Entrevista a Dejan Košutić #BusinessContinuity #DisasterRecovery
Mi abuela solía decir: "ante tanta insistencia, poca resistencia"; y así, después de varios meses, logré obtener la entrevista que tanto anhelaba; en esta oportunidad, a Dejan Košutić, fundador y colaborador de 27001Academy. El Sr. Košutić cuenta con amplia experiencia laboral en todo Europa, como instructor y consultor en temas de seguridad de la información y continuidad de negocios, y a nivel mundial a través de cursos en línea y webinars. En su carrera como consultor ha trabajado para clientes del sector financiero, gobierno, y pequeñas y medianas empresas, incluidas empresas de TI. Tiene un MBA de Henley Management College, y está certificado como: Certified Management Consultant, ISO/IEC 27001 Lead Auditor, Associate Business Continuity Professional, e ISO 9001 Lead Auditor.
Nombre: Dejan Košutić
¿Cómo llegaste al mundo de la Continuidad del Negocio?
R: De hecho, empecé como consultor de seguridad de la información (para la acreditación ISO 27001) y rápidamente me di cuenta de dos cosas: primero, que la seguridad de la información está estrechamente relacionada con la continuidad del negocio (muy a menudo no se puede trabajar una sin la otra), y en segundo lugar, que la norma ISO 27001 proporciona muy pocas luces sobre cómo implementar la continuidad del negocio. Es por ello que decidí especializarse también en las normas de continuidad del negocio: primero, la serie BS 25999, y más tarde, en las normas ISO 22301, ISO 22313, ISO 27031, etc.
En tu experiencia, ¿cuál es el caso más exitoso en la disciplina del business continuity?
R: Bueno, puedo tomar un ejemplo de mi país de origen. Hace 25 años, por desgracia estábamos en guerra, y algunas de nuestras ciudades estaban prácticamente en la línea del frente. Incluso en esa situación —en la que las ciudades eran bombardeados a diario, la logística o bien se cortaba o era disfuncional, la electricidad no era regular—, el sector financiero no resultó afectado demasiado: el sistema de pagos funcionó casi con normalidad, se abrieron los bancos, etc. El punto es que, incluso en una situación muy adversa, con una buena organización y personas capacitadas, es posible sostener las operaciones de negocio.
¿Y el caso menos exitoso? ¿Qué pudiste aprender de él?
R: Hay muchos ejemplos de empresas que sufren de daños considerables o incluso que no llegan a poder recuperarse ante grandes eventos de interrupción (sea naturales o causadas por el hombre). La lección aprendida es que simplemente no pueden confiarse pensando que "esto no va a pasarnos a nosotros". Tal "estrategia" es demasiado cara, ya que la inversión en continuidad del negocio es siempre 10 veces o más barato que el daño al que las empresas están expuestas.
Respecto de la importante variable RTO, ¿cuán objetivo se puede llegar a ser para establecerla?
R: Definitivamente, no se puede establecerla bien la primera vez. Esto requiere experiencia, y muy a menudo el consenso dentro de una empresa. Por lo tanto, creo que esto es un proceso. La primera vez que una empresa calcula su tiempo objetivo de recuperación es probable que este no sea realista; sin embargo, con el paso del tiempo, a medida que el sistema de gestión de la continuidad del negocio va madurando, los responsables obtendrán más experiencia (y expectativas más realistas), y luego un RTO más "objetivo" se podrá establecer.
¿Cómo ves el futuro de la Continuidad del Negocio de aquí a 10 años?
R: Creo que con la ISO 22301 se ha dado un gran paso adelante, no solo como un marco único para la continuidad del negocio a nivel mundial, sino también como una forma de consolidar los conocimientos técnicos de continuidad del negocio y las necesidades propias del negocio (y por lo tanto, tener una mejor receptividad e interés por parte de la alta dirección). Debido a que la ISO 22301 fue publicada en 2012 y que aún no está completamente establecida, creo que en los próximos años vamos a ver las dos tendencias: (1) la ISO 22301 posicionándose como el marco líder para la continuidad del negocio, mientras que otros marcos se volverán cada vez menos importantes (la ISO 22301 significará para la continuidad del negocio lo que significa la ISO 9001 ahora para la gestión de la calidad); y (2) una mejor comprensión de los responsables de tomar decisiones acerca de porqué la continuidad del negocio es útil e importante para los negocios.
Nombre: Dejan Košutić
Lugar de nacimiento: Croacia
¿Cómo llegaste al mundo de la Continuidad del Negocio?
R: De hecho, empecé como consultor de seguridad de la información (para la acreditación ISO 27001) y rápidamente me di cuenta de dos cosas: primero, que la seguridad de la información está estrechamente relacionada con la continuidad del negocio (muy a menudo no se puede trabajar una sin la otra), y en segundo lugar, que la norma ISO 27001 proporciona muy pocas luces sobre cómo implementar la continuidad del negocio. Es por ello que decidí especializarse también en las normas de continuidad del negocio: primero, la serie BS 25999, y más tarde, en las normas ISO 22301, ISO 22313, ISO 27031, etc.
En tu experiencia, ¿cuál es el caso más exitoso en la disciplina del business continuity?
R: Bueno, puedo tomar un ejemplo de mi país de origen. Hace 25 años, por desgracia estábamos en guerra, y algunas de nuestras ciudades estaban prácticamente en la línea del frente. Incluso en esa situación —en la que las ciudades eran bombardeados a diario, la logística o bien se cortaba o era disfuncional, la electricidad no era regular—, el sector financiero no resultó afectado demasiado: el sistema de pagos funcionó casi con normalidad, se abrieron los bancos, etc. El punto es que, incluso en una situación muy adversa, con una buena organización y personas capacitadas, es posible sostener las operaciones de negocio.
¿Y el caso menos exitoso? ¿Qué pudiste aprender de él?
R: Hay muchos ejemplos de empresas que sufren de daños considerables o incluso que no llegan a poder recuperarse ante grandes eventos de interrupción (sea naturales o causadas por el hombre). La lección aprendida es que simplemente no pueden confiarse pensando que "esto no va a pasarnos a nosotros". Tal "estrategia" es demasiado cara, ya que la inversión en continuidad del negocio es siempre 10 veces o más barato que el daño al que las empresas están expuestas.
Respecto de la importante variable RTO, ¿cuán objetivo se puede llegar a ser para establecerla?
R: Definitivamente, no se puede establecerla bien la primera vez. Esto requiere experiencia, y muy a menudo el consenso dentro de una empresa. Por lo tanto, creo que esto es un proceso. La primera vez que una empresa calcula su tiempo objetivo de recuperación es probable que este no sea realista; sin embargo, con el paso del tiempo, a medida que el sistema de gestión de la continuidad del negocio va madurando, los responsables obtendrán más experiencia (y expectativas más realistas), y luego un RTO más "objetivo" se podrá establecer.
¿Cómo ves el futuro de la Continuidad del Negocio de aquí a 10 años?
R: Creo que con la ISO 22301 se ha dado un gran paso adelante, no solo como un marco único para la continuidad del negocio a nivel mundial, sino también como una forma de consolidar los conocimientos técnicos de continuidad del negocio y las necesidades propias del negocio (y por lo tanto, tener una mejor receptividad e interés por parte de la alta dirección). Debido a que la ISO 22301 fue publicada en 2012 y que aún no está completamente establecida, creo que en los próximos años vamos a ver las dos tendencias: (1) la ISO 22301 posicionándose como el marco líder para la continuidad del negocio, mientras que otros marcos se volverán cada vez menos importantes (la ISO 22301 significará para la continuidad del negocio lo que significa la ISO 9001 ahora para la gestión de la calidad); y (2) una mejor comprensión de los responsables de tomar decisiones acerca de porqué la continuidad del negocio es útil e importante para los negocios.
Interesante entrevista!
ResponderEliminar