- itSMF España advierte de que las consecuencias económicas, legales y reputacionales ante un desastre no controlado pueden ser demoledoras
- Contar con planes de continuidad, de respuesta ante incidentes, de recuperación de desastres y de reactivación se vuelve esencial hoy día. Hoy en día, sin embargo, tan solo el 10% de las organizaciones, tanto públicas como privadas, tienen un programa efectivo de continuidad de negocio para sus activos tecnológicos
La gestión de las estrategias de continuidad de negocio debe ser una prioridad en la agenda de los directores generales de las empresas, según recomienda itSMF España, que apunta, además al hecho de que dejar estas situaciones de riesgo en manos solamente del equipo de tecnología o de seguridad de la organización puede suponer un impacto demoledor en las cuentas de resultados.
“Podemos estar acostumbrados a eventos disruptivos conocidos que pueden dificultar la continuidad del negocio, tales como la caída de la página web en un e-commerce”, apunta Renato Aquilino Pujol, auditor senior IT y miembro del Comité de la Comunidad Valenciana de itSMF España. “Pero hoy en día hay muchos otros aspectos que se deben tener en cuenta y que pueden perjudicar la imagen del negocio o incluso menoscabar las cuentas generales, debido a las multas que estipula la ley ante fallos, por ejemplo, en el cumplimiento de la custodia de los datos personales de clientes”.
Precisamente debido al impacto global sobre la organización –y especialmente sobre la cuenta de resultados y sobre la responsabilidad legal- que puede provocar un incidente, es necesario el compromiso de la alta dirección en el diseño, elaboración y puesta en práctica de los planes de continuidad de negocio y recuperación ante desastres. De hecho, según apunta Aquilino Pujol, actualmente, solo el 10% de las empresas dispone de estrategias de continuidad de negocio para sus sistemas de tecnología a pesar de que su negocio depende al 100% de ellos.
Entre otros impactos que pueden afectar a la continuidad del negocio, itSMF España enumera la falta de capacidad operativa para desarrollar el negocio, pérdidas económicas, incumplimiento de los objetivos corporativos, de los marcos normativos o de los acuerdos de nivel de servicio, la pérdida de imagen o reputación, o las reclamaciones de los interlocutores sociales.
Certificando la continuidad de negocio
La continuidad del negocio se puede certificar mediante los estándares ISO/IEC 27002:2013, que establece los aspectos de la seguridad de la información en la gestión de la continuidad del negocio; ISO/IEC 20000, sobre continuidad de servicios; ISO/IEC 22301:2019, sobre los requerimientos para un sistema de gestión de la continuidad del negocio; o ITIL 4, sobre la disponibilidad y el rendimiento de los servicios en caso de desastre. Además, el Reglamento General de Protección de Datos de la Unión Europea de 2016 también prevé la necesidad de tomar medidas técnicas y organizativas para garantizar los niveles de seguridad ante riesgos para los derechos y libertades de las personas físicas.
“Es fundamental que se comprenda cómo funciona la organización y su contexto, incluyendo las necesidades y las expectativas de las partes interesadas, la identificación de los requisitos legales y normativos y la determinación del alcance del sistema de gestión de continuidad”, advierte Aquilino. “Por ello, el papel y el compromiso de la alta dirección es fundamental a la hora de elaborar las políticas y objetivos de la continuidad”. En este sentido, es preciso decidir tácticas que sean apropiadas para el propósito de la organización con un marco de objetivos de continuidad que incluyan los compromisos para satisfacer los requisitos aplicables y un compromiso de mejora continua.
Elementos básicos en una estrategia de éxito
Las políticas de gestión de la continuidad del negocio se deben basar en un análisis de riesgos y de impacto en el negocio previos a la elaboración de la estrategia de continuidad. En el análisis de riesgos, se debe tener en cuenta el nivel de activos que soportan el negocio así como sus dependencias, tanto de personal, como de infraestructuras tecnológicas, de comunicaciones, de servicios en la nube o de proveedores.
Por su parte, el análisis de impacto en el negocio debe incluir la determinación de los tipos de impacto, la identificación de las actividades que soportan el suministro de productos y servicios, la determinación de puntos únicos de error (SPOF), los plazos inaceptables (Período Tolerable Máximo de Disrupción, MTPD), los períodos máximos de pérdidas de datos (MDLP) y de tiempo máximo de recuperación (RPO) y los recursos necesarios para soportar las actividades prioritarias (Minimum Business Continuity Objective, MBCO).
Finalmente, la organización debe contar con cuatro aspectos básicos para poder llevar a cabo una estrategia adecuada de continuidad de negocio:
- Plan de continuidad de negocio en el que se establezcan los procedimientos y responsabilidades generales y de gestión de la crisis. Este plan debe ser suficientemente específico y flexible, así como centrado en el impacto que los incidentes pueden provocar ante una disrupción y eficaz para reducir al mínimo el impacto provocado.
- Plan de respuesta a incidentes.
- Plan de recuperación de desastres, especialmente para que la infraestructura tecnológica y de comunicaciones vuelva a ponerse en marcha.
- Plan de recuperación de las actividades siguiendo los objetivos previstos en el plan de continuidad de negocio
- Plan de restauración para volver a los niveles habituales de servicio.