Manuel Mendiola, Responsable de Riesgos Tecnológicos en PKF Attest
    Manuel Mendiola, Responsable de Riesgos Tecnológicos en PKF Attest

¿Ya dispone de un plan de continuidad para su plan de negocio?

Manuel Mendiola / 18 mar 2020 / 14:30 H.

Un viernes por la noche recibo una llamada de un cliente para pedirme ayuda. Son víctimas de un intento de extorsión. Un software malicioso -concretamente el ransomware Ryuk- ha infectado sus sistemas de información y ha cifrado gran parte de los datos, incluidas las copias de seguridad, exigiendo un rescate si desean recuperarlos. Este episodio, por desgracia, no es un hecho aislado. Ese mismo mes ya había recibido una llamada similar de otro cliente. En esa ocasión el ransomware tenía su origen en el troyano Emotet.

La similitud más alarmante de estos dos casos no es, en mi opinión, haber sufrido este tipo de ataque. Ninguna empresa -por mucho que invierta en ciberseguridad- está totalmente libre de vivir una experiencia como la descrita. Lo preocupante era que no contaban con un Plan de Continuidad de Negocio (PCN o BCP -Business Continuity Plan-), lo que disminuye sus posibilidades de recuperarse sin ver afectada su actividad de forma significativa o sufrir pérdidas económicas relevantes.

Inundaciones, incendios, fallos eléctricos, virus, pérdidas accidentales de información, errores informáticos, etc., son amenazas que pueden surgir en cualquier entorno de trabajo y para las que es necesario prepararse para minimizar su impacto en la actividad de negocio. Incluso el temible coronavirus, tan en boga estos días, está poniendo en jaque el funcionamiento de las empresas de algunos países, al impactar en la movilidad y disponibilidad de su personal.

Los responsables de cualquier organización, con independencia de su sector, tamaño o volumen de facturación, han de plantearse si están preparados ante un incidente serio. Tener definido y aplicar un PCN mitigará el impacto financiero y de pérdida de información además de repercutir favorablemente en la imagen y reputación de la empresa.

La gestión de continuidad de negocio (BCM - Business Continuity Management) no debe ser considerada como un proyecto -con una fecha preestablecida de inicio y fin-, sino como un proceso continuo en el tiempo.

Al fin y al cabo, nuestra organización evoluciona cada día, adquiriendo activos, desarrollando nuevos servicios, y, sobre todo, gestionando un volumen de datos cada vez mayor. Por ello, el compromiso de la dirección y la concienciación de los empleados en relación con la continuidad de negocio resulta crucial.

Un error frecuente es enfocar la recuperación únicamente desde la perspectiva de los sistemas de información. Como consultor y auditor, me encuentro muchos clientes que disponen de un Plan de Recuperación ante Desastres (PRD o DRP - Disaster Recovery Plan-), pero -sin embargo- no tienen un PCN. Es como empezar la casa por el tejado.

Un PRD se centra en la recuperación de los sistemas informáticos críticos -datos, aplicaciones, hardware, etc.-. Forma parte del PCN y es un elemento crucial. Sin embargo, si se elabora fuera del marco de un PCN, es muy probable que los tiempos de recuperación previstos y las prioridades en la restauración de aplicaciones y servicios los defina tecnología, en vez de hacerlo negocio, que es quien realmente está capacitado para establecer estos criterios.

Para una correcta definición e implantación del PCN es posible apoyarse en estándares y buenas prácticas como la ISO 22301 o NIST 800-34. Una de las primeras tareas es la realización de un análisis de impacto en el negocio (BIA - Business Impact Analysis) que nos permita identificar el coste que supondría la interrupción de los diferentes procesos críticos y establecer su prioridad de recuperación.

Este informe, junto con un análisis de los riesgos a los que nos enfrentamos, nos permitirá seleccionar las estrategias de recuperación a elaborar. Posteriormente, se llevará a cabo el desarrollo del Plan de Contingencias que contiene los procedimientos operativos a efectuar a través de diversos planes -Plan de Activación, Plan de Comunicación, Plan de Recuperación ante Desastres, Plan de Retorno, etc.-.

Por último, será necesaria la implantación de todos estos planes, pruebas periódicas que garanticen su adecuado funcionamiento y un mantenimiento constante que nos permita adaptarlos a los constantes cambios organizativos.

También es recomendable realizar auditorías externas que -de forma experta e independiente- valoren el funcionamiento de nuestro PCN. Según un estudio de Gartner, el 57% de 1.000 empresas americanas con facturación superior a 10 millones de dólares no contaba con un PCN o no se había probado. Del 43% restante, un 48% presentaba fallos relevantes durante las pruebas y simulacros que se les realizaban.

Disponer de un PCN puede parecer un proceso muy complejo y costoso, pero realmente no lo es. O no tanto, si se compara con el coste que puede suponer no tenerlo. Según la cámara de comercio de Londres, el 43 % de las empresas que han sufrido un siniestro y no contaban con un PCN no pudieron continuar su actividad y el 80% del resto cerró antes de 13 meses.

En cuanto a la probabilidad de sufrir un incidente, y por poner un simple ejemplo centrado en la ciberseguridad, en 2019, según la firma Check Point, las empresas españolas han sufrido una media de 436 ciberataques a la semana. De hecho, España durante este año ha estado dentro de los diez países con mayor infección por malware.

¿Confía lo suficiente en sus medidas de prevención como para seguir sin un Plan de Continuidad de Negocio? ¿Dispone de uno, pero no sabe con certeza si se ha probado y se encuentra actualizado? No espere a que sea tarde...