Las amenazas y la ciberdelincuencia no discriminan entre grandes compañías y pymes, pero ¿están las pymes preparadas para hacer frente a estos riesgos? .
Históricamente, cuando se pensaba en la continuidad de negocio se tendía a pensar en disrupciones de carácter natural (como incendios, inundaciones, etc.), sin embargo, en el mundo actual, donde la utilización de proveedores y sistemas informáticos es vital para las operaciones diarias de las organizaciones, el rango de amenazas ha aumentado. La delincuencia cibernética busca información allá donde esté disponible,
no importa el tamaño de la empresa ni la información que puedan conseguir, ya que con esta información siempre se va a poder hacer negocio, ya sea a través del cifrado de dispositivos y servidores mediante ransomware, o bien vendiendo la información obtenida en la Deep Web.
No prever estos riesgos, o incluso menospreciarlos, puede suponer
un error crítico para la viabilidad de las organizaciones. Si bien la gran mayoría de las organizaciones disponen de planes de prevención de riesgos laborales y planes evacuación de sus colaboradores en caso de incendio, no se considera cómo estos riesgos afectan a uno de los principales activos de la organización: la información, cuya perdida pone en riesgo, no sólo la continuidad inmediata de la operativa de la empresa, sino cualquier posibilidad de continuarla en el futuro.
Además de no prever estos riesgos, el coste, la indisponibilidad de personal o la reducida probabilidad de crisis son las principales razones por las que las pymes no se plantean la implantación de un sistema de gestión de continuidad de negocio. Estos Planes de Continuidad de Negocio sirven para mejorar la preparación que tienen las organizaciones ante diferentes tipos de incidente que provoquen interrupciones en las actividades de dicha empresa, recuperando a la mayor brevedad posible las actividades más críticas, aunque esto puede extrapolarse a todas las actividades de la Organización.
Muchas empresas disponen de un Plan de Recuperación ante Desastres (DRP por sus siglas en inglés) en prevención de la indisponibilidad de sus sistemas informáticos, pero un Plan de Continuidad de Negocio va más allá, identificando diferentes escenarios de crisis que puedan afectar a la organización, tomando como fuentes, no sólo la indisponibilidad tecnológica, sino también posibles indisponibilidades de las oficinas físicas, los recursos humanos, o los proveedores que ofrecen servicios críticos para la organización; priorizando la criticidad de las diferentes operaciones y estableciendo planes de recuperación, todo ello acompañado de la definición de una estrategia de pruebas y de concienciación de los colaboradores más críticos, haciendo que el Plan de Continuidad de Negocio sea realmente útil y productivo para las empresas.
Existen diferentes formas de prepararse para establecer un sistema de gestión de la continuidad de negocio, pero ¿cuáles son los pasos que debe seguir una organización para implantar uno?.
- Identificar los objetivos y operaciones de la propia organización. Es necesario tener claro cuáles son los objetivos que queremos conseguir y en qué debemos establecer los focos de atención.
- Identificar y evaluar los principales escenarios y amenazas que afectan a la Organización, sean del tipo que sea, desde amenazas naturales hasta amenazas provocadas, considerando cualquier activo de la empresa (activos humanos, tecnológicos, infraestructura, etc.). Este análisis de Riesgos será una de las principales bases sobre las que se asentará nuestro Plan de Continuidad de Negocio.
- Establecer las actividades críticas. En muchas ocasiones, y si la empresa es muy pequeña, la Dirección suele conocer de antemano cuales son las actividades más críticas para su negocio. No obstante, es recomendable establecer una metodología objetiva, que considere diferentes aspectos a los que afectaría una posible disrupción de dicha actividad (requisitos de otros departamentos, impacto en la reputación financiera, o, por supuesto, impacto económico que supondría). Esta fase, denominada BIA por sus siglas en inglés (Business Impact Analysis) es junto con el Análisis de Riesgos otra de las etapas más críticas y que mayor cuidado hay que tener al efectuarlas, pues todas las estrategias y procedimientos que desarrollemos irán enfocadas a la protección de las actividades más críticos y se focalizarán en los riesgos más graves que se hayan detectado.
- Considerando estas fuentes, ya se pueden establecer cuáles serán las estrategias de recuperación que se establecerán para la Organización, en función del presupuesto y de los tiempos de respuesta que se hayan establecido.
- Establecimiento de un Plan de Comunicación, en el que se identifiquen claramente los roles involucrados, así como actores internos y externos que puedan verse afectados por una disrupción en el negocio.
- Diseñar un Plan de Formación, en el que se identifiquen los cursos y concienciaciones necesarias para que todos los colaboradores conocen las formas de actuar y su papel en caso de una disrupción.
- Pruebas: Si un Plan no se pone en práctica, la probabilidad de que funcione bien cuando sea necesario es muy reducida. Establecer un Plan de Pruebas adecuado, en el que se evalúen los tiempos de respuesta y el conocimiento de los involucrados en el Plan puede suponer un hecho diferencial para la consecución de nuestros objetivos.
- Las organizaciones cambian de forma constante (rotación de personal, apertura de nuevas instalaciones, cambios en sistemas informáticos, etc.), por lo que es necesario mantener el Plan de Continuidad actualizado, mediante revisiones periódicas y con la retroalimentación del propio plan de pruebas.
- Vuelta a la Normalidad: Toda crisis llega a su fin y un Plan de Continuidad debe continuar hasta que los procesos de negocio vuelven a operar con normalidad. Por ello, existe una fase adicional a considerar, que es la de identificar los procedimientos y comunicaciones que se deben seguir para volver a operar dentro de esta normalidad. Se deberán establecer los canales de comunicación para informar a los equipos afectados, así como, diseñar los procedimientos para volver a utilizar los activos primarios y devolver los sistemas de recuperación a su estado normal.
Como puede observarse, este tipo de sistemas van
más allá de la implantación de estrategias y planes de respuesta, si no que se trata de un proceso constante y cíclico, siendo necesario un esfuerzo constante por parte de la Organización para mantenerlo operativo. Siguiendo estos pasos, obtendremos un sistema de gestión de continuidad de negocio completo y con un ciclo de vida basado en la mejora continua, tal y como se define en los principales estándares y buenas prácticas.
¿Y qué ventajas ofrece este Sistema Gestor de la Continuidad de Negocio?
- El primero y más importante, anteponerse a los desastres y disrupciones; la gestión proactiva y preventiva de las amenazas es vital para
- Reducción de pérdidas. Al tomar medidas con tiempos de respuesta ajustados y dar una operativa continua, se puede minimizar la pérdida de clientes, así como evitar o reducir sanciones de las instituciones regulatorias.
- Ventaja competitiva. Disponer de un Plan de Continuidad de Negocio puede suponer una ventaja frente a los competidores, así como una fuente de confianza para inversores.
Si bien implantar un Plan de Continuidad de Negocio es un proyecto costoso en recursos y monetario para las empresas (considerando que, además del coste de lanzamiento e implantación, tiene que mantenerse vivo, derivando recursos de forma constante para su actualización y mejora), se debe tener en cuenta que cualquier Organización, grande o pequeña, se encuentra en riesgo y se enfrentan a posibles desastres si no se encuentran preparadas y no son capaces de realizar sus servicios o entregar sus productos a raíz de un incidente. Una aproximación muy útil para pequeñas empresas es la de
abordar su Plan de Continuidad de Negocio por etapas, pudiendo hacerse esta aproximación de diferentes formas, ya sea focalizándose en unos pocos procesos de negocio o bien limitando los escenarios de crisis que se van a considerar y para los que se plantearán estrategias de recuperación. Sea cual sea la aproximación que se utilice, se debe ver este tipo de proyectos como una
inversión y no como un coste, ya que no contar con un Plan de Continuidad de Negocio probado o no establecer los procedimientos y documentación adecuados puede suponer un coste incluso mayor al del propio Sistema Gestor de Continuidad de Negocio.
Referencias
Antonio Martínez Jiménez
CISSP, ISO 20000 L.A.
Dpto. Consultoría