Sólo un 10% de las organizaciones tienen un programa efectivo de continuidad de negocio
- Actualidad
Solo una de cada diez organizaciones públicas y privadas dispone de estrategias de continuidad de negocio para sus sistemas de tecnología a pesar de que su negocio depende al 100% de ellos. Es una advertencia de itSMF España, que advierte de las consecuencias que puede tener un desastre no controlado y llama a los CEO a que se comprometan con esta cuestión, ya que "los CIOs no deben quedarse solos" en esto.
Recomendados: Inteligencia Artificial, ¿cómo lo aplico en mi empresa?Webinar Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar |
La gestión de las estrategias de continuidad de negocio debe ser una prioridad en la agenda de los directores generales de las empresas, según recomienda itSMF España, que apunta, además al hecho de que dejar estas situaciones de riesgo en manos solamente del equipo de tecnología o de seguridad de la organización puede suponer un impacto demoledor en las cuentas de resultados.
Entre otros impactos que pueden afectar a la continuidad del negocio, itSMF España menciona la falta de capacidad operativa para desarrollar el negocio, pérdidas económicas, incumplimiento de los objetivos corporativos, de los marcos normativos o de los acuerdos de nivel de servicio, la pérdida de imagen o reputación, o las reclamaciones de los interlocutores sociales.
Precisamente debido al impacto sobre la organización, y especialmente sobre la cuenta de resultados y sobre la responsabilidad legal- que puede provocar un incidente, es necesario el compromiso de la alta dirección en el diseño, elaboración y puesta en práctica de los planes de continuidad de negocio y recuperación ante desastres. De hecho, según apunta Aquilino Pujol, actualmente, solo el 10% de las empresas dispone de estrategias de continuidad de negocio para sus sistemas de tecnología a pesar de que su negocio depende al 100% de ellos.
Elementos básicos en una estrategia de éxito
Las políticas de gestión de la continuidad del negocio deben basarse en un análisis de riesgos y de impacto en el negocio. En el análisis de riesgos, hay que tener en cuenta el nivel de activos que soportan el negocio así como sus dependencias, tanto de personal, como de infraestructuras tecnológicas, de comunicaciones, de servicios en la nube o de proveedores.
Por su parte, el análisis de impacto en el negocio debe incluir la determinación de los tipos de impacto, la identificación de las actividades que soportan el suministro de productos y servicios, la determinación de puntos únicos de error (SPOF), los plazos inaceptables (Período Tolerable Máximo de Disrupción, MTPD), los periodos máximos de pérdidas de datos (MDLP) y de tiempo máximo de recuperación (RPO) y los recursos necesarios para soportar las actividades prioritarias (Minimum Business Continuity Objective, MBCO).
Finalmente, la organización debe contar con cuatro aspectos básicos para poder llevar a cabo una estrategia adecuada de continuidad de negocio: plan de continuidad de negocio en el que se establezcan los procedimientos y responsabilidades generales y de gestión de la crisis; plan de respuesta a incidentes; plan de recuperación de desastres, especialmente para que la infraestructura tecnológica y de comunicaciones vuelva a ponerse en marcha; plan de recuperación de las actividades y plan de restauración para volver a los niveles habituales de servicio.
itSMF España recuerda que la continuidad del negocio se puede certificar mediante los estándares ISO/IEC 27002:2013, que establece los aspectos de la seguridad de la información en la gestión de la continuidad del negocio; ISO/IEC 20000, sobre continuidad de servicios; ISO/IEC 22301:2019, sobre los requerimientos para un sistema de gestión de la continuidad del negocio; o ITIL 4, sobre la disponibilidad y el rendimiento de los servicios en caso de desastre. Además, el Reglamento General de Protección de Datos de la Unión Europea de 2016 también prevé la necesidad de tomar medidas técnicas y organizativas para garantizar los niveles de seguridad ante riesgos para los derechos y libertades de las personas físicas.