTs).
En el tema de ejercicios y pruebas, habrá un incremento en la realización de pruebas intersectoriales, siendo punta de lanza en estos momentos el sector financiero. Tenemos ejemplos muy interesantes en nuestra región como es el caso de Perú, en donde se cuenta con la participación de las entidades regulatorias en la preparación y ejecución de los mismos.
En los próximos años, también encontraremos mayor regulación en sectores que por su naturaleza ya tratan los temas de continuidad del negocio, como es el caso de bancos, mercado de valores, administradoras de fondos, aseguradoras, afianzadoras, cajas de ahorro, etc.; pero también nuevas regulaciones para sectores como el de telecomunicaciones, salud, energía, agua, etc.
De igual forma, identifico una mayor integración dentro de las organizaciones de temas como protección civil, gestión de incidentes, gestión de crisis, gestión de emergencias, etc. con tendencia a una gestión integral de incidentes.
Finalmente, es importante resaltar el desarrollo de estándares internacionales que se tiene actualmente y que se encuentran en desarrollo, ya que esto permitirá que en los próximos 10 años contemos con organizaciones con mayor capacidad de resiliencia que contribuyan a un incremento en el aseguramiento y protección de nuestras sociedades.
Edad: 39 años
Lugar de nacimiento: Ciudad de México
Profesión: Ciencias de la Informática
Hobbies: Escuchar música y leer (ciencia ficción, mayormente)
Mi interés hacia los temas de Continuidad del Negocio y Recuperación ante Desastres nació el 19 de septiembre de 1985 a las 7:19, cuando un terremoto de 8 grados en escala de Richter sacudió la Ciudad de México para cambiar para siempre su historia. En esa época, yo tenía diez años de edad; y aún cuando ya había escuchado información sobre grandes desastres —como la gran explosión de 1984 en San Juan Ixhuatepec, México—, realmente fue hasta el terremoto de 1985 cuando realmente logré dimensionar los impactos que pueden ocurrir como consecuencia de un gran desastre.
En esa época pasaba la mayor parte del tiempo en casa de mis abuelos; su vivienda sufrió daños irreversibles y fue necesaria su demolición, además de ser expropiada por el gobierno federal para construir viviendas más pequeñas y poder alojar a otras familias damnificadas.
La falta de alimentos y agua eran evidentes los días posteriores al sismo y existía una gran dificultad para acceder a la energía eléctrica, gas, comunicaciones telefónicas, entre otros.
Mi padre se encontraba fuera del país y la capacidad de las líneas áreas había sido afectada por la demanda de pasajes que se presentó. En aquella época yo no lograba entender las razones por las que una línea área no podía ofrecer niveles de servicio adecuados a la situación presentada.
Recuerdo haber pasado varias horas pensando en el desastre que había ocurrido y las opciones que en mi limitada experiencia, a los diez años de edad, suponía que podrían haber prevenido tanta destrucción.
Por otra parte, en términos profesionales inicié formalmente a trabajar en temas de continuidad del negocio en una institución financiera, trabajando como becario a los 19 años de edad y posteriormente como auditor interno en la Unidad de Contraloría Interna de la Secretaría de Hacienda y Crédito Público, que era la entidad de recaudación tributaria en México.
Entrando al nuevo siglo XXI e impulsado por las preocupaciones generadas por el tema del “bug del milenio”, trabajé para el despacho Arthur Andersen, y ante el creciente interés en temas de Seguridad de la Información y Continuidad del Negocio fundé la consultora Secure Information Technologies hace doce años, compartiendo el interés en estos temas con mi esposa, quien también ha trabajado en estos temas desde muy corta edad.
Durante este último periodo, se ha incrementado el interés de las organizaciones sobre estos temas y por ello, actualmente realizo consultorías para la gestión de riesgos en sus diferentes especialidades para organizaciones en toda Latinoamérica.
En tu experiencia, ¿cuál es el caso más exitoso en la disciplina del business continuity?
He conocido diversos casos exitosos en esta disciplina, sin embargo, en algunos de ellos donde he participado de manera muy cercana, la confidencialidad de la información tiene un papel muy importante, por lo que en esta ocasión te compartiré un caso igualmente exitoso pero que resulta del dominio público.
Y me refiero al caso de la Comisión Federal de Electricidad de México, conocida como CFE, quien actualmente es la única entidad responsable de proveer energía eléctrica a toda la República Mexicana. Y esto no es para menos, cuando hablamos de un país con alrededor de 100 millones de habitantes.
El éxito al que me refiero en este caso atiende al hecho de que la CFE logró superar la crisis generada tras la desaparición de la empresa de Luz y Fuerza del Centro. Hasta el año 2009 la compañía de Luz y Fuerza del Centro era la responsable de proveer energía eléctrica a la Ciudad de México y otras ciudades localizadas en el centro del país, mientras CFE atendía el resto del territorio nacional. Por decreto presidencial, durante el mandato de Felipe Calderón, prácticamente de la noche a la mañana, se dio a conocer el cierre de la compañía de Luz y Fuerza del Centro y se asignó la tarea de continuar la provisión de energía a la ciudad por parte de la CFE. Los riesgos relacionados con esta decisión incluían diversos eventos como el cierre de instalaciones, posibles actos de sabotaje, inconformidad de trabajadores, fallas en los procesos operativos, entre un largo etcétera. Personalmente considero grave la posibilidad de que una ciudad del tamaño de la Ciudad de México pudiera enfrentarse a una interrupción indefinida en la provisión de energía eléctrica. Afortunadamente, desde el punto de vista operacional, la CFE logró asegurar la continuidad en la provisión del servicio y no se presentaron daños irreversibles.
¿Y el caso menos exitoso? ¿Qué pudiste aprender de él?
El primero en mi lista de casos no exitosos definitivamente es el relacionado con el terremoto de 1985 referido anteriormente; sin embargo, en la historia reciente han existido casos igualmente desfavorables como el terremoto en Haiti, el derrame de petróleo que involucró a la empresa BP o la pandemia por brote de influenza AH1N1 en el 2009.
Y me quiero referir a este último caso, el de la pandemia, ya que en complemento a la pregunta que amablemente me has realizado, este caso nos dejó grandes lecciones relacionadas con la preparación ante crisis o desastres. Particularmente, fue evidente en la mayoría de las organizaciones que no contaban con estrategias para atender una situación tan particular como la presentada.
Y ¿cuál era esa situación tan particular?, pues el hecho de contar con recursos como la materia prima, las instalaciones, la tecnología, la información, las telecomunicaciones, los recursos financieros, pero con una afectación a la disponibilidad de su personal.
Anteriormente, existía una tendencia hacia documentar planes de continuidad del negocio tomando como base los escenarios de riesgo; por eso muchas organizaciones no contaban con planes de continuidad del negocio ante una pandemia ya que la organización no la había reconocido como riesgo, o bien, se había reconocido pero se había decidido aceptar o retener el riesgo. Esto ha evolucionado en la actualidad y, gracias también a estándares como el BS 25999 e ISO 22301, ahora sabemos que las estrategias de continuidad del negocio funcionan mejor cuando se encuentran basadas en la disponibilidad de recursos, incluso ante escenarios que no se han presentado con anterioridad.
Respecto de la importante variable RTO, ¿cuán objetivo se puede llegar a ser para establecerla?
Considero que se puede llegar a ser muy objetivos en el establecimiento de los tiempos de recuperación objetivo cuando se complementa la definición de los mismos con un adecuado programa de ejercicios y pruebas que permita estimar de una manera mas cercana a la realidad los tiempos involucrados en la recuperación de los recursos necesarios para ejecutar las actividades críticas de la organización. El ejercicio constante de las estrategias de recuperación puede reducir considerablemente el grado de incertidumbre en el logro de los RTO. Sin embargo, considero que siempre se tratará de una simulación y no necesariamente se puede obtener un RTO totalmente exacto.
¿Cómo ves el futuro de la Continuidad del Negocio de aquí a 10 años?
En los próximos años seguirá siendo un tema primordial la protección de infraestructuras críticas y la gestión de la continuidad del negocio en un enfoque de “seguridad de la sociedad”. Un ejemplo muy interesante a tomar en cuenta es la ley que establece las medidas para la protección de infraestructuras críticas de España.
También considero que habrá un mayor énfasis en temas de negocio como el “análisis de contexto” y “gestión de partes interesadas” con el fin de optimizar la asignación y uso de recursos a temas primordiales.
Respecto a la gestión de riesgos, encontraremos mayores esfuerzos por gestionar el riesgo de manera integral y la adopción de estándares como el ISO 31000; una mayor interacción entre diferentes tipos de riesgos que ahora se tratan de una forma aislada, pero que tienden a correlacionarse, como el caso de riesgos de seguridad de la información, riesgos tecnológicos, riesgo operacional, riesgo ambiental, entre otros.
De igual manera, estimo un incremento en temas de cibercriminalidad, por lo que debemos estar al pendiente en los próximos años de temas como los ataques distribuidos de denegación de servicio (DDoS) y la amenazas persistentes avanzadas (APTs).
En el tema de ejercicios y pruebas, habrá un incremento en la realización de pruebas intersectoriales, siendo punta de lanza en estos momentos el sector financiero. Tenemos ejemplos muy interesantes en nuestra región como es el caso de Perú, en donde se cuenta con la participación de las entidades regulatorias en la preparación y ejecución de los mismos.
En los próximos años, también encontraremos mayor regulación en sectores que por su naturaleza ya tratan los temas de continuidad del negocio, como es el caso de bancos, mercado de valores, administradoras de fondos, aseguradoras, afianzadoras, cajas de ahorro, etc.; pero también nuevas regulaciones para sectores como el de telecomunicaciones, salud, energía, agua, etc.
De igual forma, identifico una mayor integración dentro de las organizaciones de temas como protección civil, gestión de incidentes, gestión de crisis, gestión de emergencias, etc. con tendencia a una gestión integral de incidentes.
Finalmente, es importante resaltar el desarrollo de estándares internacionales que se tiene actualmente y que se encuentran en desarrollo, ya que esto permitirá que en los próximos 10 años contemos con organizaciones con mayor capacidad de resiliencia que contribuyan a un incremento en el aseguramiento y protección de nuestras sociedades.
Comentarios
Publicar un comentario