En un ambiente dinámico, los cambios externos ponen a prueba la capacidad de los sistemas para recuperar su estado inicial (que en ocasiones también es el estado ideal), luego de que finaliza alguna perturbación a la cual habían estado sometidos. Esta propiedad es conocida como resiliencia, misma que puede ser aplicada en diferentes ambientes.
En la edición 2015 del Congreso Seguridad en Cómputo, David Jiménez, CISO del área de Procesos de Negocio y Tecnología de Información de Petróleos Mexicanos (PEMEX), habló sobre la resiliencia operativa; el concepto puede ser utilizado como punto de partida para aprovechar la convergencia entre seguridad de la información, continuidad del negocio y las operaciones en las áreas de Tecnologías de Información.
¿Qué es la resiliencia operativa?
En el ámbito organizacional, la resiliencia operativa se puede definir como la habilidad de una organización para perseguir su misión y aprovechar oportunidades, incluso en circunstancias no idóneas o adversas como un incidente de seguridad o una crisis financiera. Esta habilidad tiene como propósito fundamental mantener los procesos de negocio y los servicios que soportan de manera directa la misión de la organización.
La resiliencia operativa es la habilidad de una organización para perseguir su misión en circunstancias adversas
Estos procesos de negocio son habilitados por personas, tecnología, información e incluso las instalaciones; por ello, cuando se presenta alguna eventualidad con el impacto suficiente para afectar alguno de estos elementos, la capacidad de la organización para alcanzar su misión podría verse mermada. Por ello, la resiliencia operativa busca atender esta capacidad de los procesos y servicios críticos, en busca de mantenerlos disponibles antes los eventos inesperados e indeseados.
La resiliencia operativa tiene un menor alcance si se compara con la resiliencia empresarial, asociada a riesgos de mercado, de crédito o financieros. La operativa, como su nombre lo indica, está relacionada con los riesgos operativos, que generalmente son aquellos que buscan ser tratados (mitigados, eliminados, transferidos o aceptados) por las áreas de seguridad en las organizaciones.
Volver al estado normal, como un resorte
Jiménez explicó el concepto a través de una analogía con la propiedad de elasticidad de los resortes, ya que son capaces de almacenar energía y desprenderse de ella sin sufrir deformación permanente cuando cesan las fuerzas o la tensión a las que son sometidos, siempre y cuando éstas no sobrepasen su capacidad de elasticidad.
Lo mismo, entonces, ocurre con las organizaciones. Pueden ser sometidas a situaciones de estrés, que no necesariamente están relacionadas con incidentes de seguridad de la información, y que requieren regresar a su estado normal de operaciones luego de que algún factor tiende a modificarlas o afectarlas.
El ambiente de las organizaciones cambia continuamente en cuanto a riesgos y oportunidades
Entre estos otros factores se puede incluir la tecnología (debido a que en ocasiones es compleja, requiere soporte y puede estar asociada con vulnerabilidades y riesgos), proveedores (que deben soportar procesos importantes, tienen acceso a información y por lo cual también pueden representar riesgos), o bien otros factores de alcance mundial, como es el caso de la globalización que también podría afectar a las empresas.
¿Por qué es importante la resiliencia operativa y cuál es su alcance?
En la presentación se mencionó que la resiliencia operativa adquiere relevancia debido a que el ambiente alrededor de las organizaciones continuamente está cambiando en términos de riesgos y oportunidades.
En estas condiciones, no es posible reaccionar ante todas las situaciones probables, y menos tener una solución para todas ellas. Por lo tanto, se pretende que la empresa se pueda mantener ante situaciones de estrés, de incidentes o problemas, de manera que regrese a su estado inicial si se atienden, es decir, que continúe persiguiendo su misión.
Por otro lado, la resiliencia no puede ser determinada en términos de lo que no ha sucedido o se desconoce, y aunque resulta importante identificar el ambiente de riesgo actual en la organización, es más relevante determinar la capacidad de la empresa para predecir su comportamiento ante una situación de estrés. En otras palabras, estimar qué tan bien se va a desempeñar la organización ante un cambio en el ambiente de riesgos.
Por ello, tres elementos pueden converger hacia la gestión de riesgos: gestión de la seguridad, gestión de la continuidad del negocio y gestión de la operación de TI. Aunque muchas organizaciones cuentan con estos tres elementos de gestión, en ocasiones se llevan a cabo de forma aislada. El propósito es, entonces, contar con datos convergentes y una métrica asociada a la resiliencia, que permitan tener un mejor entendimiento con los niveles directivos.
¿Qué mejores prácticas existen con relación al tema?
Existe documentación relacionada a la resiliencia operativa y tiene como base mejores prácticas. El Software Engineering Institute (SEI) de la Universidad Carnegie Mellon propone CERT Resilience Management Model (CERT-RMM) para mejorar los procesos de resiliencia operativa.
La resiliencia operativa es el punto de partida para combinar seguridad, continuidad y actividades de TI
El modelo busca establecer la convergencia del riesgo operacional y las actividades de gestión de la resiliencia. La convergencia es un concepto fundamental, que se define como la armonización de las actividades de gestión de riesgos operacionales que tienen objetivos y resultados similares.
Además de los tres elementos de gestión anteriores, puede incluir actividades como la gestión financiera, comunicaciones, recursos humanos, capacitación y educación.
Este modelo se compone de 26 procesos divididos en 4 categorías (ingeniería, gestión empresarial, operaciones y gestión de procesos). Cada proceso contiene prácticas y metas específicas. Además, tiene como propósito aplicar un enfoque de mejora de procesos mediante la definición y aplicación de una escala de capacidades, que se expresa en niveles de madurez en los procesos.
Como habitualmente sucede con los frameworks de mejores prácticas, también puede incluir trazabilidad con estándares y otros marcos de referencia como ISO 27001, COBIT o ITIL, por lo que puede ser complementado por las prácticas descritas en otros documentos.
En resumen, ¿cómo puede ser aplicada la resiliencia operativa?
La aplicación de un modelo para la resiliencia operativa es el punto de partida para aprovechar la convergencia entre seguridad, continuidad del negocio y las actividades de operaciones de TI.
Además, puede ser la base para evaluar las capacidades de la organización y mejorar las áreas donde no han alcanzado el estado deseado; mejorar las actividades de seguridad de la información, cumplimiento, operaciones de TI, de continuidad y recuperación ante desastres, así como evaluar las actividades de protección de la infraestructura crítica.
Por último llega a la conclusión de que la resiliencia operativa nunca se alcanza plenamente, y por lo tanto debe ser gestionada continuamente. Una manera de hacerlo es través de un modelo de referencia, iniciando con las áreas de interés para luego incrementar el alcance, en conjunto con otras mejores prácticas. Las acciones de resiliencia pueden derivar en un mejor entendimiento del retorno de la inversión.