Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio
Con el patrocinio de:
La PYME española ante los riesgos implantación de Planes de Continuidad Negocio Página 1 de 121 OBSERVATORIO DEy laLA SEGURIDAD DE deLA INFORMACIÓN Observatorio de la Seguridad de la Información
Edición: Noviembre 2010
El “Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio” ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO: Pablo Pérez San-José (dirección) Javier Rey Perille (coordinación) Laura García Pérez Cristina Gutiérrez Borge
INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación de este estudio y agradecer el patrocinio de su edición impresa de:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: •
Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
•
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesiblesdepuede consultar la guía disponible en121 la La PYME española ante los riesgos y la implantación de Planes de Continuidad Negocio Página 2 de sección Accesibilidad > Formación y Guías de la página http://www.inteco.es Observatorio de la Seguridad de >laManuales Información
ÍNDICE PUNTOS CLAVE .................................................................................................................6 I
Análisis de los niveles de seguridad en la PYME española ....................................6
II Cultura y conocimiento de la PYME española en materia de continuidad de negocio.............................................................................................................................7 III Análisis de los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española .........................................................................................8 IV Análisis comparativo de la gestión de la continuidad de negocio en la empresa española según su tamaño ..............................................................................................9 V 1
Mejores prácticas de continuidad de negocio........................................................10 INTRODUCCIÓN Y OBJETIVOS ...............................................................................11
1.1
Presentación ......................................................................................................11
1.1.1
Instituto Nacional de Tecnologías de la Comunicación .................................11
1.1.2
Observatorio de la Seguridad de la Información............................................12
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de Negocio...........................................................................13
2
1.2.1
Objetivo general .............................................................................................14
1.2.2
Objetivos específicos .....................................................................................14
DISEÑO METODOLÓGICO .......................................................................................17 2.1
Caracterización del universo objeto del estudio ................................................18
2.2
Fases del proyecto de investigación..................................................................21
2.2.1
Fase 1: Recopilación y estudio de informes ..................................................21
2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio .......................................................................................................................23 2.2.3
Fase 3: Elaboración del informe de conclusiones finales del proyecto..........26
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 3 de 121
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y consejos acerca del diseño y puesta en marcha de un plan de continuidad de negocio .......................................................................................................................28 3 ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAÑOLA DESDE EL PUNTO DE VISTA DE LA CONTINUIDAD DE NEGOCIO ...............................................29 3.1
Percepción de las incidencias de seguridad por parte de las empresas ...........31
3.2
Tipología de impactos generados por los incidentes de seguridad ...................34
3.3
Respuesta a los incidentes de seguridad por parte de las empresas................39
3.4 Madurez de los procesos de gestión de riesgos que impactan en la continuidad del negocio.....................................................................................................................42 3.5 Requerimiento de continuidad en los servicios facilitados por terceros o forma de gestionar la interdependencia ...................................................................................48 4 CULTURA Y CONOCIMIENTO DE LA PYME ESPAÑOLA EN MATERIA DE CONTINUIDAD DE NEGOCIO..........................................................................................51 5 ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE MEDIDAS O PLANES DE CONTINUIDAD DE NEGOCIO EN LA PYME ESPAÑOLA...............................................57 5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia, plan o procedimiento que les permita recuperar su actividad ante un desastre ............58 5.2 La importancia de disponer de medidas y la complejidad de gestionar los gastos necesarios en materia de continuidad de negocio.........................................................66 5.3 Necesidad de asesoramiento externo para la adopción de la estrategia de continuidad de negocio ..................................................................................................71 6
ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA CONTINUIDAD EN LA
EMPRESA ESPAÑOLA SEGÚN SU TAMAÑO.................................................................75 7
MEJORES PRÁCTICAS DE CONTINUIDAD DE NEGOCIO.....................................84 7.1
Motivos que estimulan a la aplicación de buenas prácticas ..............................84
7.2
Buenas prácticas a adoptar ...............................................................................85
7.2.1
Desde un punto de vista estratégico..............................................................85
7.2.2
Desde un punto de vista táctico .....................................................................86
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 4 de 121
7.2.3 7.3 8
Beneficios asociados a la adopción de buenas prácticas..................................95
CONCLUSIONES.......................................................................................................97 8.1
9
Desde un punto de vista técnico/operativo ....................................................89
Análisis DAFO..................................................................................................101
8.1.1
Debilidades ..................................................................................................101
8.1.2
Amenazas ....................................................................................................102
8.1.3
Fortalezas ....................................................................................................103
8.1.4
Oportunidades..............................................................................................104
RECOMENDACIONES ............................................................................................106 9.1
Recomendaciones dirigidas a las pequeñas y microempresas .......................106
9.2
Recomendaciones dirigidas a la industria .......................................................111
9.3
Recomendaciones dirigidas a las Administraciones Públicas .........................112
ÍNDICE DE GRÁFICOS...................................................................................................116 ÍNDICE DE TABLAS........................................................................................................120
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 5 de 121
PUNTOS CLAVE INTECO, en su afán por desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de Negocio. Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la evolución de los negocios y los acontecimientos nacionales e internacionales hacen que paulatinamente esté más presente en la gestión estratégica de las organizaciones, hasta el punto de convertirse en una necesidad o, al menos, un aspecto a considerar. Si bien existen múltiples definiciones acerca de la Gestión de la Continuidad de Negocio, todas ellas deben referirse a un proceso orientado a identificar posibles riesgos que amenazan a una organización y desarrollar de forma preventiva una capacidad de recuperación ante situaciones que supongan interrupciones totales o parciales de sus operaciones de negocio. La metodología utilizada para la realización del estudio y la consecuente publicación del presente informe se ha basado en la realización de encuestas presenciales, telefónicas y a distancia sobre los siguientes colectivos: empresas españolas con menos de 50 empleados y con al menos un ordenador conectado a Internet, así como proveedores o expertos en la entrega de servicios orientados a garantizar la continuidad de las operaciones de negocio. Esta dualidad de colectivos participantes en el estudio permite, junto al análisis de otros informes y reportes de entidades tanto públicas como privadas, conocer los niveles de preparación que tienen las empresas españolas para afrontar una situación de crisis o desastre que pueda provocar una interrupción de sus actividades de negocio. Se muestra a continuación algunos puntos clave obtenidos tras el estudio: I
Análisis de los niveles de seguridad en la PYME española
Tal y como se indica en el informe 1 publicado por INTECO bajo el título “Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas”, el 34,3% de las PYME españolas muestran interés en seguir planes o estrategias de seguridad de la información. E incluso puede parecer a primera vista que existe un nivel de protección adecuado. Sin embargo, y tomando en perspectiva los resultados del presente estudio, las PYME reconocen no conocer los posibles riesgos que inherentes o no a su actividad
1
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre sas La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 6 de 121
cotidiana pueden llegar a sufrir optando en dichos casos por soluciones que cubren solo parte de la problemática. En esta situación se encuentra o pueden encontrar según los datos obtenidos en la fase de trabajo de campo, un 35,2% de las PYME que afirman haber sufrido algún incidente de seguridad en los últimos 3 meses. Por otro lado, el estudio muestra que aún adoptando el 71,2% de las empresas procesos de gestión de riesgos (bien sea esporádica o periódicamente), no son realmente conscientes del alcance completo de la gestión de la continuidad, hecho que deriva en que el enfoque de las medidas que implementan sea limitado y no siempre el correcto. Según reconocen las propias PYME, la mayor parte de sus inversiones son destinadas a disponer de cortafuegos, antivirus, antispam y copias de seguridad; medidas que sólo mitigan una pequeña parte de los riesgos, dejando de lado otros aspectos como pueden ser, por ejemplo, la seguridad física o la continuidad de servicios prestados por proveedores. Otros factores observados en el estudio y que denotan de nuevo el cierto nivel de inmadurez en materia de continuidad de las organizaciones son: •
Bajo nivel de implementación de medidas relacionadas con la adopción de procesos de gestión de riesgos tras un incidente (el 35,4% de las entidades han adoptado este tipo de procesos).
•
Ausencia de requerimientos de continuidad de negocio exigidos a proveedores que proporcionan servicios críticos para su negocio (el 18,7% de las entidades exigen a sus proveedores este tipo de medidas).
•
Desconocimiento sobre las pérdidas económicas derivadas de los incidentes de seguridad sufridos.
•
Carencia de criterios uniformes para la valoración correcta del impacto y la probabilidad de ocurrencia de cada una de las amenazas que pueden afectar a la continuidad del negocio. II
Cultura y conocimiento de la PYME española en materia de continuidad de negocio
A la hora de valorar los resultados obtenidos en cuanto al nivel de conocimiento de cultura de continuidad de negocio, se hace patente, en mayor medida, las dificultades afrontadas por las organizaciones para discernir claramente conceptos clave en esta materia: La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 7 de 121
•
Pese a que un 33% de las PYME afirma estar familiarizada con los conceptos de continuidad de negocio, de ellas el 21,7% conoce realmente la diferencia entre los términos de Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres.
•
El mayor grado de conocimiento lo muestran empresas pertenecientes a los sectores de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la actividad tecnológica (18,2%) mientras que los sectores de educación, actividades sanitarias o servicios sociales son los que muestra mayores carencias en este sentido.
•
No se aprecian apenas diferencias cuantitativas entre los niveles de conocimiento de las PYME, cuando el análisis se segrega por tamaño de las entidades. III
Análisis de los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española
El estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas, publicado por INTECO en el año 2008, concluyó “la existencia de atraso tecnológico en las pequeñas y medianas empresas españolas con respecto a las de mayor tamaño, así como en relación a las empresas del mismo tamaño en los principales países europeos y en EE.UU.”. Dicha afirmación es una realidad más patente aún en el ámbito de la adopción de medidas preventivas y planes destinados a garantizar la continuidad de las actividades de negocio en situaciones de contingencia. Así, varios informes 2 de ámbito nacional e internacional establecen de media que 8 de cada 10 empresas grandes encuestadas han adoptado un plan de continuidad de negocio. Incluso es importante destacar que la probabilidad de dedicar mayores recursos (tecnológicos, presupuestarios y humanos) es mayor cuanto más grande es el tamaño de la organización. En el presente estudio, se concluye que el 38,4 % de las PYME afirma contar con algún tipo de estrategia enfocada a garantizar la continuidad de su negocio en caso de una incidencia o desastre. Dentro de este colectivo, se incluyen tanto aquellas entidades que han definido estrategias para la continuidad de sus operaciones (16,7%) como aquellas que cuentan con procedimientos que garanticen exclusivamente su recuperación a nivel tecnológico (21,7%). Estos datos que diferencian la situación entre pequeña y gran empresa en aspectos de continuidad de negocio difieren con la percepción de los encuestados, ya que el 85,3% de los mismos afirma que el hecho de garantizar la continuidad de las operaciones es 2
Business Continuity Institute http://www.thebci.org/BCIResearchReport.pdf
(2005):
Business
Continuity
Research.
Disponible
AT&T (2008): Business Continuity Study Results Disponible http://www.att.com/Common/merger/files/pdf/business_continuity_08/Business_Continuity_Study_Results.pdf La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
en: en:
Página 8 de 121
igual de crítico tanto en pequeñas como en grandes empresas, por lo que, con independencia del tamaño, toda organización debe adoptar tales estrategias. Los motivos por los cuales, pese a la afirmación anterior, las empresas carecen de un plan formal, son variados y vienen derivados, en gran medida, por dificultades o barreras a la hora de afrontar el desarrollo e implantación de la estrategia. La reducida probabilidad con la que contemplan la ocurrencia de crisis o desastres o la falta de tiempo, recursos y/o presupuesto son algunas de las barreras denunciadas por las PYME en este sentido. Del mismo modo, el desconocimiento y la falta de experiencia en la materia provocan que un gran porcentaje de las entidades que adoptan medidas de continuidad decidan acudir al soporte y apoyo externo en alguna de las fases de desarrollo del plan (42,4%). Por otro lado, igual de importante es conocer los estímulos que han potenciado una implicación de las organizaciones en materia de continuidad. Aunque garantizar la disponibilidad de las operaciones de negocio figura como uno de los principales objetivos perseguidos con el desarrollo de planes de continuidad, paulatinamente se aprecia un mayor peso de argumentos estratégicos como “Mejorar la reputación e imagen pública de la empresa” o “Adquirir ventajas competitivas”. Para conseguir tales fines, es fundamental que las PYME afronten ciertas fases del desarrollo del plan con la actitud correcta. Establecer el alcance de la estrategia desde un principio, asignar los recursos necesarios que permitan su puesta en marcha o evaluar periódicamente la eficacia y rendimiento del plan son acciones críticas, cuya mala o buena planificación repercutirá en el éxito/fracaso del plan definido. Con relación a esto último, es importante transmitir que la gestión de continuidad no es un proceso que pueda ser abordado en un momento puntual y cerrado en el tiempo mediante el desarrollo de un plan, sino que requiere de un cierto mantenimiento. En base a los datos recogidos, se desprende cuál es la estrategia actual de las PYME y la prevista para un futuro inmediato: Las inversiones en la gestión de la continuidad tienden a mantenerse en el 49,6% de los casos, siendo destinadas fundamentalmente a la contratación de seguros de cobertura, contratación de servicios externos o acuerdos con terceros. Derivado de lo comentado, de cara a los próximos meses, el 87% de las entidades declara no tener previsto abordar estrategia de continuidad alguna. IV
Análisis comparativo de la gestión de la continuidad de negocio en la empresa española según su tamaño
Frente a la situación de la PYME, las grandes empresas españolas disponen de más medios, recursos y sobre todo mayor nivel de concienciación para terminar imponiéndose la idea de que adoptar planes de continuidad de negocio es crítico para una organización.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 9 de 121
De hecho, el 81,1% de las grandes empresas han adoptado planes de continuidad de negocio (frente al 38,4% de las PYME que han desarrollado alguna iniciativa en este sentido). Además, la mayoría de las grandes empresas disponen de más personal para llevar a cabo este tipo de gestión. Personal que, en la mayoría de las ocasiones, dedica la totalidad de su jornada laboral. La situación de la PYME es drásticamente distinta, ya que debe centrarse en la producción del día a día y, simplemente la tarea de mantener “a flote” su actividad de negocio y sobrevivir en el mundo empresarial, se convierte en su principal objetivo. Esta prioridad en los objetivos provoca que otros aspectos importantes como la gestión de la continuidad queden en el olvido o, al menos, en un segundo plano. V
Mejores prácticas de continuidad de negocio
Una parte del presente estudio se ha querido enfocar hacia aquellas PYME que actualmente cuentan con algún tipo de estrategia o plan de continuidad exitosamente definido. A las 29 organizaciones elegidas como base muestral en este apartado, se les ha consultado sobre los factores clave o buenas prácticas que han debido desarrollar para lograr la implantación eficaz de sus medidas y, adicionalmente, los beneficios asociados a su implantación. En la línea de lo estipulado en los principales estándares en la materia, las PYME coinciden en que las siguientes son buenas prácticas de actuación que facilitarán el desarrollo de las medidas de continuidad tanto desde un punto de vista estratégico, como táctico u operativo: •
Contar con el apoyo y compromiso de la dirección.
•
Analizar a priori los riesgos a los que está sometida la entidad.
•
Definir los sistemas y aplicaciones críticos dentro del alcance.
•
Recurrir a asesoramiento externo.
•
Adquirir el Software y Hardware adecuados.
•
Evaluar periódicamente la eficacia y el rendimiento de las medidas implementadas.
Según declaraciones de las propias organizaciones, la adopción de las buenas prácticas comentadas facilita implantar eficazmente una política de continuidad y, consecuentemente, obtener beneficios tales como reducir los tiempos de respuesta ante situaciones de crisis o controlar los posibles impactos financieros y operativos.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 10 de 121
1
INTRODUCCIÓN Y OBJETIVOS
1.1
Presentación
1.1.1
Instituto Nacional de Tecnologías de la Comunicación
El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYME, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: •
Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECOCERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYME, Administraciones Públicas y el sector tecnológico.
•
Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 11 de 121
que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. •
Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software.
•
Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.
1.1.2
Observatorio de la Seguridad de la Información
El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. El Observatorio nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: •
Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet.
•
Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 12 de 121
•
Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal.
•
Impulso de proyectos de investigación en materia de seguridad TIC.
•
Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información.
•
Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito.
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de Negocio Existen determinados aspectos que condicionan la realidad empresarial en España. Los más importantes bajo la óptica del presente estudio son la estructura y tipología de las empresas respecto al número de trabajadores, el incremento en el uso de tecnologías y la existencia de amenazas que no discrimina entre grandes compañías o pequeñas y medianas empresas. En relación con el primero de ellos, la estructura, se demuestra en el hecho de que cada vez más el motor principal de la economía española y de la generación de empleo se centre en la PYME. A fecha de enero de 2009 y según datos del DIRCE el tejido empresarial español está constituido en más de un 99% por pequeñas empresas. Respecto al uso de las tecnologías, su empleo se ha posicionado como elemento dinamizador del crecimiento económico basado en el aumento de la competitividad y la productividad, con numerosas iniciativas procedentes del sector público enfocadas a facilitar el acceso a las TIC por parte de los actores principales de la Sociedad de la Información. En último extremo, las amenazas o contingencias pueden afectar a todo tipo de empresas, con independencia de su tamaño o condición. La variabilidad de las mismas hace que su origen pueda estar motivado por los riesgos devenidos de su actividad, por catástrofes (por ejemplo, atentados terroristas, tornados, terremotos, inundaciones, etc.), o incluso por situaciones más cotidianas que tengan su origen en los componentes de instalación (cortes de suministro eléctrico), en los equipos informáticos (malware, problemas con el hardware o el software) o en los que tienen un componente humano (sabotajes intencionados, distracciones y/o errores).
phishing,
empleados
y
colaboradores
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
descontentos,
Página 13 de 121
Todos estos condicionantes suponen que en la actualidad las empresas y por ende las PYME se enfrenten a múltiples desafíos que pueden llegar a suponer un reto en materia de gestión de la seguridad de la información y en las operaciones o actividades que llevan a cabo de forma continuada y sin aparentes interrupciones. Uno de ellos consiste en diseñar y/o elaborar planes asociados a las tecnologías y a los procesos necesarios para recuperar, a la mayor brevedad posible, las operaciones críticas para garantizar la continuidad del negocio en el caso de que se produzca un desastre. Son múltiples los motivos que conducen a las empresas a considerar la gestión de los citados planes: requerimientos regulatorios o de los propios socios y/o clientes, estrategias para aumentar la competitividad y la rentabilidad, la dependencia de las actividades de negocio en las TIC, etc. El presente estudio surge derivado de la necesidad de conocer el nivel de preparación actual de la PYME española para afrontar situaciones o incidencias de seguridad que impacten en la disponibilidad de sus actividades de negocio. 1.2.1
Objetivo general
El objetivo general de este estudio es el análisis, basado en las percepciones de los empresarios, de los niveles de preparación, los patrones de comportamiento, las necesidades reales y las principales barreras que dificultan la adopción de medidas, planes o estrategias que permiten a la PYME española estar mejor preparada para garantizar la continuidad de sus operaciones de negocio. Todo ello, con el fin de proponer recomendaciones de actuación a las entidades, a la industria de seguridad de la información y a las Administraciones Públicas para impulsar el conocimiento y el seguimiento de los principales indicadores y políticas públicas relacionadas con la Sociedad de la Información en materia de seguridad de la información. 1.2.2
Objetivos específicos
El anterior objetivo se desglosa operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe. Análisis de la situación tecnológica de seguridad de la PYME española desde el punto de vista de la continuidad de negocio •
Identificar la inversión que las empresas españolas están llevando a cabo en seguridad de la información.
•
Conocer la tendencia y el tipo de incidentes de seguridad que han provocado paralizaciones totales o parciales de las actividades, así como las respuestas
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 14 de 121
planteadas ante dichos incidentes que sean constitutivas de llegar a ser implantadas a modo de respuesta. •
Comprobar si las PYME llevan a cabo la evaluación, cualitativa o cuantitativa, de los impactos derivados de los incidentes de seguridad que hayan padecido hasta la fecha.
•
Analizar la oferta disponible y el estado de implantación de los productos de seguridad existentes en las empresas en materia de continuidad de negocio, y contrastar los resultados con el nivel de instalación de los mismos en el ámbito internacional.
•
Establecer qué acciones son abordadas por las pequeñas y microempresas españolas para conocer y hacer frente a los riesgos que pueden llegar a paralizar sus procesos de negocio.
•
Determinar el tiempo máximo de interrupción que las actividades de las empresas, con las características de este estudio, pueden estar paralizadas sin que por ello se produzcan pérdidas graves sobre sus finanzas, operaciones o sobre su imagen.
•
Corroborar si las organizaciones españolas establecen requerimientos de continuidad de negocio sobre aquellos proveedores de servicios que de alguna manera intervienen en sus actividades de negocio.
Cultura y conocimiento de la PYME española en materia de continuidad de negocio •
Valorar someramente los niveles de conocimiento y formación que las pequeñas y microempresas españolas poseen en relación con los planes de continuidad de negocio y con los planes de recuperación ante desastres.
•
Analizar el grado de concienciación sobre las ventajas derivadas de la implantación de medidas reactivas y/o preventivas para mitigar los efectos de posibles contingencias.
Análisis de los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española •
Analizar e identificar los niveles de implantación de medidas de continuidad de negocio en las empresas españolas y si ese comportamiento es diferente en función de su tamaño.
•
Comparar los citados niveles con los reportados a nivel internacional, mediante la consulta y el análisis de las principales conclusiones expuestas en diferentes informes publicados.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 15 de 121
•
Para aquellas organizaciones que sí se han iniciado en la gestión de la continuidad de sus operaciones, conocer los principales obstáculos afrontados, las razones que han motivado tal implantación, los beneficios que les ha supuesto, los recursos empleados e incluso si han tenido la necesidad de recurrir a algún tipo de asesoramiento externo.
•
Evaluar cualitativamente las tendencias de las empresas en relación con los gastos destinados a la continuidad de sus operaciones.
•
Conocer las principales razones por las que las PYME no tiene previsto invertir en ninguna medida destinada a facilitar la recuperación en el menor tiempo posible de las actividades interrumpidas motivadas por el hecho de haber sufrido una contingencia grave.
•
Contrastar con las organizaciones las medidas impulsoras más adecuadas para difundir la importancia de estar preparados ante cualquier tipo de amenaza.
Análisis comparativo de la situación de la continuidad en la empresa española según su tamaño •
Comparar los resultados obtenidos y la información elaborada a partir del estudio realizado en la PYME con las prácticas de continuidad de negocio en las grandes empresas españolas.
•
Identificar y valorar las principales métricas de gestión de continuidad de negocio con el fin de realizar un análisis comparativo de las mismas entre la PYME y la gran empresa.
Mejores prácticas de continuidad de negocio •
Conocer las buenas prácticas en materia de continuidad de negocio llevadas a cabo por aquellas entidades que han implementado algún tipo de estrategia o procedimiento que garantice la continuidad de su negocio, independientemente de su tamaño y del sector de actividad al que pertenecen.
•
Analizar con carácter general y desde un punto de vista estratégico, táctico y técnico/operativo los factores clave que han facilitado a las entidades la implantación de estas medidas.
•
Identificar los principales obstáculos y beneficios que ha supuesto la implantación de las medidas de continuidad para el colectivo de 29 PYME consideradas como casos de implantación exitosa.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 16 de 121
2
DISEÑO METODOLÓGICO
En la definición de la metodología del estudio, se ha considerado una fórmula que permite obtener información relativa sobre el grado de percepción, concienciación e implementación efectiva de medidas que faciliten la continuidad de las operaciones en caso de contingencia en las PYME españolas, desde una triple perspectiva: •
Caracterización de las empresas desde el punto de vista de la continuidad de negocio. 400 pequeñas y microempresas de todos los sectores de actividad conforme al CNAE-2009 han respondido a la encuesta, de acuerdo con los criterios del muestreo aleatorio estratificado en las que p=q=0,5 y para un nivel de confianza del 95,5%, el error muestral para n=400 es de ±4,99%. En ocasiones, la base muestral a partir de la cual se desarrollan los diferentes gráficos expuestos a lo largo del informe del estudio es superior o inferior a 400. Esto es debido a que, por un lado, con el objetivo de aumentar dicha base para que los resultados sean más representativos y objetivos, se incorporaron los resultados del colectivo que se explica a continuación (PYME con experiencias exitosas) en aquellas cuestiones y materias que coinciden con las planteadas a la muestra básica de 400 pequeñas y microempresas. Por otro lado, el uso de bases muestrales inferiores a 400 se debe al planteamiento de preguntas “filtro” en las que se eliminan aquellas PYME que no les afectan determinadas cuestiones. De todos modos, para mayor aclaración, en la base de cada gráfico se detalla la base muestral empleada.
•
Identificación de las PYME con experiencias exitosas mediante la aplicación de buenas prácticas en el área de continuidad de negocio. En total 29 organizaciones pueden constituirse como casos de éxito representativos de diferentes realidades en cuanto a la adopción o no de planes de continuidad de negocio en lo referente a análisis de riesgos, planes de recuperación a nivel tecnológico, implantación de medidas de seguridad preventivas, etc.
•
Percepción por parte de los proveedores de servicios o soluciones de continuidad de negocio. En relación con el conocimiento que estos agentes tienen de la oferta y demanda de servicios de continuidad (para las PYME y por parte de las mismas), los riesgos y amenazas a las que se enfrentan y que pueden en último extremo provocar la interrupción de sus procesos y finalmente el nivel de preparación para afrontar situaciones de crisis o desastre.
La interacción con estos colectivos, unido al proceso previo de estudio de diferentes publicaciones e informes relacionados con la continuidad de negocio (a nivel nacional e internacional), permite no sólo contrastar la situación de la muestra objeto del estudio (la propia empresa española), sino también el poder identificar posibles recomendaciones
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 17 de 121
dirigidas tanto a las empresas (en relación a los servicios que demanda y necesita), como a los proveedores y a las Administraciones Públicas. 2.1
Caracterización del universo objeto del estudio
El universo objeto del estudio está constituido por toda empresa española, con al menos un ordenador conectado a Internet, estratificada en base al número de empleados y al sector de actividad. Respecto al primero de ellos, se contemplan las organizaciones de hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados y sin asalariados) y las pequeñas empresas (10-49 asalariados). Dado el escaso peso numérico que tienen las empresas de más de 50 empleados dentro del tejido empresarial se han excluido del presente estudio. Para la delimitación del sector de actividad se ha contemplado la clasificación nacional de actividades empresarial (CNAE) en su versión de 2009 y el número de empresas que con las características de este estudio existen en España según el Instituto Nacional de Estadística (INE) en 2009 3 . La importancia de centrar el análisis sobre ambos valores, es decir el tamaño y el componente sectorial, se justifica además por el uso que este tipo de empresas hacen de las TIC. Las diversas fuentes consultadas confirman que existen altos grados de penetración de las tecnologías de la información en las empresas. Así por ejemplo, en el informe elaborado conjuntamente por AETIC (Asociación de Empresas de Electrónica, Tecnologías de la Información y Telecomunicaciones de España), Red.es y Everis titulado Las tecnologías de la Información y las Comunicaciones en la empresa española 2009 4 , muestra que, en ese año, el porcentaje de empresas que disponían de ordenador se situaba en el 90,6%. En el presente estudio la presencia del ordenador en las empresas participantes se sitúa en el 90,3% en el caso de los de sobremesa y en el 65,0% en los portátiles. Ambas cifras evidencian altos grados de penetración de los equipos, si bien como señala el informe citado en el párrafo anterior, se detecta un estancamiento en la penetración debido al alto nivel alcanzado en el uso del ordenador en los últimos años. Otro síntoma del nivel de penetración es la interconexión de los equipos dentro de la misma oficina (ver Gráfico 1). El 62,9% de las pequeñas y microempresas participantes 3
Actualmente según datos del Instituto Nacional de Estadística publicados el 10 de agosto de 2009 que se recogen en el Directorio Central de Empresas (DIRCE) el número de empresas es 3.327.708 4
AETIC, Red.es y Everis (2009): Las tecnologías de la Información y las Comunicaciones en la empresa española. En el estudio participaron 4.922 sociedades inscritas en el Registro Mercantil, con al menos un empleado. Disponible en: http://www.aetic.es/CLI_AETIC/ftpportalweb/documentos/Las%20Tecnolog%C3%ADas%20de%20la%20Informaci%C3%B 3n%20y%20las%20Comunicaciones%20en%20la%20empresa%20espa%C3%B1ola%202009.pdf
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 18 de 121
en el presente estudio tienen conectados sus ordenadores a través de una red de área local o Local Area Network (LAN). Atendiendo a los sistemas de gestión informatizados, las aplicaciones ofimáticas (procesadores de texto, hojas de cálculo, gestores de bases de datos, etc.) siguen siendo las más utilizadas (74,1%) seguidas de otras aplicaciones de negocio estándar o desarrolladas a medida (sistemas de gestión de relaciones con el cliente, sistemas de planificación y gestión de recursos de la empresa, etc.), con una penetración del 61,7%. Gráfico 1 : Distribución del uso de tecnologías de la información y las comunicaciones
90,3%
Ordenadores de sobremesa Redes externas (Internet)
86,5%
Aplicaciones ofimáticas (procesadores de texto, hojas de cálculo, etc.)
74,1% 72,0%
Telefonía móvil Ordenadores portátiles
65,0%
Redes de área local (correo electrónico corporativo, sistemas de compartición de archivos y datos) Aplicaciones de negocio (financieras, RRHH, comerciales, etc.)
62,9% 61,7% 53,7%
Redes inalámbricas (Wi-Fi) PDA/Blackberry
32,6% 0%
20%
40%
Base: Total PYME (n=400)
60%
80%
100%
Fuente: INTECO
De forma más concluyente, del gráfico anterior se puede deducir que prácticamente la totalidad de las PYME españolas usa Internet (86,5%) y ordenadores de sobremesa (90,3%). Por tanto este estudio reafirma que independientemente del sector y del tamaño, existe una gran dependencia de las TIC en la operativa diaria del negocio. Derivado de este hecho y con el propósito de confirmar esa dependencia, se ha evaluado el porcentaje de uso de cada una de las tecnologías en el seno de las entidades. Tal y como se muestra en el Gráfico 2, la mayor parte del tiempo, las empresas hacen uso de sus redes de área local o Wi-Fi, Internet y aplicaciones ofimáticas y de negocio, mientras que la dependencia de dispositivos como PDA/Blackberry, teléfonos móviles y ordenadores portátiles es más discontinuo.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 19 de 121
Gráfico 2: Uso de las tecnologías de la información en las pequeñas y microempresas (%)
PDA/Blackberry Ordenadores portátiles
49,6%
Telefonía móvil
21,2%
Redes externas (Internet)
20,0%
Ordenadores de sobremesa
15,8% 18,7% 15,3%
16,6% 13,2% 0%
Entre el 30 y el 50%
16,9%
27,5% 23,7%
7,2%11,0% 25,1%
36,9%
Redes de área local (correo electrónico corporativo, sistemas de compartición de archivos y datos) Aplicaciones de negocio (financieras, RRHH, comerciales, etc.) Aplicaciones ofimáticas (procesadores de texto, hojas de cálculo, etc.)
24,4%
10,5%
28,0%
22,6%
38,9%
Redes inalámbricas (Wi-Fi)
Menos del 30%
7,7% 4,1% 12,1%
76,1%
32,2%
21,8%
16,2% 31,2%
32,0%
28,5%
33,4%
26,7%
29,8% 40,2%
34,9% 30,0%
10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Entre el 50 y el 80%
Base: Total PYME (n=400)
Más del 80%
Fuente: INTECO
Finalmente, existen al menos tres motivos que justifican que este estudio se haya centrado en las PYME españolas: •
El tejido empresarial español está constituido en más de un 99% por pequeñas empresas (según el DIRCE de 2009, las microempresas españolas constituyen el 94,8% y las pequeñas el 4,4%). Esto constituye el motor principal de la economía y de la producción en España, lo cual hace que cualquier estudio enfocado a este público objetivo sea fuente de interés general.
•
Falta de concienciación de la PYME no sólo respecto a la continuidad de negocio, sino también respecto a la Seguridad de la Información en términos generales. En un estudio reciente efectuado con anterioridad por el Observatorio de la Seguridad de la Información de INTECO, se evidenciaron ciertas carencias en cuanto a la adopción de estrategias de seguridad y continuidad de negocio 5 .
•
Desde un punto de vista operativo, económico e incluso de imagen, y teniendo en cuenta la competitividad creciente y la necesidad de proporcionar servicios ininterrumpidamente en el mundo empresarial, cada vez se hace más visible la necesidad e importancia de que las organizaciones adopten planes de continuidad de
5
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre sas
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 20 de 121
negocio. De hecho, un estudio 6 realizado por Acronis en colaboración con la empresa de investigación Vanson Bourne revela que el 63% de las empresas tardan un día o más en recuperarse de un período de inactividad del sistema. 2.2
Fases del proyecto de investigación
El desarrollo del estudio se ha abordado en 4 etapas: •
Fase 1: Recopilación y estudio de informes.
•
Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio.
•
Fase 3: Elaboración del informe de conclusiones finales del proyecto.
•
Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y consejos acerca del diseño y puesta en marcha de un plan de continuidad de negocio.
2.2.1
Fase 1: Recopilación y estudio de informes
Esta etapa ha abordado el análisis de la situación actual de la empresa española en relación a la adopción de estrategias de continuidad de negocio, así como las tendencias presentes y futuras en función de la industria, el sector o el tamaño de la organización. Adicionalmente, la información obtenida sirve como referencia para compararla con los niveles de sensibilidad, conocimiento y adopción de medidas de continuidad de negocio en las PYME. Para la consecución del citado objetivo se han inventariado las fuentes de información que potencialmente disponen y publican estudios, informes y/o trabajos relacionados con los riesgos e incidentes de seguridad que impactan (desde el punto de vista legal, operativo, económico o en la propia imagen y reputación de la empresa) total o parcialmente en las operaciones de negocio de las pequeñas y microempresas. Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes que contienen información actual y útil para realizar el presente estudio. Es importante destacar que, si bien el volumen de publicaciones en forma de buenas prácticas para la gestión de la continuidad de negocio es elevado, no sucede lo mismo cuando se acude a la identificación de informes y estudios cuantitativos y estadísticos que puedan proporcionar un diagnóstico de la situación actual de la materia. De hecho, y derivado de unos niveles de madurez y concienciación mayores, una gran parte de estas publicaciones pertenecen a entidades públicas o privadas cuyo ámbito de estudio se sitúa 6
Acronis y Vanson Bourne (2010): Acronis® Digital Assets Research Findings: Unveiling Backup & RecoveryPractices across Europe. Disponible en: http://www.acronis.co.uk/resource/tech-talk/whitepapers/ La muestra se compuso de 600 pyme y organizaciones del sector medio del mercado (250 y 1.000 empleados) pertenecientes a distintos países europeos. Los encuestados eran empleados de las organizaciones responsables de Tecnologías de la Información (TI).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 21 de 121
en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados desde el punto de vista objeto del presente estudio (principalmente entidades de certificación del Reino Unido). Todos los informes consultados en el presente estudio son propiedad de las siguientes entidades: •
Asociación Normalización (AENOR).
• •
Española y
de
•
Certificación
Agility Recovery Solutions. AT&T.
International
Organization
Standardization (ISO). •
KPMG.
•
Marsh.
•
National Institute of Standards and Technology (NIST).
•
British Standards Institute (BSI).
•
Business Continuity Institute (BCI).
•
Red.es
•
CA Technologies.
•
Symantec.
•
Centre for Research on the Epidemiology of Disasters (CRED).
•
Varolii Corporation.
•
World Economic Forum.
•
Chartered Management Institute.
•
Cloud Security Alliance (CSA).
•
Deloitte.
•
Ernst & Young.
•
European Network and Information
for
Security Agency (ENISA). •
Forrester Research.
•
Gartner.
•
IBM.
•
IDC.
•
INTECO.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 22 de 121
2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio Para poder profundizar en el estudio del grado de percepción, concienciación e implementación efectiva de medidas que faciliten la continuidad de las operaciones en el caso de producirse contingencias en las PYME españolas, ha resultado necesario combinar técnicas de investigación tanto cuantitativas o cualitativas. De esta forma se han establecido dos tipos distintos pero complementarios de investigación: •
•
Descriptiva, mediante la participación de: o
Un total de 400 pequeñas y microempresas seleccionadas a través de un muestreo aleatorio estratificado (número de empleados y sector de actividad) con afijación proporcional según el porcentaje de uso de Internet en función de los datos del Instituto Nacional de Estadística (INE) 7 .
o
Grandes empresas españolas participantes en el Barómetro de Empresas nº 36 elaborado por Deloitte y correspondiente al primer semestre de 2010. La muestra de participantes está constituida por 253 empresas con sede en España. El trabajo de campo correspondiente al Barómetro fue desarrollado durante los meses de Junio y Julio de 2010.
Exploratoria, mediante la participación de: o
Pequeñas y microempresas que en el desarrollo de su actividad cotidiana han desarrollado o adoptado alguna iniciativa, acción o estrategia orientada a garantizar la continuidad de sus actividades de negocio. Así en el estudio tienen cabida 29 casos de éxito que han participado identificando los motivos que les han impulsado a adoptar iniciativas de continuidad de negocio. También las principales barreras que han tenido que superar y los beneficios que les han supuesto implementar dichas decisiones.
o
Empresas, proveedores u organismos especializados en orientar y dar soporte a la empresa española en relación con productos y servicios de continuidad de negocio.
Para la captación de la muestra se han empleado las siguientes técnicas:
7
Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas 2008 – 2009. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02/a2008-2009&file=pcaxis
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 23 de 121
•
Selección de las unidades muestrales participantes, las PYME, de forma aleatoria partiendo de diferentes bases de datos externas (SABI 8 ) e internas (relación de empresas participantes en estudios semejantes), así como otro tipo de contactos profesionales.
•
Entrevista telefónica asistida por ordenador –sistema CATI– para la presentación del estudio y la solicitud de colaboración y participación.
•
Página web creada para la difusión y participación en el estudio.
•
Contactos disponibles de INTECO de empresas participantes en el programa de impulso a la implantación y certificación de Sistemas de Gestión de Seguridad de la Información, SGSI (ISO 27001) en la PYME española.
•
En cuanto al Barómetro de Empresas, cuestionarios autoaplicados enviados por correo postal o electrónico a las 2.400 empresas españolas con mayor facturación dentro de cada sector de actividad. La participación es voluntaria.
Muestra El trabajo de campo para las pequeñas y microempresas se ha desarrollado entre febrero y junio de 2010, atendiendo a criterios de representatividad nacional en función del sector de actividad y el tamaño de la empresa. De esta forma la muestra (n=400) se ha dividido en dos estratos (empresas de menos de 10 trabajadores y entre 10 y 49 trabajadores) y a su vez cada estrato se ha categorizado por sector de actividad conforme a la clasificación CNAE del 2009. A su vez estos sectores se han agrupado para garantizar una significatividad mínima de los mismos (ver Tabla 1).
8
SABI: herramienta de Análisis de Balances Ibéricos del mercado propiedad de Informa D&B. Es una base de datos de análisis financieros de empresas españolas y portuguesas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 24 de 121
Tabla 1: Distribución de la muestra del estudio en función de su actividad (CNAE-2009) y su tamaño (número de empleados)
Grupos de sectores de actividad
Total
Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca Construcción Comercio + Hostelería + Reparaciones + Servicios Personales Transporte y Almacenamiento Tecnología de la Información y Comunicación Actividades Financieras y Seguros + Actividades Inmobiliarias Actividades Profesionales, Científicas y Técnicas Educación, Actividades Sanitarias y de Servicios Sociales Otros sectores TOTAL
Menos de 10-49 10 empleados empleados
32
9
23
49
11
38
125
30
95
31 32
8 8
23 24
30
8
22
59 29 13 400
15 7 4 100
44 22 9 300 Fuente: INTECO
En cuanto al Barómetro de empresas, la muestra de empresas participantes en el estudio (n=253) se encuentra categorizada en 9 grupos de sectores de actividad, cuya distribución figura en la siguiente tabla: Tabla 2: Distribución de la muestra del Barómetro de Empresas en función de su actividad (%)
Grupos de sectores de actividad Finanzas, Seguros y Bienes Raíces Fabricantes Transportes, Comunicaciones y Servicios Públicos Servicios Mayoristas Construcción y Contratas Detallistas Agricultura, Ganadería, Minería, Pesca Organismos oficiales TOTAL Base: Participantes Barómetro de Empresas (n=253)
Total 28,1% 25,0% 11,4% 10,9% 7,3% 5,9% 5,9% 5,0% 0,5% 100,0% Fuente: INTECO
Atendiendo al número de empleados, el 31,4% de las empresas participantes en el barómetro tienen entre 100 y 500 trabajadores, el 27,2% tiene entre 1.001 y 5.000, el 15,9% tiene entre 501 y 1.000 y el 12,3% tiene menos de 100 de trabajadores, mientras que las que tienen más de 5.000 suponen un 13,2% de participación (Tabla 3). La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 25 de 121
Tabla 3: Distribución de la muestra del Barómetro de Empresas en función del número de empleados (%)
Grupo de Actividad Finanzas, Seguros y Bienes Raíces Fabricantes Transportes, Comunicaciones y Servicios Públicos Servicios Mayoristas Construcción y Contratas Detallistas Agricultura, Ganadería, Minería, Pesca TOTAL
Menos de 100
Entre 100 y 500
Entre 501 y 1.000
Entre 1.001 y 5.000
Más de 5.000
11,3%
22,6%
16,1%
41,9%
8,1%
7,3%
45,4%
21,8%
18,2%
7,3%
4,0%
32,0%
8,0%
24,0%
32,0%
16,7% 31,3% 15,4% 15,4%
20,8% 37,4% 38,4% 15,4%
4,2% 18,8% 15,4% 23,1%
25,0% 12,5% 7,7% 38,4%
33,3% 0.0% 23,1% 7,7%
9,1%
36,4%
18,1%
36,4%
0.0%
12,3%
31,4%
15,9%
27,2%
13,2%
Base: Participantes Barómetro de Empresas (n=253)
Fuente: INTECO
Error muestral A continuación se presentan los niveles de error muestral por sector y número de empleados para las empresas participantes en el estudio (ver Tabla 4). El cálculo del error muestral se ha realizado en el supuesto de p=q=0,5, para un nivel de confianza del 95,5% (1,96 σ respecto de la μ). El margen de error para este conjunto de empresas es del ± 4,99%, lo que le confiere la suficiente representatividad para poder extraer conclusiones a nivel nacional y por tamaño de la empresa (donde los errores muestrales son, para los mismos niveles de significatividad y de confianza, de un ± 9,9% para una muestra de 100 entidades de menos de 10 trabajadores y de un ± 5,8% sobre una muestra de 300 empresas de entre 10 y 49 empleados). Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio Tamaño (número de empleados) Menos de 10 empleados De 10 a 49 empleados TOTAL
Total
Margen de error
100 300 400
± 9,90% ± 5,78% ± 4,99% Fuente: INTECO
2.2.3
Fase 3: Elaboración del informe de conclusiones finales del proyecto
En la elaboración del presente informe se recogen el análisis y conclusiones de la investigación, junto con las recomendaciones de actuación dirigidas a las PYME
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 26 de 121
españolas, a la industria de seguridad de la información y a las Administraciones Públicas. Para realizar los análisis comparativos a nivel europeo e internacional sobre los diferentes niveles de implantación y madurez de los planes de continuidad de negocio de las pequeñas y microempresas españolas se han utilizado las siguientes fuentes: •
El estudio A decade of Living dangerously realizado por Chartered Management Institute 9 en el año 2009 a través de la participación de 1.012 directores de empresas británicas tanto del sector público como privado. Es posible comparar la evolución de los resultados del mismo con otro informe publicado por el mismo estamento en el 2010 y titulado Disruption & Resilience.
•
El informe The State of SMB 10 IT Security: 2008 to 2009 elaborado por Forrester Research 11 en el año 2008 y con la participación de 1.206 pequeñas y medianas empresas de Norteamérica (67%) y Europa (33%, sin incluir sociedades españolas). El 14% de las empresas participantes disponen de 2 a 5 empleados, el 31% tienen de 6 a 99 empleados, el 34% de 100 a 499 y el 21% restante de 500 a 999 empleados.
•
El informe 2009 Disaster Recovery & Business Continuity Survey desarrollado por Agility Recovery Solutions 12 , en el que colaboran 700 SMBs en Norteamérica (EEUU y Canadá). El 76% de las participantes tienen menos de 100 empleados.
•
La publicación de Forrester Research titulada Business Take BC Planning More Seriously 13 , en el que colaboran 295 sociedades de diferentes tamaños e industrias que están ubicadas en EEUU y que participan proactivamente en asuntos relacionados con la continuidad de negocio.
9
Chartered Management Institute (2009): A decade of Living Dangerously. Disponible en: http://www.managers.org.uk/research-analysis/research/current-research/decade-living-dangerously-business-continuitymanagement. El estudio Disruption & Resilience está disponible en: http://www.managers.org.uk/research-analysis/research/currentresearch/BCM2010 10
SMB: siglas referidas a los términos en inglés Small and Medium Business. Análogo a la pequeña y medida empresa (PYME) en España. 11
Forrester Research (2009): The State of SMB IT Security: 2008 to 2009. Disponible previo registro en: http://www.forrester.com/rb/Research/state_of_enterprise_it_security_2008_to/q/id/47857/t/2 12 Agility Recovery Solutions (2009): 2009 Disaster Recovery & Business Continuity Survey. Disponible en: http://www2.agilityrecovery.com/assets/survey/survey_results_2009_complete.pdf 13
Forrester Research (2009): Business Take BC Planning More Seriously. Disponible previo registro en: http://www.forrester.com/rb/Research/businesses_take_bc_planning_more_seriously/q/id/47924/t/2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 27 de 121
•
La publicación de Forrester Research denominada CISOs 14 Must Take The Lead On Business Resiliency 15 y que cuenta con la participación de SMBs de Norteamérica y Europa.
•
El estudio Business Continuity Research elaborado por Business Continuity Institute 16 (BCI) en el año 2005 y compuesto por 251 entrevistas telefónicas a empresas del Reino Unido con más de 50 empleados y de todos los sectores de actividad.
•
El informe The 2005 Business Continuity Survey desarrollado por Deloitte 17 en colaboración con 273 sociedades norteamericanas de diferentes industrias del sector público y privado.
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y consejos acerca del diseño y puesta en marcha de un plan de continuidad de negocio En paralelo a la realización del estudio sobre planes de continuidad de negocio en pequeñas y microempresas españolas, y aprovechando los resultados del mismo, se elabora una guía con la intención de identificar y explicar de forma desglosada las actividades y los requerimientos necesarios para diseñar, implantar y mantener un Plan de Continuidad de Negocio.
14
CISO: siglas en inglés que hacen mención a Chief Information Security Officer. En España se utiliza el término equivalente de “Responsable de Seguridad de la Información”
15
Forrester Research (2008): CISOs Must Take The Lead On Business Resiliency. Disponible previo registro en: http://www.forrester.com/rb/Research/cisos_must_take_lead_on_business_resiliency/q/id/46137/t/2 16
Op. cit. 2
17
Deloitte (2005): The 2005 Business Continuity Survey.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 28 de 121
3
ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAÑOLA DESDE EL PUNTO DE VISTA DE LA CONTINUIDAD DE NEGOCIO
Son múltiples las amenazas y los riesgos que una empresa debe afrontar y es cierto que no es posible poseer el mismo nivel de preparación frente a todos ellos. No todos los riesgos impactan sobre la disponibilidad de las actividades, sino que, como bien es conocido, desde el punto de vista de la seguridad de la información, la confidencialidad y la integridad de la misma también son aspectos amenazados. El objetivo de este apartado es conocer el comportamiento de la PYME en cuanto a los esfuerzos (traducidos en inversiones u aplicación de medidas preventivas, de detección, correctivas o disuasorias) orientados a garantizar procesos ininterrumpidos. Adicionalmente, se pretende analizar qué tipos de incidentes de seguridad provocan con mayor frecuencia una parálisis de las actividades y qué impacto (financiero, operativo, legal o en la propia imagen) ha supuesto. El concepto de “gestión” de una empresa incluye la tarea de identificar y hacer frente a los riesgos que suceden con mayor probabilidad y provocan los impactos más severos. Desde el punto de vista de la continuidad de negocio, a través del estudio se pretende conocer el nivel de seguridad de las PYME mediante la identificación de las medidas de seguridad implantadas, así como los tiempos de inactividad permisibles por sus áreas de negocio. Por otro lado, la entrega de un producto y/o servicio está supeditada al desarrollo de diferentes actividades que en muchas ocasiones pueden estar subcontratadas (realizadas por terceros). De esta forma, la garantía en la citada entrega no solo depende de las tareas abordadas internamente, sino también de las realizadas por entidades externas. Por tanto, la disponibilidad y funcionamiento ininterrumpido de un servicio puede estar condicionada a las capacidades de respuesta de dicho proveedor, al cual se le debiera exigir requerimientos o garantías de continuidad. En este estudio también se analiza el grado de implantación de esta práctica. Con independencia de la tipología de las incidencias que afectan a las pequeñas y microempresas españolas participantes en el estudio que se analizará a continuación, el nivel de seguridad, a priori, está muy relacionado con el nivel de inversión en productos y/o servicios de seguridad que estas realizan. Respecto a éste, el 58% de las entidades afirman que, para el presente año (2010), la inversión en productos o servicios de seguridad oscila entre 0 y 3.000 € (ver Gráfico 3).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 29 de 121
Gráfico 3: Distribución de las inversiones en seguridad en el año 2010 (%)
De 0 a 3.000 €
58,0%
De 3.001 € a 6.000€
6,9%
De 6.001 € a 18.000€
5,7%
Más de 50.000
1,2%
De 24.001 € a 50.000€
1,0%
De 18.001 € a 24.000€
0,9%
NS/NC
26,4%
0%
20%
40%
60%
80%
Base: Total PYME (n=400)
100%
Fuente: INTECO
Si se trata de realizar un análisis de estas inversiones de seguridad en función del tamaño de la PYME, a partir de la siguiente tabla: Tabla 5: Inversiones de seguridad en función del tamaño de la PYME (%) Tamaño (número de empleados) Menos de 10 empleados De 10 a 49 empleados TOTAL
De 0 a 3.000 €
De 3.001 a De 6.001 a De 18.001 6.000 € 18.000 € a 24.000 €
De 24.001 a 50.000 €
Más de 50.000 €
NS/NC
61,4%
5,9%
5,0%
1,0%
1,0%
1,0%
24,8%
36,8%
10,5%
10,5%
0,0%
0,0%
5,3%
36,8%
57,5%
6,7%
5,8%
0,8%
0,8%
1,7%
26,7%
Base: Total PYME (n=400)
Fuente: INTECO
Es posible extraer las siguientes conclusiones: •
La probabilidad de que la PYME no tenga visibilidad sobre las inversiones destinadas al ámbito de seguridad es mayor cuanto más grande sea la PYME. De hecho, el 36,8% de las empresas de 10 a 49 empleados desconocen tales inversiones (frente al 24,8% de aquellas que tienen menos de 10 empleados).
•
Tímidamente se puede apreciar la tendencia de que la inversión de seguridad se incrementa a medida que aumenta el tamaño de la empresa en cuanto a número de empleados. Así, el 21,0% de las PYME entrevistadas que poseen entre 10 y 49 empleados indican que realizan inversiones comprendidas entre los 3.001 € y los
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 30 de 121
50.000 €. Para este mismo rango económico, el porcentaje se reduce al 12,9% de las empresas con menos de 10 empleados. Aunque no es el objetivo de este informe determinar a qué tipo de productos o servicios de seguridad se destinan estas inversiones, o cuál es la tendencia de las mismas, el Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas 18 desarrollado por INTECO en 2009 afirmaba que las principales medidas de seguridad adoptadas por las empresas españolas son las relacionadas con los programas antivirus o anti-spam, las copias de seguridad y los cortafuegos (todas ellas con tasas de uso superiores al 50%). En este sentido, un dato esperanzador, que en definitiva muestra niveles crecientes de concienciación en materia de seguridad de la información, es que el 13,3% realiza en este año inversiones de seguridad que varían entre los 3.000 € y los 24.000 €. 3.1
Percepción de las incidencias de seguridad por parte de las empresas
El presente estudio confirma lo que INTECO viene anunciando en varios de sus estudios y es que las PYME españolas perciben que se encuentran expuestas a padecer incidentes de seguridad de índole muy variada, aunque entre ellos siempre figuran los que tienen que ver con la seguridad de la información. Entre los sucedidos en los últimos 3 meses se pueden destacar (ver Gráfico 4): •
Falta de servicios por parte de los proveedores (16,3%).
•
Ataques informáticos (11,1%).
•
Caída de sistemas de soporte (climatización, electricidad o líneas de comunicación (8,9%).
El bajo porcentaje de ocurrencia de estos sucesos (el 56,7% afirman no haber sufrido ningún incidente de seguridad en los últimos 3 meses) parece deberse, no obstante, al corto periodo temporal abarcado y al hecho de haber considerado únicamente aquellas incidencias que afectan a la disponibilidad de las actividades y/o recursos críticos. Aún así, si se observa la totalidad de los diferentes incidentes de seguridad que de una u otra forma impactaron en la continuidad de las operaciones, se puede establecer como probable que las compañías puedan sufrir interrupciones.
18
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 31 de 121
Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses
La compañía no ha sufrido ningún incidente de seguridad en los 3 meses
56,7%
Falta de servicio por parte de proveedores
16,3%
Ataque informático
11,1%
Caída de sistemas de soporte (climatización, líneas y dispositivos de comunicación, etc.)
8,9%
Caída de mis sistemas/aplicaciones
7,4%
Multas, sanciones
4,4%
Inundación, terremoto, incendio
3,6%
Perdida de datos de negocio críticos
1,7%
Baja de personal crítico
1,7%
Daño físico en instalaciones/equipos
1,4%
Otros
2,0%
NS/NC
8,1%
0%
20%
40%
Base: Total PYME y casos de éxito (n=429)
60%
80%
100%
Fuente: INTECO
En concordancia con este análisis, el ya citado estudio realizado por Agility Recovery Solutions en el 2009 sobre 700 pequeñas y medianas empresas de Norteamérica (Disaster Recovery & Business Continuity Survey) viene a corroborar la facilidad con las que las entidades pueden sufrir paradas en sus operaciones. En concreto, en los 2 años anteriores a la realización del estudio, el 52% de las organizaciones consultadas sufrió una interrupción de sus procesos de negocio que impactó en la productividad. Incluso el 81% de dichas interrupciones supuso el cierre temporal del negocio durante al menos un día. Siguiendo con el gráfico anterior, el porcentaje restante correspondiente con las que sí han padecido incidentes que han supuesto la parada de sus actividades de negocio (35,2%), dificulta el concluir acerca de un perfil de incidencia acotado, definido y característico de incidente “tipo” de seguridad que desemboque en interrupciones de los procesos de negocio. Quizás es posible destacar a nivel genérico la indisponibilidad de sistemas de soporte, aplicaciones o del propio servicio del proveedor. Este hecho refuerza la idea de que nunca se sabe que evento puede padecer una organización provocando la paralización de sus actividades, ya que estos dependerán en gran medida de cada casuística concreta. A la hora de identificar las principales causas que han podido desencadenar estos incidentes de seguridad (ver Gráfico 5), y a pesar que las respuestas son variadas, existen tres motivos (el desconocimiento de la amenaza con un 6,9%, la mala u obsoleta configuración de los sistemas -6,8%- y la escasa eficacia de las herramientas de
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 32 de 121
prevención asociadas con un 3,1%) que refuerzan la idea de que las PYME pueden no ser conscientes de los riesgos a los que se enfrentan y consecuentemente las medidas adoptadas para hacer frente a los mismos no son eficaces porque realmente no conocen ni priorizan las amenazas a las que deben hacer frente: Gráfico 5: Causas de los incidentes de seguridad (I) (%)
Desconocía la amenaza
6,9%
Sistemas obsoletos
3,7%
Sistemas mal configurados
3,1%
Disponía de herramientas pero no han sido efectivas
3,1%
Conocía la amenaza pero no sabía cómo prevenirla
2,9%
Mal asesoramiento
2,7%
No disponía de herramientas para prevenirla
1,6%
Conocía el riesgo pero no disponía de presupuesto
0,9%
Otras
10,9% 0%
20%
40%
Base: PYME que han sufrido algún incidente de seguridad (n=372)
60%
80%
100%
Fuente: INTECO
El análisis más en detalle de otras causas indicadas por los participantes (10,9% - Gráfico 5) desvela que en su mayor parte las empresas que contestaron dicha opción aplican la responsabilidad a un fallo en el servicio por parte de los proveedores (61,1% - Gráfico 6) que de una forma u otra contribuyen a mantener activas las actividades de negocio (ver Gráfico 6):
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 33 de 121
Gráfico 6: Causas de los incidentes de seguridad (II) (%) Fallo de proveedores (electricidad, comunicaciones,…)
61,1%
Falta de revisión o manipulación inadecuada
16,3%
Causas meteorológicas o externas
11,1%
Sistemas o licencias desactualizados
7,8%
Espionaje Industrial
1,6%
Daño físico de equipos
0,6%
Deterioro instalaciones y/o equipos
0,5%
Avería mecánica
0,5%
NS/NC
0,5% 0%
20%
40%
60%
Base: PYME que han sufrido otro tipo de incidente de seguridad (n=54)
3.2
80%
100%
Fuente: INTECO
Tipología de impactos generados por los incidentes de seguridad
Para facilitar la identificación de las consecuencias de los incidentes de seguridad se les ha preguntado a las empresas sobre aquellas que pueden implicar los siguientes tipos de impactos: •
Impacto económico-financiero: el referido a las pérdidas económicas derivadas de los incidentes de seguridad.
•
Impacto operativo: en alusión a la paralización de las actividades de la compañía como consecuencia de dichos acontecimientos.
•
Impacto en la imagen/reputación: en referencia a la pérdida de confianza y solidez que una empresa puede padecer como consecuencia de un incidente de seguridad. Quizás este tipo es el más complicado de valorar por su intangibilidad e incluso por el efecto que puede derivar a largo plazo.
•
Impacto legal/contractual: sería el caso de una empresa que, a raíz de un incidente de seguridad, es señalada como infractora de requerimientos legales o acuerdos contractuales con terceros (clientes, socios, accionistas, etc.).
Para aquellas compañías que han soportado un incidente de seguridad en los últimos 3 meses, el 36,7% han tenido consecuentemente pérdidas económicas, tal y como se muestra en el Gráfico 7, si bien el 20,4% no han podido estimar cuantitativamente dichas pérdidas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 34 de 121
Gráfico 7: Distribución de empresas con pérdidas económicas derivadas de incidentes de seguridad
Se han sufrido pérdidas económicas y se han calculado
16,3%
Se han sufrido pérdidas económicas pero no se han calculado
20,4%
No se han sufrido pérdidas económicas
63,4%
0%
20%
40%
60%
Base: PYME que han sufrido algún incidente de seguridad (n=372)
80%
100%
Fuente: INTECO
Para el porcentaje de empresas participantes que han sufrido algún suceso de seguridad en los últimos 3 meses y ha tenido la capacidad de calcular el daño económico asociado (16,3%), se hace necesario resaltar que las pérdidas económicas por experimentar la caída de sus sistemas de soporte (climatización, líneas de comunicación) han superado los 15.000 € en una de cada cuatro PYME. En cambio el 69,6% de las empresas cuyos procesos de negocio se vieron paralizadas por la falta de servicio de sus proveedores sufrieron pérdidas inferiores a 1.500 € (ver Gráfico 8). Del Gráfico 4 y del Gráfico 8 es posible extraer una lectura adicional que coincide a la hora de poner en práctica cualquier método de análisis de riesgos de seguridad (por ejemplo, Magerit 19 u Octave 20 ): los incidentes de seguridad relacionados con incendios, terremotos e inundaciones, si bien tienen gran difusión mediática y suelen provocar grandes pérdidas económicas, no son muy frecuentes. En este sentido, tan sólo el 3,6% de las pequeñas y microempresas participantes han sufrido esta tipología de incidentes y, en el caso de aquellas entidades que han calculado sus pérdidas financieras, en el 11,2% de los casos éstas han ascendido a más de 15.000 €.
19
Magerit: Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica. http://www.csi.map.es/csi/pg5m20.htm 20
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en ingles): es un conjunto de herramientas, técnicas y métodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el análisis de riesgos tecnológicos http://www.cert.org/octave/
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 35 de 121
Gráfico 8: Distribución de pérdidas económicas derivadas de los incidentes de seguridad
Perdida de datos de negocio críticos (n=6)0,0%
100,0%
0,0%
Baja de personal crítico (n=4)
100,0%
0,0%
Caída de mis sistemas/aplicaciones (n=30)
100,0%
0,0%
Inundación, terremoto, incendio (n=12)
11,2% 11,2%
77,6% 69,6%
Falta de servicio por parte de proveedores (n=46) Daño físico en instalaciones/equipos (n=13)
21,5%
30,6%
69,4%
Caída de sistemas de soporte (climatización, líneas y dispositivos de comunicación, etc.) (n=35)
25,0%
50,0%
Multas, sanciones (n=14)
21,5%
59,7%
Otros (n=10) 0,0%
0% Menor a 1.500 €
8,9% 0,0%
25,0% 18,7%
100,0% 20%
40%
Entre 1.501 y 15.000 €
Base: PYME que han sufrido algún incidente de seguridad (n=372)
0,0% 60%
80%
100%
Más de 15.000€
Fuente: INTECO
Al hilo de esta conclusión, y en comparación con la percepción de otras PYME de Europa y Norteamérica, el estudio publicado por Forrester Research en el año 2008 21 establece un cambio paulatino en la percepción de las amenazas que pueden interrumpir las operaciones de las organizaciones. Es decir, comienzan a percibir que situaciones extremas como terremotos, inundaciones e incendios son menos frecuentes que otras como las caídas de la corriente eléctrica, fallos en las TIC o errores humanos. Todas ellas en conjunto justifican la inversión en servicios y tecnologías de continuidad de negocio y en definitiva la necesidad de estar preparado ante cualquier tipo de evento adverso. Ante la dificultad identificada de las empresas participantes para calcular las pérdidas económicas derivadas de los incidentes de seguridad que han impactado en sus actividades de negocio, en el análisis se contempla la posibilidad de determinar cualitativamente dicha pérdida (ver Gráfico 9). En un 26,8% de los casos esos daños fueron valorados como altos o muy altos.
21
Op. cit. 15
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 36 de 121
Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes de seguridad 100%
80%
60%
40% 28,3%
24,8%
23,7%
18,7%
20% 2,5%
2,0%
0% No sabria valorarlo
Bajo
Medio
Alto
Muy alto
Base: PYME que han sufrido algún incidente de seguridad (n=372)
NS/NC
Fuente: INTECO
Como se ha comentado anteriormente, aunque los daños económicos sean los más visibles a priori, las interrupciones de las actividades de las empresas pueden tener otro tipo de consecuencias que han sido valoradas en el presente estudio. El Gráfico 10 muestra que en la mayoría de los casos (87,9%) los incidentes de seguridad han mermado la capacidad para llevar a cabo de forma continuada las funciones de negocio (operatividad). Por otro lado, debido a la ausencia de regulaciones o acuerdos contractuales con proveedores que fuercen a las empresas a aplicar requerimientos de continuidad de negocio, tan solo el 1,7% de las PYME cuyas actividades se vieron paralizadas han tenido consecuencias legales o contractuales.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 37 de 121
Gráfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la propia imagen
1,7% 10,4%
87,9% Impacto en la operatividad
Impacto en la Imagen
Impacto legal/contractual
Base: PYME que han sufrido algún incidente de seguridad (n=372)
Fuente: INTECO
En un análisis más detallado (ver Gráfico 11), las incidencias de seguridad que interrumpen las operaciones de negocio de las empresas y dañan en mayor medida la imagen de confianza y la reputación de cara al exterior (clientes, accionistas, socios, etc.) son la caída de las aplicaciones (2,6%) y sistemas de soporte (1,1%) y la falta de servicio por parte del proveedor/es (1,1%). Los eventos adversos que más penalizan la operatividad de las compañías son los relacionados con la ausencia del servicio por parte del proveedor externo (12,8%) y la interrupción de los sistemas de soporte (8,6%). Si bien anteriormente se ha reflejado la escasa probabilidad de que una paralización de las actividades de negocio de una PYME desencadene consecuencias legales/contractuales, éstas se suceden en el 0,8% de los casos en los que dicha paralización es atribuible a la falta de servicio por parte del proveedor.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 38 de 121
Gráfico 11: Consecuencias o impactos derivados de los incidentes de seguridad
Falta de servicio por parte de proveedores (n=46) Caída de sistemas de soporte (climatización, líneas y dispositivos de comunicación, etc.) (n=35) Ataque informático Caída de mis sistemas/aplicaciones (n=30) Inundación, terremoto, incendio (n=12) Perdida de datos de negocio críticos (n=6) Baja de personal crítico (n=4)
1,1% 0,8%
8,6% 1,1% 0,2% 7,6% 0,2% 5,0% 2,6% 0,2% 3,4% 2,4% 0,8% 0,0% 1,7% 0,0%
Daño físico en instalaciones/equipos (n=13)
1,1%
Multas, sanciones (n=14)
0,8%
Otros (n=10)
0,2%
0% Impacto en la operatividad
12,8%
20%
Impacto en la imagen
40%
60%
100%
Impacto legal/contractual
Base: PYME que han sufrido algún incidente de seguridad (n=372)
3.3
80%
Fuente: INTECO
Respuesta a los incidentes de seguridad por parte de las empresas
Existen multitud de actividades que evitan, en la medida de lo posible, que se produzcan incidentes de seguridad que, de no ser contrarrestados adecuadamente, pueden paralizar las operaciones de las compañías. Del análisis del grado de implantación de estas medidas de seguridad en aquellas PYME que han padecido algún evento de seguridad adverso, se desprenden las siguientes conclusiones (ver Gráfico 12): •
El 87,8% de las pequeñas y microempresas participantes realizan copias de seguridad de su información. Este dato viene reforzado en el Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas elaborado por INTECO 22 y en el que se establece que la práctica totalidad de las empresas (94,2%) realizan copias de seguridad.
•
Más del 62% de las empresas encuestadas poseen sistemas de detección y extinción de incendios (62,4%).
•
La adquisición de software (como por ejemplo para la autorización de los procesos de copiado de información, o los antivirus) o hardware (en muchas ocasiones con el fin de buscar redundancia de equipos y comunicaciones) es una práctica frecuente en la mayoría de las PYME (79,7%).
22
Op. cit 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 39 de 121
•
El 63,6% de las empresas afirman recurrir a la contratación de un seguros (los cuales generalmente cubren económicamente las pérdidas generadas por los daños físicos en las instalaciones y/o equipos) y a la consulta o solicitud de soporte a expertos (en este caso el 79,2% de las entidades).
•
De cara a un futuro inmediato, el 25,4% de las empresas participantes en el estudio tienen pensado dotarse de mayor conocimiento acerca de la adopción de planes de continuidad de negocio y el 22% tienen pensado adoptar medidas que garanticen la continuidad de sus operaciones en caso de contingencia grave (desde medidas de seguridad preventivas hasta planes formales de continuidad de negocio).
•
En concordancia con las pequeñas inversiones realizadas por la PYME en materia de seguridad y garantía de continuidad, acciones como establecer acuerdos con terceros (proveedores de servicio) en términos de continuidad (37,7%), adquirir o alquilar centros de respaldo alternativo (41,9%), adoptar procesos integrales de gestión de riesgos (64,6%) o adquirir nuevos productos de seguridad (47,5%) son medidas que no están previstas para ser implantadas o desarrolladas entre las empresas participantes. Gráfico 12: Medidas de seguridad destinadas a garantizar la continuidad de sus operaciones Realización de copias de seguridad
87,8%
Adquisición de SW/HW Consultar a un experto
0,3% 20,0%
79,2%
Redundancia de equipos y/o comunicaciones
0,3%
74,0%
Contratación de un seguro Sistemas detección/extinción incendios
62,4% 62,3%
Contratación de asesoría externa Sistemas de climatización
37,6% 0,4%
46,2% 12,1%
45,6%
Adquisición nuevo producto de seguridad
Contratación servicios seguridad física
35,4%
Otras
0%
47,5%
10,9%
41,9% 64,6% 64,6%
54,8%
Lo voy a implantar
37,7%
12,4%
47,2% 35,4%
29,0%
18,9%
40,1%
Adopción proceso gestión de riesgos
35,9%
25,4%
43,4%
Adquisición/alquiler centro de respaldo alternativo
15,7%
40,4%
53,8%
Establecimiento acuerdos con terceros
20,9%
22,0%
52,0%
Buscar más información sobre la materia
16,8%
15,5%
59,2%
Mejora realización de copias de seguridad
20,5%
9,2%
63,6%
Adopción medidas que garantizan la continuidad
Ya implantada
12,2%
79,7%
20%
14,5%
40%
60%
30,6%
80%
100%
Ni la he implantado, ni la implantaré
Base: PYME que han sufrido algún incidente de seguridad (n=372)
Fuente: INTECO
Un análisis pormenorizado de los motivos por los cuales las compañías no han decido implantar medidas de seguridad destinadas a la continuidad de sus operaciones tras los incidentes sufridos muestra que (ver Gráfico 13):
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 40 de 121
•
Un 22% de las organizaciones considera que se trataba solamente de una incidencia puntual del proveedor o incluso un incidente ocasional (en el 14,2% de las PYME) y que por consiguiente puede no volver a producirse.
•
Un 16,9% piensa que el coste de implementación de medidas supera el riesgo al que están sometidos.
•
Un 11,8% atribuye la no implantación a una falta de recursos tanto económicos como de personal.
•
El 24,8% restante comenta que, de algún modo, lograron minimizar las consecuencias de dichos incidentes, bien gracias a sus seguros, al cambio de proveedor o recurriendo las sanciones económicas recibidas, entre otros.
Estos datos reflejan que, en los casos en los que los incidentes están relacionados con un servicio proporcionado por un proveedor, con frecuencia, las empresas consideran no estar en condiciones de exigir a los proveedores responsabilidades por los incidentes sufridos y/o garantías futuras de cumplimiento de servicio. Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a garantizar la continuidad de sus operaciones
Incidencia puntual del proveedor
22,0% 16,9%
Coste superior al riesgo No se ha considerado necesario (incidencia puntual o resuelta) Falta de recursos de tiempo, presupuesto y/o personal
14,2% 11,8%
Sanción económica recurrida
9,0%
El seguro minimizó las pérdidas
8,8% 3,9%
La incidencia no tuvo un impacto severo asociado No posible cambiar de proveedor
1,3%
Cambio de proveedor
1,3%
Medidas existentes cubren razonablemente el riesgo
0,5% 10,3%
NS/NC 0%
20%
40%
Base: PYME que no han implantado ninguna medida de seguridad (n=36)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
60%
80%
100%
Fuente: INTECO
Página 41 de 121
3.4 Madurez de los procesos de gestión de riesgos que impactan en la continuidad del negocio Tal y como se detalla en la Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de Continuidad de Negocio desarrollada por INTECO, el proceso de análisis y gestión de riesgos es fundamental para: •
Identificar y priorizar los riesgos a los que una empresa debe enfrentarse. En términos de continuidad de negocio, el alcance del citado proceso está compuesto por aquellos riesgos que pueden paralizar las actividades de negocio de una organización.
•
Determinar las medidas de seguridad a implantar que son más adecuadas en función de los riesgos previamente identificados.
La mejor forma para adoptar estrategias de seguridad acordes a las necesidades y a la realidad de las empresas debe estar basada en conocer los riesgos que amenazan la continuidad de sus procesos de negocio. Del análisis inicial de las respuestas obtenidas, se obtiene que un 38,3% de las empresas participantes mantiene un proceso de gestión abordado de forma periódica para hacer frente a los riesgos que pueden afectar a la continuidad de sus operaciones, lo que denota a priori cierto nivel de preocupación y proactividad al respecto (ver Gráfico 14). Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad (%)
4,6% 16,1% 16,8% 71,2% 24,2% 38,3%
No NS/NC Sí, pero solo ocasionalmente y cuando el presupuesto y la carga de trabajo lo permite Solo en contadas ocasiones Sí, es un proceso optimizado, gestionado y abordado periódicamente
Base: Total PYME (n=400)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Fuente: INTECO
Página 42 de 121
Teniendo en cuenta los diferentes sectores de actividad de las PYME participantes en el estudio (ver Tabla 6), las que presentan grados más avanzados desde el punto de vista de adopción y realización madura de procesos de gestión de riesgos son las enmarcadas en actividades profesionales, científicas y técnicas (72,7%) seguidas de las dedicadas a tecnologías de la información y comunicación (58,3%). Al otro extremo del análisis, las compañías de la construcción y las del sector de industria manufacturera, extractiva, suministros y/o agricultura, ganadería y pesca son las más reactivas a la hora de adoptar tales procesos: Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad en función de su actividad (%)
Sector de Actividad
Actividades Profesionales, Científicas y Técnicas Tecnología de la Información y Comunicación Educación, Actividades Sanitarias y de Servicios Sociales Comercio + Hostelería + Reparaciones + Servicios Personales Transporte y Almacenamiento Otros sectores Actividades Financieras y Seguros + Actividades Inmobiliarias Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca Construcción TOTAL
Sí, pero solo Sí, es un proceso cuando el Solo en optimizado, presupuesto contadas gestionado y y la carga abordado ocasiones de trabajo lo periódicamente permite
No
NS/NC
72,7%
9,1%
0,0%
18,2%
0,0%
58,3%
25,0%
0,0%
8,3%
8,3%
37,5%
37,5%
12,5%
12,5%
0,0%
37,5%
9,4%
28,1%
15,6%
9,4%
33,3%
22,2%
11,1%
33,3%
0,0%
25,0%
25,0%
0,0%
50,0%
0,0%
22,2%
22,2%
22,2%
33,3%
0,0%
9,1%
18,2%
18,2%
45,5%
9,1%
8,3% 38,7%
8,3% 16,0%
33,3% 16,0%
41,7% 24,4%
8,3% 5,0%
Base: Total PYME (n=400)
Fuente: INTECO
Las buenas perspectivas en materia de gestión de riesgos que son posibles extraer a través de la interpretación del Gráfico 14, son corroboradas por otro tipo de estudios como el publicado por Forrester Research denominado Business Take BC Planning More
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 43 de 121
Seriously 23 . En el mismo se establece en el tiempo una mejora de la percepción que las empresas tienen de los riesgos: antes, las sociedades centraban sus esfuerzos de continuidad en tratar con amenazas relacionadas con desastres naturales (ignorando otros eventos como caídas de la corriente eléctrica, fallos en los sistemas de información o errores humanos que frecuentemente son las causantes de la interrupción de las actividades). Hoy en día, las compañías comienzan a asimilar que sus estrategias de continuidad de negocio deben estar basadas en procesos previos de análisis y gestión de riesgos. A la hora de tratar de conocer en qué consisten tales acciones es cuando se detecta un ligero desconocimiento o falta de entendimiento acerca de qué es un proceso integral de gestión de riesgos: la mayor parte de las entidades que inicialmente disponen de dichos procesos perciben, en su mayoría, que éstos consisten en aplicar copias de seguridad, backups y/o programas antivirus (51,4%). Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos de continuidad
Copias de Seguridad/Backup/Anti virus
51,4%
Firewall
9,5%
Revisión de log
9,2%
Auditoría/Asesoría/Consultoría
6,1%
Empresa externa
5,9%
ISO 27001
0,5%
Otros (seguros, alarmas, sistemas detección incendios, SAI, …)
5,6%
NS/NC
11,8% 0%
20%
40%
60%
Base: PYME que han realizado alguna acción orientada a identificar riesgos (n=298)
80%
100%
Fuente: INTECO
Obviamente estas medidas están orientadas a hacer frente a los riesgos que pueden impactar sobre la continuidad de las actividades de las PYME, pero si el proceso se centra en la tarea previa de identificar y priorizar los mismos en base a su impacto y su probabilidad de ocurrencia (en definitiva, su criticidad), las iniciativas en este sentido son mínimas.
23
Op. cit. 13
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 44 de 121
De todos modos, aún es preocupante como se muestra en el Gráfico 14 el hecho de que la otra mitad de las PYME participantes en el estudio mantengan una posición reactiva para hacer frente a los riesgos. Bien es cierto que, dentro de esa mitad no sólo se contabilizan aquellas entidades que no realizan ningún tipo de acción preventiva (24,2%), sino también aquellas que las realizan puntualmente tras los incidentes sufridos (16,8%) o cuando el presupuesto se lo permite (16,1%). Entre las principales razones de esta visible falta de proactividad destacan como se muestra en el Gráfico 16: •
Falta de personal, de presupuesto o de tiempo (38%).
•
Considerar innecesarias este tipo de acciones innecesarias (32,4%).
Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de riesgos de continuidad de negocio
Falta de recursos de personal, presupuesto y/o tiempo
38,0%
No lo consideran necesario
32,4%
Enfoque de la gestión del día a día
10,4%
No se ha considerado la problemática
7,7%
Otras prioridades
6,5%
No ha ocurrido ningún incidente con anterioridad
4,4%
Desconocimiento en la materia
0,2%
NS/NC
0,4% 0%
20%
40%
60%
80%
Base: PYME que no han realizado ninguna acción orientada a identificar riesgos (n=113)
100%
Fuente: INTECO
Para fortalecer este tipo de acciones, entidades como ENISA (European Network and Information Security Agency) iniciaron en el año 2009 un proyecto piloto 24 sobre PYME españolas con el objetivo de impulsar en las mismas procesos y metodologías de gestión de riesgos que les permitiesen orientar y asignar correctamente las inversiones de seguridad.
24
ENISA (2009): Risk Management Pilot for SMEs and http://www.enisa.europa.eu/act/rm/cr/infosec-smes/files/cs_GMV.pdf
Micro
Enterprises
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
in
Spain.
Disponible
en
Página 45 de 121
Paralelamente, se ha tratado de identificar con las PYME participantes en el estudio el tiempo que como máximo podrían tener interrumpidas sus principales actividades de negocio a causa de una contingencia o incidente grave (ver Gráfico 17). Esto es, el tiempo de inactividad máximo que las empresas podrían soportar antes de afrontar un impacto severo sobre las finanzas, las operaciones o la propia imagen de la compañía. Independientemente del sector de actividad, el 35,8% de las empresas afirman no poder permitirse la paralización de sus actividades críticas, lo que fortalece la importancia y la criticidad de adoptar planes de continuidad de negocio en cualquier tipo de PYME. Del mismo modo, sólo un 17,5% de las pequeñas y microempresas españolas encuestadas podría mantener sus actividades paralizadas durante más de 5 días sin que este hecho supusiese un impacto severo para la compañía. Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las PYME 100%
80%
60%
40%
35,8%
22,6% 17,5%
20%
12,5%
11,7%
0% Inmediatamente
Más de 12 horas
Más de 24 horas
Más de 48 horas
Base: Total PYME y casos de éxito (n=429)
Más de 5 días
Fuente: INTECO
Si se realiza el mismo estudio en función del sector de actividad de la PYME, el 54,5% de las PYME participantes del sector de manufactura y el 50% del sector de transporte y almacenamiento no pueden permitirse que sus actividades se paralicen. Los datos asociados al sector de manufactura son paradójicos, ya que es el sector que presenta más requerimientos de continuidad de sus operaciones y por el contrario es el más reacio a establecer acciones orientadas a prevenir los riesgos que impactan en dicha continuidad (ver Tabla 7).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 46 de 121
Lo mismo sucede con casi la mitad (45,5%) de las PYME pertenecientes al sector de tecnología de la información y comunicación. Tan solo los sectores de Construcción y Actividades Financieras pueden llegar a poseer cierto margen de interrupción de su operativa ya que en cada uno de ellos, casi 1 de cada 2 empresas afirma poder tener paralizadas sus actividades durante más de 5 días. Tabla 7: Tiempo máximo permitido de interrupción en función de la actividad de negocio de la PYME (%)
Grupo de actividad Otros sectores Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca Transporte y Almacenamiento Tecnología de la Información y Comunicación Construcción Educación, Actividades Sanitarias y de Servicios Sociales Comercio + Hostelería + Reparaciones + Servicios Personales Actividades Financieras y Seguros + Actividades Inmobiliarias Actividades Profesionales, Científicas y Técnicas TOTAL
75,0%
Más de 12h. 0,0%
Más de 24h. 25,0%
Más de 48h. 0,0%
Más de 5 días 0,0%
54,5%
9,1%
18,2%
9,1%
9,1%
50,0%
10,0%
10,0%
10,0%
20,0%
45,5%
18,2%
9,1%
27,3%
0,0%
36,4%
9,1%
0,0%
9,1%
45,5%
33,3%
33,3%
33,3%
0,0%
0,0%
29,6%
3,7%
33,3%
18,5%
14,8%
25,0%
0,0%
12,5%
12,5%
50,0%
20,0%
20,0%
40,0%
5,0%
15,0%
36,0%
11,7%
23,4%
11,7%
17,1%
Inmediatamente
Base: Total PYME y casos de éxito (n=429)
Fuente: INTECO
Ante esta situación, tal y como se han comentado con anterioridad, cada vez es más necesario que las organizaciones establezcan una serie de medidas técnicas, organizativas y procedimentales que garanticen la continuidad de sus actividades o procesos de negocio ante un incidente grave. Toda empresa depende de sus recursos, del personal y de las tareas que día a día son ejecutadas con el fin de mantener los beneficios y la estabilidad. La mayor parte posee bienes tangibles, empleados, sistemas y tecnologías de la información, etc. En el momento en que alguno de estos componentes es dañado o deja de estar accesible por la razón que sea, la organización corre el riesgo de paralizarse.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 47 de 121
Del mismo modo, cuanto mayor sea el tiempo de interrupción, mayor será el esfuerzo requerido para retomar la actividad habitual, existiendo incluso la probabilidad de tener que comenzar de nuevo desde cero. 3.5 Requerimiento de continuidad en los servicios facilitados por terceros o forma de gestionar la interdependencia En la línea de lo expuesto en el epígrafe 3.1, alguna de las PYME entrevistadas afirma que las causas de dichos incidentes se han derivado de un fallo por parte de proveedores de servicio. Este hecho puede asociarse de manera cualitativa a que las empresas ni siquiera se plantean la posibilidad de que el servicio de su proveedor pueda llegar a fallar. Es importante destacar que, de cara a la gestión de la continuidad de una organización, las compañías pueden contar con proveedores externos que soportan sus actividades de negocio (energía eléctrica, telefonía, conexión a Internet, etc.), por lo que la continuidad de estos servicios externos es un aspecto a considerar. Entre los requerimientos o medidas que las empresas pueden establecer con los proveedores para el control de los servicios prestados se incluyen por ejemplo acuerdos de nivel de servicio 25 , cláusulas de penalización por incumplimiento de servicios, reportes periódicos del nivel de servicio del proveedor o incluso requerimientos contractuales de continuidad. En este sentido, y derivado también del estudio, no parece que las empresas participantes sean conscientes de que la disponibilidad de sus operaciones pueda depender de las garantías de continuidad de sus proveedores. De hecho, como se muestra en el Gráfico 18, el 72% de las pequeñas y microempresas españolas entrevistadas no exigen a dichos proveedores ningún tipo de requerimiento, certificación o medida destinada a garantizar la continuidad de su servicio.
25
Acuerdo de nivel de servicio o Service Level Agreement, también conocido por las siglas ANS o SLA, es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 48 de 121
Gráfico 18: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre 9,3% 18,7%
72,0% Sí
No
NS/NC
Base: Total PYME (n=400)
Fuente: INTECO
Del 18,7% que sí demandan aspectos de continuidad de negocio a sus proveedores, los más característicos son: •
Calidad mínima en la entrega del servicio (22,3% de los demandantes).
•
Servicio 24x7 (24 horas al día los 7 días de la semana) establecido contractualmente con los proveedores de los servicios más críticos o tiempos de respuesta inmediatos (14,3%).
•
Certificados o cumplimientos de estándares de seguridad y/o continuidad (14,1%).
•
Especificaciones a nivel contractual (11,3% de los demandantes).
A nivel del grupo de actividad de las empresas participantes en el estudio, y tal y como se muestra en la Tabla 8, los sectores de actividad que con más frecuencia demandan a sus proveedores este tipo de requerimientos de continuidad son los relativos a transporte y almacenamiento (37,5%) y al de construcción y tecnologías de la información y comunicación (ambos últimos con un 25%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 49 de 121
Tabla 8: Sectores de actividad que exigen algún tipo de requerimiento / certificación / medidas / planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre (%) Grupo de actividad Transporte y Almacenamiento Tecnología de la Información y Comunicación Construcción Otros sectores Actividades Profesionales, Científicas y Técnicas Comercio + Hostelería + Reparaciones + Servicios Personales Actividades Financieras y Seguros + Actividades Inmobiliarias Educación, Actividades Sanitarias y de Servicios Sociales Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca TOTAL
No 62,5%
Sí 37,5%
NS/NC 0,0%
66,7%
25,0%
8,3%
75,0% 75,0%
25,0% 25,0%
0,0% 0,0%
68,8%
18,8%
12,5%
60,0%
16,7%
23,3%
88,9%
11,1%
0,0%
88,9%
11,1%
0,0%
90,0%
10,0%
0,0%
71,8%
19,1%
9,1%
Base: Total PYME (n=400)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Fuente: INTECO
Página 50 de 121
4
CULTURA Y CONOCIMIENTO DE LA PYME ESPAÑOLA EN MATERIA DE CONTINUIDAD DE NEGOCIO
La parte del estudio que concluye el nivel de cultura y conocimiento de las PYME españolas en materia de continuidad de negocio es quizás la que despierta mayor inquietud (aparte de ser una de las más importantes del presente estudio). Pese a un esperanzador nivel de implantación de medidas observado en las empresas participantes y un moderado grado de concienciación en materia de seguridad, el análisis muestra una visible falta de conocimiento del ámbito de la seguridad centrado en garantizar la continuidad de las operaciones en caso de desastre. El 61% de las pequeñas y microempresas españolas encuestadas afirman que los conceptos de Plan de Continuidad de Negocio (PCN o BCP por sus siglas en inglés) o Plan de Recuperación ante Desastres (PRD o DRP por sus siglas en inglés) les son totalmente desconocidos. El 12,5% de las empresas afirman conocer “absolutamente” los conceptos y un 3,8% los tienen presentes de cara a la gestión del negocio aunque señalen que no los conocen en profundidad. Gráfico 19: Empresas familiarizadas con conceptos de continuidad de negocio (%)
6,0%
12,5%
33,0%
3,8%
61,0% 16,7%
No NS/NC Sí, absolutamente Sí, están presentes de cara a la gestión del negocio aunque no los conozco en profundidad Tan solo vagamente, he oído hablar de ello ocasionalmente
Base: Total PYME (n=400)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Fuente: INTECO
Página 51 de 121
Una valoración más exhaustiva de las definiciones de los términos PCN y PRD recogidas durante el estudio, permite concluir que, del porcentaje de PYME que inicialmente declara estar familiarizadas con dichos términos (33%), un 21,7% conoce realmente la diferencia, frente a un 13,9% que afirma no conocerla o tiene una percepción errónea del significado. Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres (%)
21,7%
13,9% 64,4%
Sí
No
NS/NC
Base: PYME que afirman que los conceptos relacionados con la gestión de planes de continuidad de negocio y planes de recuperación ante desastres le son conocidos (n=151) Fuente: INTECO
Estos niveles de conocimiento y formación en la materia son indicadores que pueden ser comparados con los obtenidos en otros estudios a nivel internacional y que reflejan menor interés y sensibilidad en la PYME española por los aspectos relacionados con la continuidad de negocio. En este sentido, se detallan a continuación algunos ejemplos (el primero de ellos es quizás el más llamativo, por ser publicado ya en 2005 y en el que a pesar de su antigüedad ya se indicaba que las empresas participantes distinguían entre Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres): •
26
Business Continuity Research 26 : una de las conclusiones del presente informe establece que las diferencias entre Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres están claramente identificadas y han dejado de ser consideradas sinónimas. Este incremento en el nivel de conocimiento con respecto a lo observado en el presente estudio, se puede asociar a la mayor participación en la Op. cit. 2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 52 de 121
encuesta de la industria financiera (34%) y de empresas que poseían más de 50 empleados. •
La ya citada publicación CISO Must Take The Lead On Business Resiliency 27 : establece niveles crecientes de concienciación y preocupación por parte de clientes, socios, inversores y reguladores que en definitiva elevan las demandas de estrategias de continuidad por parte de las empresas.
•
Inquiry Insights: Business Continuity 28 : afirma que el volumen de consultas realizadas por las compañías en relación a la continuidad de negocio aumenta año tras año, liderando las mismas las relativas a marcos de referencia, estándares y buenas prácticas (33%).
A la hora de estudiar estos niveles de conocimiento por parte de la PYME, se ha dividido a las empresas participantes en dos tamaños: aquellas que tienen menos de 10 empleados (microempresas), y las que poseen de 10 a 49 empleados (ver Tabla 9). La conclusión de este estudio estratificado por tamaño no arroja diferencias significativas y del mismo se desprende grados de desconocimiento similares en relación con los aspectos de continuidad de negocio, siendo las empresas de mayor tamaño aquellas que, por lo general, muestran un conocimiento ligeramente más profundo en la materia. Tabla 9: Empresas familiarizadas con conceptos de continuidad de negocio en función de su tamaño (%) Tamaño (número de empleados) Menos de 10 empleados De 10 a 49 empleados TOTAL
Sí, absolutamente
Sí, aunque Tan solo no en vagamente profundidad
No
NS/NC
12,0%
2,0%
16,0%
63,0%
7,0%
15,0%
15,0%
20,0%
50,0%
0,0%
12,5%
4,2%
16,7%
60,8%
5,8%
Base: Total PYME (n=400)
Fuente: INTECO
Si a continuación se estratifica por industria, resalta que los sectores de actividad que presentan mayores nociones y conocimientos de continuidad de negocio son las empresas de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la actividad tecnológica (18,2%) (Ver Tabla 10).
27
Op. cit. 15
28
Forrester Research (2008): Inquiry Insights: Business Continuity. Publicado en el tercer trimestre de 2008. Disponible previo registro en: http://www.forrester.com/rb/Research/inquiry_insights_business_continuity,_q3_2008/q/id/47152/t/2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 53 de 121
Tabla 10: Empresas familiarizadas con conceptos de continuidad de negocio en función de su sector de actividad (%)
Grupo de actividad Actividades Profesionales, Científicas y Técnicas Otros sectores Tecnología de la Información y Comunicación Transporte y Almacenamiento Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca Comercio + Hostelería + Reparaciones + Servicios Personales Actividades Financieras y Seguros + Actividades Inmobiliarias Construcción Educación, Actividades Sanitarias y de Servicios Sociales TOTAL
Sí, absolutamente
Sí, aunque Tan solo no en vagamente profundidad
No
NS/NC
31,8%
0,0%
9,1%
54,5%
4,5%
25,0%
0,0%
0,0%
50,0%
25,0%
18,2%
9,1%
9,1%
63,6%
0,0%
11,1%
0,0%
11,1%
77,8%
0,0%
8,3%
8,3%
8,3%
75,0%
0,0%
6,3%
3,1%
12,5%
65,6%
12,5%
0,0%
11,1%
44,4%
44,4%
0,0%
0,0%
0,0%
50,0%
50,0%
0,0%
0,0%
0,0%
12,5%
75,0%
12,5%
11,8%
3,4%
16,8%
62,2%
5,9%
Base: Total PYME (n=400)
Fuente: INTECO
Siguiendo con la Tabla 10, resulta destacable que prácticamente 3 de cada 4 empresas del sector de educación, actividades sanitarias o servicios sociales desconocen absolutamente cualquier aspecto relacionado con continuidad de negocio. En línea con lo indicado, se ha estudiado sobre las PYME participantes el grado de entendimiento de las posibles situaciones que pueden conducir a una interrupción de sus operaciones de negocio y que se mencionan a continuación de menor a mayor criticidad: incidencia, problema, emergencia y crisis (ver Gráfico 21).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 54 de 121
Gráfico 21: Grado de conocimiento en relación con los conceptos de continuidad de negocio
Incidencia
Problema
13,3%
Emergencia
Crisis
48,2%
31,5%
46,7%
34,6%
7,6% 3,9% 7,2%
10%
46,5%
31,2%
2,9%6,1%
10,2% 1,5%8,7%
0%
48,2%
28,7%
5,1% 0,4%
17,5%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Situación definida y gestionada Situación definida pero no gestionada Entiende la situación pero no hay planes para su gestión No definida gestión para estas situaciones por no entenderlas ni distinguirlas NS/NC
Base: Total PYME (n=400)
Fuente: INTECO
Así pues, un alto porcentaje de empresas (superior al 28% en todos los casos) no entiende ni distingue entre las situaciones de crisis, emergencia, problema e incidencias, lo cual refuerza de nuevo, el bajo conocimiento que poseen las PYME sobre conceptos relacionados con la continuidad de negocio. También es posible apreciar que aspectos más propios de la operativa diaria de las PYME españolas como “incidencia” o “problema”, aunque puedan no ser relacionados directamente con la continuidad de sus actividades de negocio, están más presentes, definidos y gestionados. En contraposición, otros conceptos relacionados con sucesos más críticos como “emergencia” o “crisis”, y más cercanos a la posible activación de un plan de respuesta, son en general menos considerados entre las empresas participantes. Los niveles de desconocimiento representan una de las principales barreras a la hora de difundir la criticidad de abordar cualquier iniciativa de continuidad de negocio, ya que la cuestión no solo estriba en que la empresa no sepa por dónde empezar o qué hacer al respecto, sino que también puede no ser consciente de que continuamente está expuesta a riesgos de diversa índole que, de no ser afrontados de forma conveniente, pueden conducir a la detención total o parcial de sus operaciones. A medida que aumenta la percepción de riesgo, los gerentes y directivos de las empresas cada vez asumen más responsabilidad en lo que respecta a las estrategias para la disponibilidad de sus operaciones de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 55 de 121
Además de mostrar la situación actual de la PYME española en cuanto a la adopción de planes de continuidad de negocio, el estudio en su origen tiene la intención de promover entre las empresas una cultura de seguridad desde el punto de vista de la capacidad de los procesos de negocio a permanecer activos e incluso recuperarse en el menor tiempo posible en caso de padecer una contingencia grave. Aparte del coste en sí, uno de los mayores inconvenientes a los que se enfrentan las empresas cuando tienen que definir y desarrollar medidas o planes de continuidad de negocio es tomar conciencia de la necesidad de las mismas. ¿Cómo sería posible superar este escollo? Una propuesta para vencer este obstáculo consiste en que la empresa se plantee durante cuánto tiempo puede sobrevivir sin aplicaciones, sin datos, sin Internet o sin instalaciones. Si la respuesta a dicha cuestión concluye que se debe analizar cómo responder a estas situaciones, probablemente esté comenzando a incrementar sus niveles de concienciación al respecto.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 56 de 121
5
ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE MEDIDAS O PLANES DE CONTINUIDAD DE NEGOCIO EN LA PYME ESPAÑOLA
Tal y como se acaba de ver en el epígrafe anterior, las PYME españolas se caracterizan en materia de continuidad de negocio por su desconocimiento casi general sobre qué es la continuidad de negocio y cuál es realmente la importancia que ésta tiene en el día a día de sus operaciones. Esto hace intuir que en España las previsiones para salvaguardar los negocios son mínimas ya que, de una forma u otra, no termina de estar claro qué es, cómo se hace y para qué sirve un plan de continuidad de negocio. La gestión de la continuidad de negocio debiera formar parte de los procesos integrales de gestión de riesgos de las empresas, ya que de forma periódica algunos desastres vienen a recordar la necesidad de asegurar los recursos críticos en el funcionamiento de una empresa. Si bien es improbable que la empresa padezca las consecuencias de una catástrofe, es menos remota la posibilidad de sufrir pequeñas incidencias que de no ser resueltas ágilmente pueden desencadenar en un gran problema. Así, son muchos los pequeños trastornos que son capaces de dañar las actividades de las empresas: la caída de la corriente eléctrica o de las comunicaciones con el exterior, la pérdida o el robo de un ordenador, la paralización de los servicios por parte de los proveedores más críticos, etc. Por todo ello, es fundamental contar con un sistema que garantice la resistencia de las operaciones de negocio ante cualquier eventualidad independientemente del tamaño de la empresa. El presente apartado pone de manifiesto los principales resultados obtenidos a raíz de analizar sobre las PYME participantes las iniciativas efectuadas en materia de continuidad de negocio y el grado de implantación de las mismas. En concreto: •
Nivel de implantación de las estrategias de continuidad de negocio tanto en la actualidad como en un futuro inmediato.
•
Análisis detallado de las medidas preventivas y de respuesta que componen toda estrategia de disponibilidad de los productos y servicios de las empresas.
•
Estudio de la necesidad de asesoramiento externo por parte de aquellas PYME que han hecho efectivas tales estrategias.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 57 de 121
5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia, plan o procedimiento que les permita recuperar su actividad ante un desastre Esto también se refleja en el hecho de que del total de empresas participantes en el estudio, el 57,3% de las mismas afirme no disponer de ninguna estrategia, plan o procedimiento que ante una situación de emergencia les permita recuperar sus procesos de negocio en el menor tiempo posible (Gráfico 22). Entre las que han indicado que sí han puesto en marcha alguna estrategia, el 16,7% se está refiriendo a la adopción de planes de continuidad de negocio (el cual contempla la totalidad de recursos que componen las operaciones de negocio) y el 21,7% sólo dispone de mecanismos que le permiten recuperar el entorno tecnológico que mantiene dichas operaciones de negocio (sistemas, aplicaciones, bases de datos, comunicaciones, etc.). Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%)
4,3%
16,7%
38,4% 57,3% 21,7%
No
NS/NC
Sí, elaborada e implantada
Sí, aunque solo permite recuperar el entorno tecnólogico
Base: Total PYME (n=400)
Fuente: INTECO
Si se presentan los resultados obtenidos en función del tamaño de la empresa participante, la probabilidad de que las pequeñas empresas adopten tales estrategias es mayor que en las microempresas (ver Tabla 11).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 58 de 121
Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en función de su tamaño (%) Tamaño (número de empleados) Menos de 10 empleados De 10 a 49 empleados TOTAL
Sí, elaborada e implantada
Sí, aunque solo permite recuperar el entorno tecnológico
No
NS/NC
14,9%
20,8%
59,4%
5,0%
25,0%
25,0%
45,0%
5,0%
16,5%
21,5%
57,0%
5,0%
Base: Total PYME (n=400)
Fuente: INTECO
Es decir, cuanto más grande sea la empresa, mayor es la probabilidad de que disponga de algún tipo de estrategia de continuidad. Esta afirmación está alineada con otras conclusiones publicadas en otros estudios internacionales como el de Forrester Research titulado Business Take BC Planning More Seriously 29 , en el que colaboran 295 sociedades con la siguiente distribución por tamaño: 33% de empresas de 1 a 999 empleados, 27% de empresas de 1.000 a 4.999 empleados, 17% de empresas de 5.000 a 19.999 empleados y 21% de empresas con más de 20.000 empleados. Las empresas participantes son de mayor tamaño que las del presente estudio y sobre ellas los niveles de implantación de planes de continuidad de negocio rondan el 77%. Hasta el momento, del análisis del presente estudio y de otros informes ya citados se desprende que las empresas grandes están mejor preparadas que las de menor tamaño a la hora de tener que mantener las operaciones afectadas por una contingencia grave. ¿Será debida esta afirmación a que la PYME percibe erróneamente que disponer de un plan de continuidad de negocio no es tan crítico como lo pudiera ser en las grandes compañías?: Según el Gráfico 23, casi 9 de cada 10 empresas participantes establecen que el hecho de estar preparadas para encarar y resolver situaciones graves con impacto en sus negocios es igual de crítico que en las grandes empresas.
29
Op. cit. 13
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 59 de 121
Gráfico 23: Empresas que consideran que estar preparadas frente a posibles contingencias es igual de crítico que en las grandes compañías (%)
Sí, aunque el alcance y las medidas preventivas a implantar son más simples
47,2%
Sí, ya que tiene las mismas necesidades que una empresa grande para asegurar la continuidad de sus operaciones
38,1%
No, una PYME no necesita tener los niveles de preparación que tienen las grandes empresas para hacer frente a una contingencia grave
11,9%
2,8%
NS/NC
0%
20%
40%
Base: Total PYME (n=400)
60%
80%
100%
Fuente: INTECO
Por otro lado, en cuanto a los niveles de adopción de estrategias de continuidad de negocio en función de los sectores de actividad, es posible señalar 3 aspectos (ver Tabla 12): •
El sector con mayor índice de implantación de planes de continuidad de negocio es el relacionado con actividades profesionales, científicas y técnicas (31,8%).
•
En relación a los planes para la recuperación del entorno tecnológico (Planes de Recuperación ante Desastres), son las PYME del sector de actividades financieras las que presentan los mejores ratios de implementación (50%).
•
Prácticamente 3 de cada 4 empresas del sector de educación, actividades sanitarias y servicios sociales no disponen ni de planes de continuidad de negocio ni de planes de recuperación ante desastres.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 60 de 121
Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su sector de actividad (%)
Grupo de actividad Otros sectores Actividades Profesionales, Científicas y Técnicas Transporte y Almacenamiento Tecnología de la Información y Comunicación Construcción Actividades Financieras y Seguros + Actividades Inmobiliarias Comercio + Hostelería + Reparaciones + Servicios Personales Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadería, Pesca Educación, Actividades Sanitarias y de Servicios Sociales TOTAL
Sí, aunque solo Sí, elaborada e permite recuperar implantada el entorno tecnológico 50,0% 0,0%
No
NS/NC
50,0
0,0%
31,8%
9,1%
59,1%
0,0%
22,2%
11,1%
66,7%
0,0%
16,7%
41,7%
33,3%
8,3%
15,4%
30,8%
53,8%
0,0%
12,5%
50,0%
25,0%
12,5%
9,4%
25,0%
62,5%
3,1%
8,3%
16,7%
66,7%
8,3%
0,0%
0,0%
87,5%
12,5%
16,7%
21,7%
57,5%
4,2%
Base: Total PYME (n=400)
Fuente: INTECO
El análisis de los motivos por el que las PYME alegan no disponer de medidas de continuidad de negocio permite extraer algunas conclusiones (ver Gráfico 24): •
Aproximadamente la mitad de las pequeñas y microempresas españolas carecen de la sensibilización, formación y concienciación necesaria para considerar la criticidad de que sus compañías dispongan de medidas de respuesta frente a situaciones de contingencia grave. A su juicio estas situaciones tienen una probabilidad tan baja de ocurrencia que no compensa invertir en tales medidas y prefieren asumir el riesgo (19,1%). Otro 14,2% indica que es un gasto innecesario teniendo en cuenta el coste de su implantación. En definitiva, tienen una percepción errónea de los riesgos/amenazas que pueden estar padeciendo y de que la probabilidad de que acontezca una contingencia que, de no ser atajada a tiempo, puede convertirse en grave.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 61 de 121
Confirmando esta percepción errónea, la publicación CISOs must take the lead on business resiliency 30 señala que progresivamente las sensaciones que tienen las empresas acerca de las amenazas reales que pueden impactar en la continuidad de las actividades de negocio están cambiando de forma que la tendencia de las empresas entrevistadas empieza a poner la vista en amenazas más comunes como caídas del suministro eléctrico o de las conexiones a Internet, fallo en los sistemas de información o errores humanos. Estas amenazas, de no ser contrarrestadas a tiempo, pueden derivar en una interrupción de la actividad. •
Falta de fondos y recursos presupuestarios para cubrir las medidas necesarias (15,1%). En línea con este indicador, el estudio 2010 Global Security Report 31 muestra que la principal barrera a la gestión de la continuidad de negocio es la falta de presupuesto suficiente (25% de las empresas consultadas a nivel mundial). Gráfico 24: Razones por las que las empresas no implementan planes de continuidad
Considero muy reducida la posibilidad de que ocurra una crisis/desastre No dispongo de personal capacitado ni del tiempo necesario
19,1% 16,7%
Presupuesto insuficiente Es un gasto innecesario teniendo en cuenta el coste de implantación Tengo otras debilidades de seguridad que son más prioritarias Falta de apoyo por parte de la empresa (del negocio, de la dirección o de los propios empleados)
15,1% 14,2% 7,7% 1,2%
Falta de apoyo por parte de las líneas de negocio
0,2%
Falta de visibilidad y liderazgo dentro de la organización
0,1%
Otros
10,0%
NS/NC
12,5% 0%
20%
40%
Base: PYME que no disponen de estrategia (n=201)
60%
80%
100%
Fuente: INTECO
Adicionalmente, resulta necesario destacar que el 87% de las empresas participantes en el estudio no tienen pensado abordar en los próximos 6 meses ninguna estrategia o proceso orientado a facilitar la continuidad de sus actividades de negocio en caso de desastre (ver Gráfico 25).
30
Op. cit. 15
31
Deloitte (2010): 2010 Global Security Report en el que han participado empresas de diferentes tamaño. El 16% de las compañías participantes tenía menos de 500 empleados en el momento de la realización de la encuesta.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 62 de 121
Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los próximos 6 meses
5,4%
7,7%
87,0% Sí
No
Base: Total PYME (n=400)
NS/NC
Fuente: INTECO
El análisis internacional sobre el nivel de implantación de las estrategias de continuidad de negocio permite comprobar que es mayor que en España. En este sentido, existen diferentes estudios que validan esta conclusión, aunque en cierta medida es más lógico teniendo en cuenta que se realizan sobre empresas de más de 50 empleados. Aún así sorprende el hecho de que ya en 2005, el 70% de las compañías participantes en el estudio Business Continuity Research 32 disponían de un plan de continuidad de negocio. Este porcentaje es incluso mayor (80%) si se realiza el análisis exclusivamente sobre compañías financieras, entidades sometidas a estrictas directivas que exigen la implantación de planes de continuidad de negocio con carácter obligatorio (Ley Sarbanes-Oxley 33 , MiFID 34 ). Uno de los aspectos críticos que deben ser tenidos en cuenta por las organizaciones que deciden adoptar una estrategia de continuidad es la identificación y selección del alcance. Este alcance, aparte de estar sujeto a posibles limitaciones presupuestarias, debe tener presente las actividades de negocio críticas que, de interrumpirse, pueden llegar a suponer pérdidas graves para la continuidad de la empresa.
32
Op. cit. 2
33
Ley Sarbanes-Oxley (SOX): Ley impulsada por el gobierno norteamericano para impedir los fraudes financieros
34
MiFID (Markets in Financial Instruments Directive): Directiva europea que establece un régimen regulador para los mercados financieros de la Unión Europea
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 63 de 121
Por ello, y entendido como un dato que denota cierto sentido común en el desarrollo de procedimientos de respuesta ante contingencias graves, se llega a establecer que casi 8 de cada 10 empresas (del 38,4% que han afirmado contar con algún tipo de estrategia de continuidad, ya sea a nivel de sus procesos de negocio o a nivel de los sistemas tecnológicos que soportan los mismos) han acotado y decretado el alcance de sus estrategia de continuidad. Gráfico 26: Empresas que establecen el alcance dentro de su estrategia de continuidad (%) 13,3%
11,0%
75,8%
Sí
No
Base: PYME que disponen de estrategia (n=199)
NS/NC
Fuente: INTECO
Por último, es evidente que el diseño e implementación de una estrategia o plan de continuidad conlleva la asignación de unos recursos que han de permitir su puesta en marcha, entre ellos personal interno o externo dedicado. También es lícito pensar que cuanto más grande sea la organización mayor es el volumen de recursos (humanos, económicos, tecnológicos) que es necesario destinar a la gestión de la continuidad. En cuanto a pequeñas y microempresas participantes en el estudio que disponen de programas de continuidad de negocio, el 33,9% de los que han contestado afirman dedicar una persona a diseñar, elaborar e implantar tales programas (ver Gráfico 27). Otro 40,8% indica que el número de personas dedicadas a tal actividad oscila entre 1 y 3 personas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 64 de 121
Gráfico 27: Personal dedicado a la gestión de la continuidad de negocio (%)
7,8%
17,5%
33,9%
40,8% 1 persona
Entre 1 y 3 personas
Más de 3 personas
Base: PYME que disponen de estrategia (n=199)
NS/NC
Fuente: INTECO
Resultados semejantes se obtienen del análisis del estudio 2010 Global Security Study 35 , realizado a nivel mundial sobre empresas de mayor tamaño, que establece que el 44% de las mismas destinan de 1 a 5 personas 36 a la mencionada gestión. Esta similitud con la gran empresa puede resultar confusa, ya que se podría llegar a interpretar erróneamente que el volumen de recursos humanos y/o responsables de continuidad es independiente del tamaño de las organizaciones. Pero al profundizar en el análisis comparativo de la PYME con la gran empresa con respecto al volumen de personal empleado en aspectos de continuidad (aspecto que se desarrolla más en detalle en el epígrafe 6), se detallan a continuación varios aspectos que permiten intuir una diferenciación: •
Algunos estudios internacionales, como el ya citado 2010 Global Security Study, se refieren a personal que dedica el 100% de su jornada laboral a la realización de tareas de continuidad. En contraposición, el presente estudio no garantiza que dicho personal invierta la totalidad de su tiempo a este tipo de funciones.
•
35
Relacionado con el apartado anterior, cuanto menor es el tamaño de la compañía, menor es la probabilidad de que disponga de personal dedicado a tiempo completo a la gestión de la continuidad. De hecho, la publicación More Businesses Now Op. cit. 31.
36
Personas dedicadas a tiempo completo a la gestión de la continuidad y que por tanto sus únicas funciones y responsabilidades son las relacionadas con la gestión de la continuidad de negocio. Es inglés es común referirse a este tipo de recursos como Full Time Equivalents (FTE).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 65 de 121
Institutionalize Business Continuity Management 37 , aparte de indicar que antiguamente las compañías gestionaban sus programas de continuidad informalmente y asignando tareas a figuras con otras responsabilidades, concluye que la figura del director de continuidad de negocio está más implantada en grandes (66%) que en pequeñas y medianas empresas (48%), así como el número de personal dedicado a tiempo completo a la gestión de continuidad es mayor en grandes empresas. •
En la línea de lo tratado, el estudio CISOs Must Take The Lead On Business Resiliency 38 determina que la media de responsables de programas de continuidad en grandes empresas oscila entre 3 y 4 personas, mientras que en las más pequeñas se establece de media un responsable y dedicaciones parciales del personal de tecnologías de la información.
5.2 La importancia de disponer de medidas y la complejidad de gestionar los gastos necesarios en materia de continuidad de negocio Al conjunto de empresas que afirman disponer o que tienen la intención a corto-medio plazo de impulsar medidas destinadas a afianzar la continuidad de sus actividades, se les ha preguntado acerca de cuáles han sido los principales incentivos o elementos impulsores (ver Gráfico 28). De entre las diferentes respuestas aportadas por el colectivo participante, es reseñable que prácticamente la gran parte de ellas (73,1%) consideran que garantizar la disponibilidad de las operaciones de negocio en caso de crisis es el motivo más importante que les ha llevado a la adopción de medidas de continuidad. En segundo lugar, más de la mitad de las PYME participantes establecen que otros estímulos bastante o muy importantes son los relacionados con la protección de su imagen pública (70,8%) y la ventaja competitiva frente a otros competidores (54,5% así lo afirman). Esto último refuerza la conclusión de que, cada vez más, las PYME son conscientes no sólo de las pérdidas económicas directas derivadas de una interrupción inesperada, sino también del impacto adicional que podría causar en su imagen u otras repercusiones indirectas asociadas (falta de confianza o pérdida de clientes, falta de competitividad con respecto a otras empresas del sector, etc.). Como dato quizás más anecdótico, y a pesar del impacto mediático que provocó en su momento y a nivel mundial el virus denominado H1N1 o comúnmente conocido por Gripe A, el 86,6% de las pequeñas y microempresas españolas participantes en el estudio 37
Forrester Research (2009): More Businesses Now Institutionalize Business Continuity Management. Disponible en: http://www.forrester.com/rb/Research/more_businesses_now_institutionalize_business_continuity_management/q/id/46481/ t/2 38
Op. cit. 15
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 66 de 121
restan importancia a que uno de los motivos que deben llevar a las compañías a adoptar medidas de continuidad de negocio sea el que consiste en dar respuesta a posibles pandemias. Siguiendo con el análisis de incentivos que motivan la adopción de estrategias de continuidad, y en comparación con otros estudios internacionales, se pone de manifiesto la ausencia en España de regulaciones o requerimientos legales aplicables a todos los sectores de actividad y que fuerzan a las empresas a implantar planes de recuperación de sus actividades como respuesta a situaciones de crisis. Así, como consecuencia de esta ausencia, la PYME española no tiene la costumbre ni considera muy importante desarrollar planes de continuidad de negocio con el objetivo de cumplir con exigencias o normativas legales, simplemente porque éstas no existen. Sin embargo, si se amplía la vista del estudio y se pone el foco de atención en empresas de otros países, la situación varía. Así se muestra en el ya mencionado 2010 Global Security Study 39 , el cual concluye que el cumplimiento regulatorio ocupa el segundo lugar (32%) entre los principales estímulos que llevan a las empresas a la implantación de planes de continuidad de negocio. Gráfico 28: Principales estímulos para implantar planes de continuidad de negocio Garantizar la disponibilidad de las operaciones de 73,1% 2,7%5,6% 13,9% negocio en caso de crisis 4,7% Reputación y protección de la imagen pública de la 29,7% 10,6% 9,2% 9,3% empresa Ventaja competitiva frente a otros competidores del 23,1% 14,5% 7,4% 23,6% mercado Requerimientos del cliente
Cumplimiento de requerimientos regulatorios/legales
14,5%
13,5%
Como respuesta a un requerimiento de auditoría interna/externa 10,7%
Alinearse con los principales estándares de la industria de seguridad Anteriores interrupciones en las operaciones de negocio
26,8%
En respuesta a posibles pandemias (gripe A)
0%
(2) Poco importante
23,3% 10%
(3) Importante
25,8%
19,9%
14,8% 1,0% 3,5% 8,9%
59,9% 60%
(4) Bastante Importante
Base: PYME que disponen de estrategia (n=199)
22,2% 28,9%
2,4%11,8%
20% 30% 40% 50%
17,8%
26,3%
15,5%
57,7%
Otros 2,6%
(1) Nada importante
16,2%
26,9%
26,6%
16,3%
23,1%
17,4%
30,0% 15,2%
8,3% 14,5%
20,6%
31,4%
28,3%
13,8%
35,1%
41,1%
70% 80% 90% 100%
(5) Muy importante
Fuente: INTECO
En contrapartida con los incentivos que las empresas tienen a la hora de implantar las estrategias/planes y/o procedimientos, éstas han de prever otros componentes que son
39
Op. cit. 31.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 67 de 121
necesarios gestionar y que en definitiva constituyen un gasto que termina siendo recurrente en caso de que se decida mantener y actualizar dichos planes. Esta variabilidad de componentes convierten en compleja la tarea de establecer una tendencia común en cuanto al gasto de las compañías en aspectos de continuidad. Dentro de aquellas PYME que han emprendido algún tipo de iniciativa destinada a afianzar sus procesos de negocio, quizás puede llegar a resaltarse que la mayoría de los gastos son los destinados a la contratación de asesoramiento externo especializado (39,9% destinan entre 1.500 y 15.000 €), la contratación de seguros de cobertura de daños materiales (35,0% invierten entre 1.500 y 15.000 €), y los acuerdos con terceros (32,2% destinan entre 1.500 y 15.000 €). Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el gasto
Elaboración y establecimiento de procedimientos (n=25)
84,5%
Conocer los procesos de negocio de la empresa (n=28) Probar las medidas que garantizan la continuidad (n=41)
11,4% 1,0% 10,1%
73,3%
Conocimiento y formación de los recursos (n=63)
22,5%
57,9%
Diseño y elaboración del proyecto de continuidad (n=34)
26,5%
56,3%
Acuerdos con terceros (n=31)
35,9%
Contratar un seguro (n=64)
36,8%
Auditoría de las medidas que garantizan la continuidad (n=38)
46,7%
21,1%
Asesoramiento externo (n=82)
35,0%
19,8%
Ningun componente (n=42) 4,6% Otros (n=13)
39,9% 4,6%
69,6% 0%
Menos de 1.500 €
20%
40%
3,8%
18,8% 4,5%
39,8% 51,2%
16,7%0,0% 26,5%
55,5%
0,5% 10,6%
53,2%
23,0%
Adquisición de SW/HW (n=41)
3,9% 7,2% 32,2%
17,6%
4,2% 0,0%
14,0%1,5%
32,6% 31,4%
30,1%
Adquisición/alquiler centro de respaldo alternativo (n=35)
Gasto asumido en el día a día
9,4%5,4% 0,7%
77,4%
28,5% 60%
Entre 1.501 y 15.000 €
Base: PYME que disponen de estrategia (n=199)
0,5%
39,6%
80%
1,0% 0,9% 100%
Más de 15.000€
Fuente: INTECO
Otras partidas de gastos que mayormente son asumidas en la actividad diaria de las compañías y que por tanto no hay para ellas una asignación presupuestaria concreta, son las relacionadas con la elaboración y establecimiento del conjunto de documentos y procedimientos que componen el plan (84,5%), el conocimiento de los procesos de negocio (77,4%), o la realización de pruebas de eficacia de las medidas de continuidad (73,3%). Uno de los mayores desafíos a las que se enfrentan las compañías que implantan planes de continuidad de negocio consiste en medir periódicamente la eficacia y el rendimiento de los mismos. El hecho de contar con unas medidas definidas para la recuperación de las actividades de negocio en caso de crisis, no garantiza que el funcionamiento o la eficacia de las mismas sea la esperada. Por ello, las organizaciones deben contar con
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 68 de 121
indicadores o baremos que les permitan valorar el rendimiento y el nivel de adecuación de las medidas diseñadas. Una de las recomendaciones emitidas por el estándar de continuidad de negocio BS 25999:2006 40 establece la necesidad de probar periódicamente estos planes. Solo de esta forma permanecerán actualizados y alineados a las necesidades de disponibilidad de los procesos de negocio más críticos. En este sentido la realización de pruebas periódicas es uno de los métodos más explotados a la hora de medir la efectividad y el rendimiento de las iniciativas de continuidad. El 54,8% de las PYME españolas que han implantado planes de continuidad de negocio realizan dichas pruebas: Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de continuidad
Mediante la realización de pruebas periódicas
54,8%
A través de auditorías
21,7%
A través de la definición y medida de indicadores (métricas)
11,5%
En comparación con los estándares del mercado en materia de continuidad
6,6%
Otros
1,9%
NS/NC
15,1%
0%
20%
40%
Base: PYME que disponen de estrategia (n=199)
60%
80%
100%
Fuente: INTECO
Otro dato interesante para valorar la situación actual de aquellas PYME que han implantado algún plan de recuperación es la variación que han sufrido sus inversiones en materia de continuidad con respecto a años anteriores. Tal y como se muestra en el Gráfico 31, el 52,0% de las sociedades encuestadas que afirman haber implantado medidas de continuidad, han disminuido ligeramente el gasto y,
40
BS 25999:2006 - (British Standard en inglés) primera norma británica para la gestión de continuidad de negocio. Desarrollada por un amplio grupo de expertos representativos de sectores de la industria y la administración. Proporciona la base para comprender, desarrollar e implantar la continuidad de negocio en una organización
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 69 de 121
a pesar de la coyuntura económica actual en el momento de realización de la encuesta, el 36,9% de las instituciones encuestadas lo han mantenido o incluso incrementado. Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio
Se ha incrementado sustancialmente
10,2%
Se ha incrementado ligeramente
13,5%
Se ha mantenido
13,2%
Se ha reducido ligeramente
52,0%
Se ha reducido sustacialmente
5,0%
NS/NC
6,2%
0%
20%
40%
60%
Base: PYME que disponen de estrategia (n=199)
80%
100%
Fuente: INTECO
Este hecho es significativo, ya que demuestra la constancia y la intención de aplicar una metodología de mantenimiento y mejora continua por parte de aquellas PYME más proactivas en el desarrollo de acciones de continuidad. Al mismo tiempo, estos datos son indicadores de que, tras la inversión inicial necesaria para el diseño e implantación de una estrategia de continuidad, con mayor frecuencia el esfuerzo económico de las empresas se trata de mantener. Independientemente de su evolución en los últimos años, puede que el gasto destinado a los diferentes componentes de un plan de continuidad no se ajuste a las necesidades o a los requerimientos de las organizaciones. En el Gráfico 32 se muestra la percepción de las propias compañías participantes en cuanto al nivel de adecuación de las inversiones destinadas en el 2010 a servicios de continuidad. El 72,0% de los participantes establecen que el gasto es el adecuado a sus necesidades, mientras que un 15,2% considera que el presupuesto es todavía inferior a lo necesario, hecho que, de nuevo es posible atribuir al recorte de presupuestos que actualmente están aplicando las organizaciones.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 70 de 121
Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010 a la continuidad de sus operaciones 100%
80%
72,0%
60%
40%
20%
15,2%
11,7% 1,1%
0% Bajo
Adecuado
Superior al necesario
Base: PYME que disponen de estrategia (n=199)
NS/NC
Fuente: INTECO
5.3 Necesidad de asesoramiento externo para la adopción de la estrategia de continuidad de negocio Otra de las cuestiones que con frecuencia se plantea una empresa cuando tiene que definir un plan o una estrategia de continuidad de negocio es si debe abordarse internamente o, dada su complejidad o grado de desconocimiento, desarrollarlo con el apoyo y la colaboración de soporte externo. Derivado del estudio, se debe tener en cuenta que la mayor parte de las empresas participantes no disponen de los conocimientos y la experiencia necesaria para abordar procesos de estas características, así como la objetividad e independencia para identificar los recursos y procesos críticos de la compañía. De esta forma, casi la mitad de las PYME (el 44,4%) que han emprendido programas de continuidad de negocio han requerido de asesoramiento externo (ver Gráfico 33). Por otro lado, el 49,2% disponen de sus propios medios técnicos, de conocimiento, etc., para poder abordar con éxito las acciones de respuesta a aplicar ante una interrupción del servicio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 71 de 121
Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas de continuidad de negocio (%)
6,4%
44,4%
49,2%
Sí
No
NS/NC
Base: PYME que disponen de estrategia (n=199)
Fuente: INTECO
¿Por qué han necesitado tal asesoramiento? Las respuestas obtenidas indicaron en el momento de realización de la encuesta que dicha demanda es debida a la necesidad de contar con la experiencia y el conocimiento especializado del asesor (11,3%) y al desconocimiento para abordar los proyectos de implantación de planes de continuidad de negocio (5,6%) (Ver Gráfico 34).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 72 de 121
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en aspectos de continuidad
11,3%
Experiencia y conocimiento especializado del asesor
Desconocimiento para abordar el proyecto
5,6%
Complejidad para abordar el proyecto
Falta de recursos humanos
3,5%
0,7%
Otros 0,1%
NS/NC
1,8%
0%
20%
40%
Base: PYME que demandan asesoramiento externo (n=109)
60%
80%
100%
Fuente: INTECO
Como se ha detallado anteriormente, la adopción de planes o en términos generales programas de continuidad de negocio consta de multitud de componentes que en última instancia pueden convertirse en servicios proporcionados por proveedores expertos. Los principales servicios solicitados a estos proveedores en materia de continuidad de negocio, tal y como muestra el Gráfico 35, son los servicios de consultoría para poner en marcha planes en esta materia (8,6%), la gestión de copias de seguridad (3,2%, tanto desde el punto de vista procedimental como desde el punto de vista de la adquisición de software y hardware específico) y los servicios de certificación/auditoría o los centros de respaldo (ambos con un 1,9%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 73 de 121
Gráfico 35: Principales servicios solicitados a terceros en materia de continuidad Ejecución del proyecto para diseñar y poner en marcha tales medidas (adopción de planes de continuidad de negocio-consultoría) Gestión de copias de seguridad (procedimientos, hardware o software)
8,6% 3,2%
Centros de respaldo o centros alternativos de recuperación
1,9%
Servicios de auditoría/certificación
1,9%
Seguros de cobertura
1,0%
Establecimiento de acuerdos con terceros
0,2%
Otros
1,5%
NS/NC
3,4% 0%
20%
40%
Base: PYME que demandan asesoramiento externo (n=109)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
60%
80%
100%
Fuente: INTECO
Página 74 de 121
6
ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA CONTINUIDAD EN LA EMPRESA ESPAÑOLA SEGÚN SU TAMAÑO
Comparando los datos obtenidos del análisis de las 400 PYME españolas realizado en este estudio con los del Barómetro de Empresas de Agosto de 2010 realizado por Deloitte, en el que participaron 253 grandes empresas con una facturación conjunta que supera el billón de euros y un total de más de un millón de empleados, es posible establecer un análisis diferencial entre la PYME y la gran empresa española en el ámbito de la continuidad de negocio. En el gráfico 36 se trata de concluir si, en función del tamaño de la empresa, existe alguna diferencia en relación a las incidencias de seguridad que con mayor frecuencia derivan en una interrupción de las actividades de las empresas. En él se percibe que el perfil de incidencias sufridas por las empresas es similar no solo en su tipología sino también en su porcentaje de ocurrencia. Únicamente cabe resaltar que la gran empresa padece un mayor número de caídas de sus sistemas y aplicaciones de negocio (20,9% frente a 7,4% de la PYME), así como de sus sistemas de soporte (16,0% - 8,9%). Esta situación puede llegar a explicarse a que cuanto mayor sea el tamaño de una empresa, mayor es la probabilidad de que su entorno tecnológico sea más amplio, complejo y por tanto más susceptible de sufrir caídas o interrupciones. Por el contrario, un mayor porcentaje de las PYME considera haber sido objeto de más fallos en los servicios facilitados por parte de los proveedores (16,3% frente al 6,1% de la gran empresa).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 75 de 121
Gráfico 36: Comparativa de incidencias de seguridad que afectan a la continuidad
56,7% 62,0%
La entidad no ha sufrido ningún incidente Caída de mis sistemas/aplicaciones Caída de sistemas de soporte Ataque informático Falta de servicio por parte de proveedores Inundación, terremoto, incendio Multas, sanciones Daño físico en instalaciones/equipos Pérdida de datos de negocio críticos Baja de personal crítico Otros NS/NC
7,4%
20,9% 8,9% 16,0% 11,1% 6,7% 16,3% 6,1% 3,6% 4,9% 4,4% 3,7% 1,4% 2,5% 1,7% 1,2% 1,7% 2,5% 2,0% 3,7% 8,1% 0,0% 0%
PYME
20%
40% 60% Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
80%
100%
Fuente: INTECO
Por tanto, se podría llegar a concluir que, en general, las incidencias de seguridad que se producen al materializarse las amenazas son independientes del tamaño de las empresas y, por ello, el plan para afrontar los riesgos es el mismo tanto en la gran empresa como en la PYME. Otro de los aspectos comparados está relacionado con el tiempo de indisponibilidad permitido o asumible antes de que se produzcan pérdidas graves o, dicho de forma más general, impactos severos (Gráfico 37). Las magnitudes son muy similares en cuanto al porcentaje de empresas que no pueden permitirse una parálisis en sus actividades (el 35,8% de las PYME y el 34,5% en la gran empresa). Donde se aprecia una diferencia más significativa es en el porcentaje de empresas cuyas actividades podrían estar interrumpidas durante más de 5 días sin graves consecuencias: el 17,5% de la PYME podrían permitirse este margen, frente a un escaso 7,7% de las grandes empresas. Esta diferencia puede achacarse a que el impacto de una interrupción crece exponencialmente cuanto mayor es el tamaño de la organización.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 76 de 121
Gráfico 37: Comparativa de Tiempos Máximos de Interrupción permitidos 100%
80%
60%
40%
35,8%34,5% 25,8%
20%
22,6% 16,0%
11,7%
16,0% 12,5%
17,5% 7,7%
0% Inmediatamente
Más de 12 horas
Más de 24 horas
PYME
Más de 48 horas
Más de 5 días
Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
El siguiente aspecto a tratar es clave a la hora de determinar la diferencia entre PYME y gran empresa desde el punto de vista de la continuidad de negocio: en el gráfico 38 se compara el grado de implantación de Planes de Continuidad de Negocio. La disposición de más recursos humanos y económicos, la percepción más objetiva de los riesgos que afrontan y el entendimiento de lo crítico que resulta disponer de estos planes hacen que la gran empresa se sitúe en una posición bastante más avanzada y madura que la PYME. De hecho, 8 de cada 10 grandes empresas contactadas a través del Barómetro de Empresas (en concreto el 81,1%) afirman disponer de alguna estrategia, plan o procedimiento de respuesta ante situaciones críticas de paralización. Por el contrario, tan solo el 38,4% de la PYME indica que ha trabajado este tipo de iniciativas, lo que se traduce en una asignatura pendiente.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 77 de 121
Gráfico 38: Comparativa del grado de implantación de Planes de Continuidad de Negocio
100% 81,1% 80%
57,3%
60%
40%
38,4%
18,9%
20%
4,3%
0,0%
0% Sí
No PYME
NS/NC Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
Adicionalmente, la madurez mostrada por la gran empresa en cuanto a la gestión de la continuidad de negocio no solo se aprecia en los porcentajes de implantación. En este sentido, también es posible analizar la evolución de la gran empresa en los últimos 5 años (que son los que distan del último Barómetro de Empresas elaborado por Deloitte en el 2005 en el que también se trataron aspectos de continuidad de negocio y en el que participaron 339 empresas) a través del Gráfico 39, en el que se observa de forma general un incremento de los componentes que son considerados y gestionados en la estrategia de continuidad:
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 78 de 121
Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa
52,7%
Telecomunicaciones de datos
51,5%
Infraestructura de tecnología
69,7% 66,5%
64,5% 56,9%
Aplicaciones 39,3%
Instalaciones/Edificios
55,9%
42,7%
Personal
39,3%
Telecomunicaciones de voz
54,3%
47,9%
52,3% 44,7%
Líneas de actividad de negocio 21,0%
Documentación papel No aplica (actualmente no existe ninguno)
15,4% 0%
2005
20%
37,8%
27,5% 40%
60%
80%
100%
2010
Base: Gran empresa 2010 (n=253) y Gran empresa (n=339)
Fuente: INTECO
Como se puede apreciar, la presencia de los diferentes aspectos o elementos que debe contemplar un Plan de Continuidad en la gran empresa es mayor en 2010 que en 2005, lo que se traduce en que, con el paso del tiempo, este colectivo es más conocedor de las necesidades y de los componentes que deben considerados en el alcance. Un análisis más en detalle de la ya mencionada diferencia entre gran empresa y PYME se puede extraer a partir de las razones por las cuales las empresas no han adoptado Planes de Continuidad (Gráfico 40). Casi la mitad (49,1%) de las grandes empresas que no habían implantado tales planes (18,9%) consideran muy reducida la posibilidad de que ocurra una crisis o un desastre. Por otro lado, el porcentaje de PYME que no dispone de estrategia de continuidad es tan amplio (61,6%) que las razones que han motivado esta falta de proactividad en la gestión de la continuidad de negocio son variadas, heterogéneas y no responden a una postura común. Sin embargo, lo que sí resulta necesario resaltar por su diferencia con la gran empresa es que un 16,7% de este subgrupo de PYME que no tiene planes argumenta que no dispone de personal ni del tiempo necesario. Esta falta de medios es una problemática ya comentada en la PYME que no tiene tanta visibilidad en la gran empresa, ya que solo el 9,4% afirma que también tiene este tipo de carencias.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 79 de 121
Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de Continuidad
Considero muy reducida la posibilidad de que ocurra una crisis/desastre Presupuesto insuficiente Es un gasto innecesario teniendo en cuenta el coste de implantación No dispongo de personal capacitado ni del tiempo necesario Tengo otras debilidades de seguridad que son más prioritarias Falta de visibilidad y liderazgo dentro de la organización Falta de apoyo por parte de la empresa (del negocio, de la dirección o de los propios empleados) Falta de apoyo por parte de las líneas de negocio Otros NS/NC
19,1%
0% PYME
49,1%
15,1% 15,1% 14,2% 11,3% 16,7% 9,4% 7,7% 9,4% 0,1% 3,8% 1,2% 1,9% 0,2% 1,9% 10,0% 17,0% 12,5% 0,0% 20%
40%
60%
80%
100%
Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
Como ya se ha comentado, uno de los motivos por los que la gran empresa suele estar mejor preparada para dar respuesta a situaciones graves de parálisis es la disposición, en general, de más medios, y, en particular, de personal dedicado a la gestión de la continuidad de negocio de sus actividades. Lógicamente, cuanto más grande sea el tamaño de una empresa, mayor es la probabilidad de que disponga de más plantilla dedicada a tareas específicas relacionadas con los diversos componentes de la continuidad. En el siguiente gráfico (Gráfico 41) cabe destacar la amplia diferencia entre la PYME y la gran empresa en relación con el número de personas que han sido designadas para diseñar, elaborar o implantar un Plan de Continuidad. El 78,9% de las grandes empresas consultadas afirman que destinan más de 3 personas a tales tareas (frente al 17,5% de las PYME). Por el contrario, el 74,7% de las PYME participantes en el estudio dedican de 1 a 3 personas (frente a un escaso 21,1% de la gran empresa).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 80 de 121
Gráfico 41: Comparativa de volumen de personal dedicado a Continuidad de Negocio 100%
78,9%
80%
60% 40,8% 40%
33,9%
16,0%
20%
17,5% 7,8%
5,1%
0,0% 0% 1 persona
Entre 1 y 3 personas PYME
Más de 3 personas
NS/NC
Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
Otro de los elementos analizados, que fortalece la conclusión de que la gran empresa española se encuentra en una posición más robusta que la PYME en caso de tener que encarar situaciones de crisis o desastre, es la forma en que las empresas miden la eficacia y el rendimiento de los componentes del plan. En el gráfico 42 se presenta a los participantes (tanto del estudio como del Barómetro de Empresas) las diferentes alternativas existentes para realizar tal medición. En 3 de las 4 posibilidades concretas, el porcentaje de realización para cada alternativa es mayor en la gran empresa que en la PYME: •
El 45,7% de la gran empresa realiza auditorías, frente al 21,7% de la PYME que afirma realizar algún tipo de medición.
•
El 30,9% de la gran empresa también define y mide indicadores (métricas), frente al 11,5% de la PYME.
•
El 15,4% de la gran empresa se compara con los estándares de continuidad existentes en el mercado, frente al 6,6% de la PYME.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 81 de 121
Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de Negocio
54,8% 52,5%
Mediante la realización de pruebas periódicas 21,7%
A través de auditorías
45,7%
A través de la definición y medida de indicadores (métricas)
11,5% 30,9%
En comparación con los estándares del mercado en materia de continuidad
6,6% 15,4% 1,9% 3,7%
Otros
NS/NC
15,1% 0,0% 0%
PYME
20%
40%
60%
80%
100%
Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
Para la cuarta alternativa concreta (realización de pruebas periódicas), las diferencias son mínimas entre la gran empresa (52,8%) y la PYME (54,8%). A continuación, en el Gráfico 43 se compara la tendencia en los últimos años del gasto invertido en medidas destinadas a garantizar la continuidad de las operaciones. Del análisis del citado gráfico cabe deducir que la gran empresa soporta con más solidez periodos de incertidumbre y crisis económica como los que están acaeciendo, ya que en el 65,5% de la gran empresa dichos gastos se han mantenido o incluso se han incrementado (frente al 36,9% de la PYME). Realizando la lectura a la inversa, el 57,0% de la PYME ha reducido ligera o sustancialmente su gasto en continuidad (por un 34,5% de la gran empresa).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 82 de 121
Gráfico 43: Comparativa de la tendencia en el gasto de medidas de continuidad
10,2%
Se ha incrementado sustancialmente
0,6% 13,5%
Se ha incrementado ligeramente
5,6% 13,2%
Se ha mantenido
59,3% 52,0%
Se ha reducido ligeramente
22,8% 5,0% 11,7%
Se ha reducido sustancialmente
NS/NC
6,2% 0,0% 0%
PYME
20%
40%
60%
80%
100%
Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253)
Fuente: INTECO
Esta tendencia no solo es debida a la mayor capacidad de la gran empresa para resistir periodos económicos complejos. También debe tenerse en cuenta que una PYME, aparte de disponer de menos medios económicos, se mueve en un entorno más dinámico y cambiante. Este entorno facilita que se vea más rápidamente perjudicada por posibles condiciones económicas/comerciales adversas que le fuerzan a adoptar medidas austeras con la misma agilidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 83 de 121
7
MEJORES NEGOCIO
PRÁCTICAS
DE
CONTINUIDAD
DE
Una mención especial dentro del estudio merecen aquellas PYME que han implementado algún tipo de plan, estrategia o en definitiva buenas prácticas destinadas a garantizar la continuidad de sus actividades de negocio. Dicho colectivo también ha sido sometido a estudio. Las situaciones de implantación exitosa de buenas prácticas corresponden a 29 organizaciones entrevistadas más en detalle y pertenecientes a diversos sectores de actividad y tamaños, por lo que el principal objetivo perseguido en este apartado es obtener una visión generalizada del alcance de las citadas buenas prácticas, así como los principales motivos, dificultades y beneficios que han supuesto para estas organizaciones la implantación de medidas orientadas a garantizar la continuidad de sus actividades. Incidir en que, motivado por la variabilidad de la muestra ya comentada, no es viable una particularización de estos resultados por grupo de actividad o número de empleados. A lo largo de los siguientes puntos, se expondrán aquellos factores clave que han supuesto una implantación exitosa de las medidas de continuidad en las PYME comentadas y que, por ello, son considerados como buenas prácticas en cuanto a la gestión de la continuidad de negocio. El conjunto de buenas prácticas que sirven o han de servir a las PYME para iniciar o mejorar sus procesos de negocio en caso de incidencia, emergencia o crisis, se ha identificado desde tres puntos de vista. Así se estipulan aquellas de carácter estratégico, táctico y técnico/operativo que han de permitirles a este tipo de entidades lograr una adecuada y eficaz implantación de las medidas de continuidad exigidas. 7.1
Motivos que estimulan a la aplicación de buenas prácticas
Si bien son varias las razones que llevan a las empresas a tomar la decisión de adoptar estrategias de continuidad de negocio, es importante destacar que las medidas adoptadas no sólo están enfocadas a garantizar la operativa interna de las entidades, sino también a afianzar su imagen y reputación de cara al exterior. Prácticamente la totalidad de las pequeñas y medianas empresas (92,9%) que aplican buenas prácticas afirma que el principal objetivo perseguido con la implantación de las medidas es garantizar la continuidad de su negocio. Sin embargo, no restan importancia a aspectos como garantizar la disponibilidad de su entorno tecnológico (60,7%), mejorar la imagen de cara a sus clientes (60,7%) o prevenir pérdidas de datos (50%) (Ver Gráfico 44).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 84 de 121
Gráfico 44: Principales motivos que han impulsado la adopción de medidas de continuidad de negocio
Garantizar la continuidad del negocio
92,9%
Mejorar la imagen frente a sus clientes
60,7%
Garantizar la disponibilidad tecnológica
60,7%
Prevenir la pérdida de datos
50,0%
Adquirir ventaja competitiva
39,3%
Reducir el impacto de una crisis
35,7%
Cumplir con requisitos de auditoría
35,7%
Cumplir con la legislación vigente
35,7%
Prevenir multas y sanciones
17,9%
Cumplir con la estrategia de negocio
17,9%
Proteger al personal
3,6%
Otros
3,6%
NS/NC
3,6% 0%
20%
40%
60%
Base: Total casos de éxito (n=29)
7.2 7.2.1
80%
100%
Fuente: INTECO
Buenas prácticas a adoptar Desde un punto de vista estratégico
La adopción de planes o medidas de continuidad de negocio es una decisión claramente estratégica para la compañía, de ahí que exija un grado de implicación elevado por parte de las distintas áreas de la organización. Por ello, tal y como se comentará en detalle a continuación, contar con el compromiso y el apoyo de la dirección no es sólo una buena práctica, sino que constituye un aspecto clave para reforzar la imagen y reputación de la compañía en el mercado. Obtener el apoyo y compromiso de la dirección La dirección de las empresas debe ser el órgano que asume la toma de decisiones y asigna los recursos humanos y económicos necesarios para la adopción de estrategias de continuidad de negocio. Por tanto, es el área que debe estar más convencida de la necesidad y de la criticidad de implementar buenas prácticas de gestión de la continuidad de negocio. Tal y como se muestra en el Gráfico 45, un 86,2% del colectivo de pequeñas y microempresas más avanzadas en la adopción de medidas de continuidad afirma que el grado de implicación de su dirección ha sido alto, mientras que un 3,4% declara haber contado con una baja participación de las direcciones más ejecutivas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 85 de 121
Este dato reafirma la idea de que el éxito de implantación de un plan o estrategia de continuidad depende en gran medida del apoyo recibido por todas las áreas de negocio de la entidad (por ser éstas las que conocen al detalle el funcionamiento interno de sus procesos) y especialmente por la alta dirección. Gráfico 45: Grado de implicación de la dirección en materia de continuidad de negocio
Alto
86,2%
Medio
6,9%
Bajo
3,4%
NS/NC
3,4%
0%
10%
20%
30%
40%
50%
60%
70%
Base: Total casos de éxito (n=29)
80%
90%
100%
Fuente: INTECO
Derivado del argumento y gráfico anterior, las propias empresas participantes son conscientes de la importancia del rol que representan sus directivos dentro del ciclo de continuidad y valoran como muy positivo la respuesta obtenida, argumentando que el grado de implicación es el adecuado por ser éste máximo. 7.2.2
Desde un punto de vista táctico
Fundamental es, de igual modo, afrontar las etapas de definición y desarrollo del plan de continuidad en base a unas buenas pautas de actuación. Dichas prácticas pueden ser resumidas en dos grandes grupos, realizar un análisis previo de los riesgos a los que está sometida la entidad y definir en base a ello el alcance de la estrategia de continuidad a implementar. A lo largo del presente apartado, se hace también mención a aquellas percepciones erróneas o malas prácticas detectadas tras el análisis de este colectivo, con el objetivo de que las PYME puedan identificar aquellas áreas pendientes de mejora en cuanto a su comportamiento en materia de continuidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 86 de 121
Analizar a priori los riesgos que impactan en la continuidad A la hora de afrontar el diseño, desarrollo e implantación de un plan de continuidad de negocio, es fundamental analizar con carácter previo las fuentes de riesgo que amenazan la interrupción de las actividades de negocio de las empresas. Existe un gran número de fuentes de riesgo predefinidas. Sin embargo, el siguiente gráfico pretende destacar aquellas consideradas por las PYME como las más difíciles de anticipar y salvaguardar. Tal y como se puede observar, los desastres naturales, la interrupción de suministros y las enfermedades o pandemias figuran entre los eventos más difíciles de prever y evitar. Gráfico 46: Principales fuentes de riesgo de interrupción de actividades de negocio identificadas (según la dificultad para ser anticipadas y salvaguardadas)
Desastres naturales
41,4%
Interrupción de suministros
24,1%
34,5%
Enfermedades/pandemias
31,0%
24,1%
Error humano
34,5%
41,4%
20,7%
Fallo en la infraestructura de red
34,5%
34,5%
44,8%
17,2%
34,5%
48,3%
34,5%
Fallo en los servicios esenciales
13,8%
51,7%
34,5%
Disturbios laborales (huelgas por ejemplo)
13,8%
51,7%
34,5%
Fallo en los sistemas de información 3,4%
62,1%
34,5%
Falta de personal en áreas especializadas0,0%
65,5%
34,5%
Otros0,0%
65,5%
34,5%
0% Sí
10%
20%
30%
40%
50%
60%
No
Base: Total casos de éxito (n=29)
70%
80%
90%
100%
NS/NC
Fuente: INTECO
Definir el alcance de la estrategia de continuidad de negocio Una vez conocidos y valorados los riegos a los que está sometida la PYME, se hace necesario planificar las acciones que permitan poner en marcha el diseño e implantación del plan, de forma que éste tenga en cuenta las actividades de negocio más importantes y críticas. En este sentido, un porcentaje elevado de entidades señala la planificación del proyecto (75,9%) y la solicitud de soporte/asesoría externa (55,2%) como las actividades más necesarias de abordar en la fase inicial de diseño e implantación del
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 87 de 121
plan, datos que concuerdan con las buenas prácticas dictadas en las principales guías y estándares de continuidad de negocio 41 (ver Gráfico 47). En contraposición a las pautas establecidas en dicha normativa, el hecho de conocer el funcionamiento y la composición de los procesos de la empresa no es percibido como un requerimiento necesario (un 96,6% no considera necesario tal misión). Los propios estándares establecen que esta percepción representa una carencia que puede impactar negativamente en la idoneidad de las prácticas de continuidad asimiladas, ya que la probabilidad de que una organización recupere su actividad tras un desastre es muy baja si no dispone previamente de un buen conocimiento acerca de cómo funciona. De forma análoga, también se hace necesario resaltar los escasos porcentajes de empresas que establecen a priori como requisito ciertos componentes críticos de todo plan de continuidad de negocio como son la realización de pruebas periódicas de rendimiento y eficacia del plan (el 37,9% identifican este apartado como un requerimiento) y los procedimientos de actuación (1 de cada 4 empresas más maduras en la adopción de buenas prácticas lo considera necesario a priori). Gráfico 47: Requerimientos identificados inicialmente para la elaboración e implantación del plan de continuidad de negocio Plan de proyecto: fases, actividades, fechas, hitos, responsables, etc. Soporte y asesoría externa
75,9%
20,7% 3,4%
55,2%
Disposición y capacitación de los empleados
41,4%
48,3%
48,3%
3,4%
Diseño de las estrategias de recuperación
44,8%
51,7%
3,4%
Política de continuidad de negocio
44,8%
51,7%
3,4%
Presupuesto
44,8%
51,7%
3,4%
Apoyo y compromiso por parte de la dirección
41,4%
Pruebas
55,2%
37,9%
Procedimientos de actuación
3,4%
58,6%
24,1%
3,4%
72,4%
3,4%
Conocimiento de la empresa0,0%
96,6%
3,4%
Otros0,0%
96,6%
3,4%
0% Sí
No
10% 20% 30% 40% 50% 60% 70% 80% 90% 100% NS/NC
Base: Total casos de éxito (n=29)
41
3,4%
Fuente: INTECO
BS 25999:2006 (British Standard): Primera norma británica para la gestión de continuidad de negocio
ISO/IEC 27002:2005: Código de buenas prácticas para la Gestión de la Seguridad de la Información PASS 77:2006 (Publicly Available Specification): Guía de buenas prácticas de la continuidad emitida por BSI ISO/IEC 20000: Estándar regulatorio de la Gestión de los Servicios relacionados con las Tecnologías de Información
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 88 de 121
7.2.3
Desde un punto de vista técnico/operativo
Con respecto a este punto, la ausencia de unas buenas prácticas de actuación puede verse materializada en una mayor complejidad a la hora de implantar el plan o en una implantación insatisfactoria o fallida. En este sentido, las entidades han identificado una serie de obstáculos técnicos y operativos a los que se enfrentan de manera global y cuya subsanación es posible mediante el seguimiento de buenas pautas de actuación como las que se detallan en este apartado (recurrir a asesoramiento externo, adquirir el software y hardware adecuado, ejecutar periódicamente medidas que permitan evaluar la eficacia de la estrategia definida). ¿Qué obstáculos motivan la adopción de buenas prácticas? Las entidades afirman que el principal obstáculo al que se han tenido que enfrentar en el desarrollo de sus programas de continuidad es el desconocimiento en la materia y la falta de preparación del personal (31%). El coste de implantación (27,6%) o la falta de los recursos necesarios (24,1%) son también dificultades a las que en algún momento se han visto expuestas las PYME. Gráfico 48: Principales obstáculos afrontados en el desarrollado de la estrategia de continuidad
Desconocimiento o falta de preparación por parte del personal implicado
31,0%
51,7%
27,6%
Coste de su implementación Falta de inversión presupuestaria y por tanto de los recursos necesarios
24,1% 20,7%
Carencia de pautas claras para abordar el proyecto
Falta de compromiso y apoyo por parte de la 3,4% dirección
Otras
55,2%
17,2%
58,6%
17,2%
62,1%
17,2%
79,3%
17,2%
NS/NC
17,2%
24,1%
17,2%
65,5%
17,2%
58,6%
17,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Sí
No
Base: Total casos de éxito (n=29)
NS/NC
Fuente: INTECO
En aquellos casos en los que el desconocimiento ha sido identificado como una de las principales dificultades, una buena actitud a adoptar por parte de la PYME, y que es
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 89 de 121
sugerida en los principales estándares y guías de continuidad desarrollados, es optar por la asesoría y soporte de expertos en la materia. Recurrir a asesoramiento externo El sondeo realizado a las 29 PYME objeto de estudio en este apartado, muestra que, un 62,1% de las organizaciones ha requerido de asesoramiento externo para abordar el desarrollo, diseño o implantación de las medidas de continuidad, frente a un 27,6% que afirma no haber necesitado solicitar este apoyo externo (ver Gráfico 49). Este resultado es ligeramente diferente al obtenido en el epígrafe 5.3 del estudio global realizado a la totalidad de las PYME participantes (ver Gráfico 33). En dicho apartado se realizaba el mismo sondeo para aquellas empresas que afirmaban haber implementado alguna medida de continuidad. La variabilidad de los resultados debe atribuirse a la diferencia de tamaño de las muestras consideradas (199 y 29 respectivamente) y, especialmente, a que el colectivo de 29 PYME seleccionado corresponde a organizaciones que han sido específicamente elegidas debido a la exitosa implantación de sus medidas. Estos datos confirman que las entidades que han implantado exitosamente estrategias de continuidad coinciden en que recurrir a asesoramiento externo es una buena práctica que facilita la implantación de medidas de continuidad. Aun así, este no debe ser considerado como un factor excluyente, ya que como bien se observa en el citado gráfico, un 27,6% de las entidades han conseguido abordar exitosamente un plan de contingencia, sin necesidad de contar con apoyo externo.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 90 de 121
Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la implantación de buenas prácticas de continuidad de negocio (%)
10,3%
27,6%
62,1%
Sí
No
Base: Total casos de éxito (n=29)
NS/NC
Fuente: INTECO
Tal y como se muestra en el Gráfico 50, el motivo por el que las organizaciones han considerado necesario contar con el soporte y asesoría de proveedores externos permanece invariante con respecto a los resultados obtenidos a lo largo del estudio global (ver Gráfico 34). Las 29 PYME entrevistadas afirman haber recurrido a asesores no sólo por el desconocimiento general que muestran en materia de continuidad (38,1%), sino también por la experiencia y el conocimiento especializado que éstos pueden aportar (38,1%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 91 de 121
Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a demandar asesoramiento externo para abordar planes de continuidad de negocio
Experiencia y conocimiento especializado del asesor
38,1%
Desconocimiento para abordar el proyecto
38,1%
Falta de recursos humanos
14,3%
Complejidad para abordar el proyecto
9,5%
Otros
14,3%
NS/NC
19,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Base: Total casos de éxito (n=29)
Fuente: INTECO
Adquirir el Software y Hardware adecuados Según se introducía al inicio de este apartado (epígrafe 7.2.3), el éxito en la elaboración de los procedimientos de contingencia se debe también en gran medida a la adquisición del software y el hardware adecuados. Las herramientas software facilitan tanto la gestión como la automatización de los procesos necesarios para garantizar la continuidad del negocio (por ejemplo, procesos de monitorización de eventos, gestión de antivirus, planificación de realización de copias de seguridad). Del mismo modo, los dispositivos hardware permiten llevar a cabo estas tareas, entendiendo por ello elementos que posibiliten la redundancia de equipos y comunicaciones, discos para la realización de copias con mayor capacidad, etc. El Gráfico 51 muestra cuáles han sido, desde el punto de vista de las PYME entrevistadas, los factores críticos que han sido clave para la obtención de los buenos resultados. Como se puede ver en dicho gráfico, un 55,2% de las PYME considera vital la adquisición de software y hardware, así como la ejecución de pruebas periódicas (51,7%), medida comentada en detalle a lo largo del siguiente punto.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 92 de 121
Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los procedimientos de contingencia Adquisición y disposición de software y hardware adecuados
55,2%
Ejecución periódica de pruebas
51,7%
Actitud y capacitación de las personas
37,9%
44,8%
Definición de normas y procedimientos detallados
Diseño y planificación del proyecto
20,7%
Otros 6,9% 0%
10,3%
58,6%
27,6%
Implicación de los proveedores seleccionados
10,3%
48,3%
31,0%
10,3% 10,3%
44,8%
41,4%
Comunicación de roles y responsabilidades
Sí
34,5%
10,3%
62,1%
10,3%
69,0%
10,3%
82,8%
10,3%
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No
Base: Total casos de éxito (n=29)
NS/NC
Fuente: INTECO
Evaluar periódicamente la eficacia de las medidas de continuidad Sin duda, una de las prácticas esenciales para lograr el buen funcionamiento del plan o estrategia definido, es la evaluación periódica a posteriori de la eficacia y rendimiento de las medidas de continuidad establecidas. Dentro de las métricas definidas para ello, la más comúnmente establecida es la ejecución de pruebas periódicas, tal y como se observaba en el Gráfico 51. Un dato concluyente al respecto es que, pese a que en las etapas iniciales de la estrategia de continuidad (planificación y diseño) la realización de pruebas no es identificada por las PYME como un requisito básico, en las etapas más maduras, avanzadas y operativas de dicha estrategia (actualización y mantenimiento), el conocimiento adquirido por parte de la propia entidad hace que su percepción cambie. Cuando las entidades son cuestionadas directamente al respecto, la respuesta es contundente: la ejecución de pruebas periódicas es uno de los factores más críticos que contribuyen al éxito en la elaboración de los procedimientos de contingencia. El Gráfico 52 muestra los datos que lo evidencian. Un 75,8% de las empresas con algún tipo de estrategia de continuidad implantada afirma realizar pruebas periódicamente, de las cuales un 65,5% declara ejecutarlas al menos una vez al año.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 93 de 121
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de las medidas implantadas (%)
Sí, con una periodicidad superior a un año
10,3%
Sí, anualmente
44,8%
Sí, cada 6 meses
20,7%
No se realizan pruebas periódicas
13,8%
NS/NC
10,3%
0%
10%
20%
30%
40%
50%
60%
70%
Base: Total casos de éxito (n=29)
80%
90%
100%
Fuente: INTECO
Aunque es patente el alto grado de implantación de esta medida, la ejecución de pruebas periódicas no se trata de la única acción adoptada por las organizaciones para evaluar la eficacia de sus estrategias de continuidad (ver Gráfico 53). La realización de auditorías (41,4%) o la definición de métricas (31%) son otros procesos empleados por las entidades para valorar el rendimiento de las medidas implementadas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 94 de 121
Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o estrategias de continuidad definidas
Mediante la realización de pruebas periódicas
65,5%
A través de auditorías
41,4%
A través de la definición y medida de indicadores (métricas)
31,0%
En comparación con los estándares del mercado en materia de continuidad
6,9%
NS/NC
3,4%
0%
10%
20%
30%
40%
50%
60%
Base: Total casos de éxito (n=29)
70%
80%
90%
100%
Fuente: INTECO
Estos resultados evidencian que las organizaciones que han optado por implementar algún tipo de estrategia o plan que garantice la continuidad de sus operaciones son conscientes de que la implantación de un plan exige de un mantenimiento y revisión continua que permita evaluar el nivel de adecuación con respecto a las necesidades, prioridades y procesos de negocio de las empresas. 7.3
Beneficios asociados a la adopción de buenas prácticas
Dejando a un lado las buenas prácticas a afrontar en las distintas fases de definición e implantación del plan y centrando la atención en la post-implantación, es una realidad que el hecho de contar con un plan o estrategia de continuidad definido e implantado aporta a las organizaciones un alto valor añadido. Las PYME encuestadas afirman que son varios los beneficios obtenidos tras la implantación, destacando como principales la agilidad de respuesta adquirida ante situaciones de crisis (72,4%) y la identificación o mapeo de los recursos mínimos necesarios para garantizar la continuidad (41,4%). En este sentido, son escasas las empresas participantes que perciben como beneficio (derivado de la implantación de buenas prácticas de continuidad de negocio) aspectos como el desarrollo de una cultura y de un nivel de sensibilidad en materia de continuidad (13,8%) o la protección de los empleados (24,1%), lo cual evidencia que el grado de madurez de las PYME en materia de continuidad todavía dista de ser máximo (ver Gráfico 54).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 95 de 121
Gráfico 54: Beneficios de poseer medidas y procedimientos de actuación que garanticen la recuperación de una contingencia grave en el menor tiempo posible Respuesta proactiva y ágil frente a incidentes de seguridad y situaciones de crisis
72,4%
Mapeo de los recursos mínimos requeridos en la continuidad de las operaciones de negocio
20,7% 6,9%
41,4%
Control del impacto financiero y operacional causado por la interrupción de las operaciones
51,7%
37,9%
Conocimiento consistente y continuo del negocio y de la efectividad de la estrategia de continuidad definida
55,2%
34,5%
Sistematización de los procesos de análisis y gestión del riesgo asociado a la continuidad
13,8%
Otros 3,4%
6,9%
65,5%
24,1%
Desarrollo de cultura y personal mejor capacitado y sensibilizado en lo relativo a continuidad
6,9%
58,6%
27,6%
Protección de los empleados
6,9%
6,9%
69,0%
6,9%
79,3%
6,9%
89,7%
6,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 % Sí
No
Base: Total casos de éxito (n=29)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
NS/NC
Fuente: INTECO
Página 96 de 121
8
CONCLUSIONES
Aparte de recursos y/o presupuestos insuficientes, una característica común que sirve como argumento para justificar los escasos niveles de implantación ya no solo de planes, sino simplemente de medidas para facilitar de algún modo la continuidad de las actividades de las empresas, es que éstas desconocen la multitud de riesgos a los que se enfrentan, su probabilidad de ocurrencia y las consecuencias que pueden llegar a provocar. Esta percepción de los riesgos provoca que las empresas opten por asumirlos inconscientemente, con la idea errónea de que es suficiente con disponer de copias de seguridad, antivirus o sistemas de detección y extinción de incendios. Además muchas de ellas entienden que: •
“No merece la pena” generar un gasto que no va a proporcionar beneficios económicos.
•
La probabilidad de padecer un evento adverso grave es tan baja que no compensa invertir en este tipo de acciones.
En este sentido la posición de la PYME española es mayoritariamente reactiva, es decir, solo cuando sufren incidentes de seguridad graves es cuando se despierta su interés y su predisposición a fortalecer la resistencia de sus operaciones. El hecho de no aplicar métodos destinados a identificar y priorizar los riesgos como parte de los procesos de toma de decisiones hace que los presupuestos y los recursos destinados a la gestión de la continuidad no se ajusten a las necesidades reales y terminen representando una de las principales barreras que impiden poner en marcha acciones y/o prácticas de continuidad de negocio. Sin embargo, en contraste a la percepción desglosada en párrafos anteriores, prácticamente la mitad de las empresas consideran que no pueden permitirse tener sus actividades paralizadas más de un día sin que este hecho provoque pérdidas graves. Es decir, son conscientes de los ajustados márgenes de tiempo de caída permisibles y en contraposición carecen de capacidad para identificar como crítica la implantación de planes de respuesta que satisfagan dichos márgenes tan ajustados. Por otro lado, el Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas 42 desarrollado por INTECO en 2009, en el que se analizaba el grado de penetración de las diferentes herramientas y medidas de seguridad aplicadas por la PYME española, establecía la existencia de diferencias en función del tamaño de la 42
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 97 de 121
empresa, atribuyendo mayores niveles de implantación cuanto mayor fuera el tamaño de la empresa. Análogamente, en el presente estudio los índices de implantación de planes de continuidad de negocio también varían en función del tamaño de la empresa: las empresas de mayor tamaño disponen de más capacidad para poder dedicarse a la gestión de la continuidad de negocio. No obstante, se ha podido constatar que, en otros ámbitos relacionados con la continuidad como el grado de conocimiento de la materia o el número de personas dedicadas a su gestión, aunque se aprecia un nivel de cultura de continuidad ligeramente mayor en las entidades de mayor tamaño, las diferencias son en ambos casos poco significativas. El establecimiento del alcance, de las necesidades, o de los aspectos que deben tenerse en cuenta cuando una compañía aborda o impulsa una estrategia de continuidad de negocio son los mismos tanto para grandes como para pequeñas empresas. La estrategia de continuidad de negocio es o debe ser un aspecto esencial y prioritario independientemente del tamaño de la compañía. Actualmente la diferencia entre ellas estriba en que la PYME española (sobre todo la pequeña y microempresa española), a diferencia de las grandes organizaciones españolas, no dispone del nivel de compromiso y concienciación por parte de su personal de dirección, no entienden conceptos como “gestión” o “análisis de riesgos”. Es difícil hacer llegar a las empresas españolas de menor tamaño la premisa de que toda decisión estratégica debe basarse en un análisis previo. Estos son los principales inconvenientes a los que se enfrentan los proveedores de soluciones y servicios de continuidad cuando tratan de inculcar en sus potenciales clientes la necesidad y la importancia de abordar estrategias de continuidad. Respecto a los niveles de conocimiento de conceptos relacionados con la continuidad de negocio, y exceptuando las empresas del sector de las tecnologías de la información y la comunicación y de las actividades financieras, seguros y actividades inmobiliarias, las PYME españolas no parecen distinguir entre Planes de Continuidad de Negocio y Planes de Recuperación ante Desastres. Aparte de que esta diferencia fue planteada directamente a las empresas en la fase de trabajo de campo, algunos proveedores de servicios de continuidad indican que la PYME asume o interpreta que implantar un plan de continuidad de negocio consiste en realizar una copia de seguridad de su información y alojar la misma en una ubicación remota a sus instalaciones de trabajo. Sumado al desconocimiento de este ámbito de la seguridad y del reducido porcentaje de empresas que disponen de planes de continuidad de negocio o planes de recuperación ante desastres, tanto la industria del área de la seguridad especializada en continuidad de negocio como otros entidades expertas en la materia coinciden en afirmar que no se percibe un aumento significativo de la preocupación e interés al respecto, por lo que la La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 98 de 121
demanda de servicios de consultoría, formación y/o auditoría de las actividades de continuidad se mantiene constante en las últimas fechas. Precisamente, la demanda de soporte y/o asesoramiento externo es una realidad patente entre aquellas empresas que deciden incrementar la garantía de disponibilidad de sus servicios, no solo por el hecho de implantar medidas de continuidad en sí (tanto procedimentales como técnicas y organizativas), sino también por la necesidad de obtener por parte de personal experto una visión global más estratégica y a alto nivel, así como mayor entendimiento del proceso de gestión de la continuidad de negocio. Dentro del colectivo compuesto por aquellas PYME participantes más maduras en cuanto a la adopción de actividades o planes de continuidad de negocio, se puede comprobar que los empresarios entrevistados han decidido impulsar tales acciones motivados por el fin de garantizar la resistencia 43 de sus procesos (y de la tecnología que soporta los mismos) ante posibles eventos adversos y para proteger su imagen y reputación. En relación con este último punto, indicar que el mercado en el que se mueve la PYME es tan dinámico y flexible que una parada del servicio implicaría una rápida reposición de sus competidores y una pérdida de cuota de mercado por parte de la compañía cuyo proceso se ha visto interrumpido. Otro motivo alegado, que tímidamente comienza a cobrar importancia, son los requerimientos de los propios clientes. Por otro lado, la laxitud de los requerimientos legales/regulatorios y el escaso nivel de penetración de estándares de la industria son aún motivos poco estimulantes. La importancia que las pequeñas y microempresas españolas otorgan a la continuidad de negocio reside no solo en la implantación de los correspondientes planes de respuesta (como si fuera la ejecución de un proyecto con inicio y fin), sino también en el mantenimiento, mejora y actualización periódica de los mismos. Dentro del escaso colectivo de empresas exitosas y poseedoras de programas de continuidad existe la percepción general de que las inversiones se mantienen y son adecuadas a sus necesidades. Adicionalmente, más de la mitad de estas 29 PYME que han sido identificadas como desarrolladoras de buenas prácticas miden la eficacia y el rendimiento de sus medidas a través de pruebas o auditorías periódicas, lo que es entendido como un comportamiento orientado a la gestión bajo un ciclo de mejora continua. Respecto a los incidentes de seguridad que suponen consecuencias adversas sobre la disponibilidad de los productos y servicios de las empresas, es complicado extraer aquellas que acontecen con mayor frecuencia. Es necesario insistir en que el elevado porcentaje de empresas que indican no haber tenido ningún incidente de seguridad de estas características (56,7%) se debe principalmente al breve periodo de tiempo considerado en el momento de realización de las entrevistas (3 meses). De todos modos, 43
En continuidad de negocio es común la mención al concepto “Resiliencia” o Resilient en inglés, referido a la capacidad de elasticidad y robustez de una empresa para hacer frente a los impactos.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 99 de 121
entre la tipología más común de incidente de seguridad con penalización sobre la continuidad de las operaciones de negocio, cabe destacar el de la falta de servicio por parte de los proveedores (16,3%) y, aparte de los ataques informáticos con un 11,1%, las caídas tanto de los sistemas de soporte (8,9%) como de las aplicaciones y sistemas de negocio (7,4%). Muy pocas pequeñas y microempresas españolas han padecido pérdidas económicas derivadas de esos incidentes de seguridad (36,7%) y, dentro del colectivo de los que sí han tenido este tipo de pérdidas, son muy pocas las que tienen la capacidad para calcular las mismas. Entre aquellas PYME que sí lo han estimado, las incidencias de seguridad con mayor impacto económico han sido las asociadas a la caída de sistemas de soporte, (con pérdidas superiores a 15.000 € para 1 de cada 4 empresas) y las derivadas de la imposición de multas y sanciones económicas (también superan los 15.000 € pero en este caso en 1 de cada 5). Esta falta de capacidad para calcular monetariamente las pérdidas financieras es común entre las empresas ya que dicha estimación depende de múltiples factores (algunos de los cuales son complejos de estimar por su carácter intangible): pérdida de ingresos durante la interrupción, coste de recuperación y vuelta a la normalidad, posible pérdida de clientes, reposición de bienes materiales, sanciones/multas derivadas de incumplimientos legales o contractuales, etc. La principal consecuencia derivada de los incidentes de seguridad es la que tiene efecto sobre la disponibilidad de los sistemas que soportan las actividades de negocio, ya que el 87,9% de las entidades que sufrieron incidentes de seguridad indican que el principal impacto sobre las interrupciones ha sido el operativo. Las incidencias que más penalizaron la operatividad de las empresas participantes en el estudio fueron la carencia de servicio por parte de los proveedores, la caída de los sistemas de soporte, así como los ataques informáticos. Por último es frecuente atribuir la responsabilidad de los incidentes de seguridad a los proveedores de los servicios, a una mala u obsoleta configuración de los sistemas y al hecho de desconocer las amenazas a las que pueden estar sometidas. A pesar de que un fallo en los servicios facilitados por terceros (proveedores) sea uno de los incidentes de seguridad más comunes o una de las causas que según las empresas participantes inducen o provocan paralizaciones de sus operaciones de negocio, 7 de cada 10 no establecen con sus proveedores ningún requerimiento o medida similar que garantice la continuidad de los servicios proporcionados en caso de acontecer un evento adverso.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 100 de 121
8.1
Análisis DAFO
Con el fin de sintetizar las conclusiones del estudio, y como paso previo a la lectura del siguiente apartado de recomendaciones, se expone a continuación el análisis DAFO (debilidades, amenazas, fortalezas y oportunidades). El objetivo de este análisis es contrastar la situación interna percibida por la PYME (fortalezas y debilidades) con los factores externos y no controlables asociados a su entorno (oportunidades y amenazas). Este análisis es una herramienta útil para conocer la situación real en la que se encuentra la PYME con respecto a la continuidad de negocio. 8.1.1 •
Debilidades
Desconocimiento de los riesgos y de los procesos de gestión asociados Las pequeñas y microempresas españolas no son conscientes de los riesgos que pueden paralizar sus operaciones de negocio y consecuentemente las acciones de toma de decisiones y asignaciones presupuestarias en materia de seguridad pueden resultar desacertadas y no priorizadas. Aún entre ellas se mantiene la percepción engañosa de que la probabilidad de que sus procesos de negocio se detengan por causa de un incidente es baja.
•
Falta de cultura en materia de continuidad de negocio Ha quedado en evidencia que más de la mitad de las PYME españolas (61%) participantes desconoce absolutamente conceptos clave en esta área de seguridad de la información como son los Planes de Continuidad de Negocio y los Planes de Recuperación ante desastres. De forma adyacente, la criticidad y los beneficios asociados a este tipo de planes son aspectos que no están inculcados entre las organizaciones.
•
Requerimientos de continuidad de negocio en proveedores de servicios Ya en el Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas 44 desarrollado por INTECO en 2009 se detallan altos niveles de externalización de servicios, sobre todo los asociados al entorno tecnológico. De la misma forma que dicho estudio indica ciertas pérdidas de control de la seguridad de la información sobre los proveedores, se hace necesario destacar que este control es extensible a través del presente estudio al área de la gestión de la continuidad de negocio, cuyos requerimientos aún no están presentes en las relaciones empresariales ni son percibidos como exigencias imprescindibles que deben ser establecidas en la relación comercial establecida entre cliente y proveedor.
44
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 101 de 121
•
Las PYME que no están preparadas pueden llegar a desaparecer Las pequeñas y microempresas españolas en general se componen de procesos de negocio más sencillos y bajo entornos controlados, lo que hace pensar a priori que la gestión de la continuidad de negocio puede llegar a ser más sencilla de abordar que en la gran empresa. Por otro lado, la gran empresa suele disponer de más recursos y mayor capacidad para afrontar posibles paralizaciones de sus operaciones. ¿Por qué es necesario establecer esta diferenciación? La intención es plasmar que, si una empresa de pequeñas dimensiones es objeto de un suceso grave que impacta en sus actividades y no ha trabajado un plan de respuesta, las posibilidades de disolución o al menos de cierre temporal de la misma son reales y mayores que en una empresa grande.
8.1.2 •
Amenazas
Pérdida de competitividad y/o posición comercial El retraso en general de las pequeñas y microempresas españolas en el área de continuidad de negocio hace concluir su falta de preparación y su incapacidad de respuesta en caso de que tengan que afrontar una situación de crisis/desastre. Esta situación, unida a un entorno empresarial tan flexible y cambiante como es en el que está ubicado la PYME española puede provocar una pérdida de competitividad y posicionamiento inusualmente veloz.
•
Esfuerzos de recuperación centrados en el ámbito tecnológico Hoy en día el uso de las plataformas tecnológicas (sistemas, aplicaciones, comunicaciones, etc.) es dominante en la mayoría de las empresas y no está sujeto al tamaño de las mismas. Esta presencia convierte a la tecnología en un recurso crítico que soporta las principales actividades de negocio de las organizaciones y que por tanto debe estar presente en todo programa de gestión de la continuidad. En relación con la criticidad de las tecnologías de la información y las comunicaciones, son muchas las empresas que asumen erróneamente que disponer de un Plan de Continuidad de Negocio consiste únicamente en recuperar la parte tecnológica. Es importante hacer notar, sin embargo, que, aunque muchas empresas invierten sus esfuerzos a la recuperación de sus sistemas tecnológicos, deberían ampliar sus miras y asimilar que toda actividad relacionada con la gestión de continuidad de negocio comprende no solo tecnología, sino también procesos y personas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 102 de 121
•
Ausencia de requerimientos legales Actualmente en España no existe ningún tipo de ley o reglamento que formal e íntegramente fuerce a las empresas a implantar planes de continuidad de negocio o similar. Esta carencia contribuye a la falta de respuesta ante situaciones graves reportada a través del presente documento. Relacionado con este aspecto, es interesante destacar que más de la mitad de las empresas entrevistadas (56,3%) consideran importante o muy importante el desarrollo de medidas o requerimientos legales que difundan y conciencien acerca de la criticidad que tiene el hecho de estar preparados para actuar frente a una situación de crisis o desastre. Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la importancia de estar preparados ante situaciones de crisis o desastre
Apoyo por parte de instituciones públicas (fondos, 6,0%12,2% 7,3% sesiones, documentación, etc.)
Compartir casos de éxito de entidades obligadas a activar sus medidas de continuidad
Medidas o requerimientos sectoriales/legales
Otros
(1) Nada importante
(2) Poco importante
16,6%
13,5%
35,2%
22,3%
50,9%
23,6%
8,5%
20,4%
22,4%
10,0%7,3%
•
21,9%
12,0%
40,1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 (3) Importante (4) Bastante Importante (5) Muy importante %
Base: Total PYME (n=400)
8.1.3
20,1%
26,4%
23,4%
Fuente: INTECO
Fortalezas
Alto nivel de implantación de medidas de seguridad preventivas La implantación de medidas de seguridad que en última instancia evitan situaciones más graves supone un punto de partida para la mejora paulatina de los procesos de gestión de continuidad. Son elevados los porcentajes de empresas participantes que afirman disponer de procesos de gestión de copias de seguridad (87,8%), software y hardware de seguridad (79,7%), soporte y apoyo de consultores expertos (79,2%) y otras muchas más. Tal y como se detalla en la Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 103 de 121
Continuidad de Negocio que fue desarrollada en paralelo al estudio, la activación de un Plan de Continuidad de Negocio es la última opción a la que deben recurrir las compañías. Previamente deben entrar en juego las medidas de seguridad preventivas que eviten en la medida de lo posible dicha activación. •
Incremento de los niveles de preocupación y sensibilización Si bien la demanda de servicios relacionados con la gestión de la continuidad de negocio no es un aspecto cuya evolución sea firmemente apreciable, no sucede lo mismo con el interés creciente mostrado por las PYME. Aunque en niveles todavía no muy elevados, se aprecia que cada vez son más las entidades que tratan de documentarse al respecto y ampliar su conocimiento. Sin duda, y aparte de los esfuerzos progresivamente mejor recibidos y realizados por entidades privadas y otros organismos especializados en continuidad de negocio, sucesos informativos (inundaciones, caídas del tendido eléctrico, incendios, etc.) que muestran la situación crítica de organizaciones que sufren grandes desastres contribuyen al aumento de la preocupación. Aun así, el nivel de preparación frente a posibles contingencias graves tiene un amplio margen de mejora.
•
Escasos márgenes de tiempos de interrupción permitidos Casi la mitad de las empresas participantes en el estudio afirman que no se pueden permitir que sus procesos de negocio estén paralizados durante más de 12 horas, ya que superar este periodo de interrupción supondría grandes pérdidas para la compañía. Aunque esta percepción aún no se ha traducido de forma efectiva en un aumento tangible de implantación de las correspondientes medidas de continuidad, constituye una de las bases más sólidas y una consideración importante para poder pensar en un futuro más alentador consistente en una mejora de los niveles de preparación y respuesta ante situaciones de parálisis de las actividades.
8.1.4 •
Oportunidades
Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de Continuidad de Negocio Tal y como se ha citado anteriormente, uno de los objetivos del estudio consiste en inculcar y difundir entre la PYME española la importancia que tiene en el mundo empresarial el hecho de que adopten medidas o planes de continuidad de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 104 de 121
Dicha guía tiene el objetivo de identificar y explicar de forma desglosada las actividades necesarias para diseñar, implantar y mantener un Plan de Continuidad de Negocio, proporcionando, siempre que sea posible, gráficos, ejemplos ajustados a las necesidades reales de la pequeña y mediana empresa española. Así, se pretende que las organizaciones asimilen y entiendan cada una de las fases y tareas que componen dicho plan. •
Facilidad de acceso al amplio portafolio de servicios de continuidad de negocio ajustado a las necesidades y a la realidad de la PYME Conscientes de la alta presencia de la PYME en el tejido empresarial español, existen multitud de entidades (consultoras de seguridad de la información, empresas de formación, fabricantes de soluciones de seguridad, asociaciones sectoriales, cámaras de comercio, etc.) que dirigen sus iniciativas y sus esfuerzos al citado colectivo, ofreciendo un conjunto amplio de soluciones y servicios acordes a las necesidades y a los requerimientos de la pequeña y microempresa española. Dichos servicios cubren un amplio rango de posibilidades y van desde los relacionados con consultoría (asesoramiento en la implantación de un plan de continuidad de negocio o incluso en la certificación/adecuación al ya citado estándar de continuidad de negocio BS 25999:2006 45 ) o auditoría (revisión de las medidas de continuidad de negocio implantadas) hasta los que permiten la adquisición de software (como por ejemplo el que permite la gestión automatizada de las copias de seguridad de los datos) o hardware específico (como aquel que facilita la redundancia o alta disponibilidad de los sistemas tecnológicos), pasando por formación específica relacionada con los componentes y procesos de gestión de la continuidad.
45
Op. cit. 40
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 105 de 121
9
RECOMENDACIONES
En base a los resultados y las conclusiones del estudio, se detallan a continuación una serie de recomendaciones de actuación dirigidas fundamentalmente a 3 grandes colectivos: las pequeñas y microempresas españolas, la industria de la seguridad de la información especializada en soluciones y/o servicios de continuidad de negocio y las administraciones públicas. El motivo de enfocar dichas recomendaciones a estos tres grandes grupos se debe a la importancia del papel representado por cada uno de ellos en el ciclo de la demanda, oferta y divulgación de estos servicios respectivamente. 9.1
Recomendaciones dirigidas a las pequeñas y microempresas
Formarse y documentarse en materia continuidad de negocio Tal y como se detalla en el estudio, los niveles de conocimiento en cualquier tipo de aspecto relacionado con garantizar la continuidad de las operaciones de una empresa son bajos y gozan de un amplio margen de mejora. Por ello es fundamental que adquieran una postura aún más proactiva en busca de documentación (guías de ayuda, estándares relacionados con la seguridad y más específicamente con la continuidad de negocio) y actividades de formación similares (asistencias a charlas o desayunos de trabajo, visitas de proveedores de servicio, talleres de trabajo, etc.). Dicha función autodidacta tendría por objeto conocer y sobre todo entender: •
Qué es un plan de continuidad de negocio y el sistema que permite gestionar el mismo.
•
Por qué la implantación del plan requiere de un mantenimiento y una mejora continua.
•
Qué ventajas proporciona el disponer de un plan de continuidad de negocio.
•
Qué un plan de continuidad de negocio no consiste en realizar las copias de seguridad y disponer de otras medidas de seguridad como antivirus, cortafuegos o sistemas de detección y extinción de incendios. Es un proceso de respuesta que debe ser activado cuando las medidas de seguridad preventivas no responden como la empresa espera y por este motivo pueda derivarse una situación grave que conlleve la detención de su actividad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 106 de 121
Toda estrategia de continuidad de negocio, y en general de gestión de seguridad, debe estar basada en un proceso de análisis de riesgos previo que permita la toma de decisiones acertadas Las entidades deben ser capaces de entender mejor los riesgos a los que se enfrentan y las consecuencias de no encararlos adecuadamente. La ejecución periódica de procesos de análisis de riesgos permite: •
Conocer los procesos de negocio e identificar los activos de información más críticos que soportan los mismos: personas, información, aplicaciones, sistemas de soporte, proveedores de servicio, etc.
•
Conocer y priorizar los riesgos que pueden dañar la disponibilidad de dichos activos. Proponer y diseñar medidas de seguridad que minimicen los riesgos más críticos.
•
Distribuir los presupuestos de seguridad de manera más racional y mejor ajustada a las necesidades de la empresa.
•
Decidir el alcance y los componentes de la estrategia de continuidad en base a los riesgos, las debilidades de la empresa y los procesos de negocio más importantes.
Las pequeñas y microempresas declaran que los principales motivos para no implementar planes de continuidad de negocio es que constituyen gastos innecesarios teniendo en cuenta la baja probabilidad de que una catástrofe tenga lugar. Esta percepción se deriva de la falta de conocimiento de los incidentes y riesgos a los que están expuestas. Iniciarse en la gestión de la continuidad de negocio comenzando por tareas sencillas y contando con la colaboración de asesoramiento externo Diseñar e implantar un plan de continuidad de negocio no es una tarea sencilla. Es necesario conocer de antemano y en profundidad el funcionamiento de los diferentes procesos de negocio (aprovisionamiento, ventas, facturación, contabilidad, recursos humanos, tecnología, etc.). Por ello es aconsejable identificar y abordar, sobre todo al inicio, aquellas tareas que puedan calificarse como sencillas por tener un alcance delimitado y unos objetivos definidos. Asimismo, el conocimiento, la experiencia y el sentido común que asesores especializados y expertos de la organización pueden llegar a proporcionar resultan de gran utilidad de cara a una adquisición más ágil de los conocimientos necesarios de gestión.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 107 de 121
Sentadas las bases de conocimiento y adquiridos unos mayores niveles de adecuación, la gestión de la continuidad de negocio de las empresas debe convertirse en un proceso sistemático de mejora continua, documentado y probado periódicamente. Mantenerse al día de los programas impulsados por las AA.PP. Programas como el Plan Avanza 46 , promovido por el Ministerio de Industria, Turismo y Comercio, pretenden fomentar el uso y mejora de las nuevas tecnologías de la información en los distintos sectores de la economía y la sociedad mediante la concesión de subvenciones u otras facilidades. Una buena práctica a desarrollar por parte de las PYME es adquirir el hábito de consultar con frecuencia las bases de las campañas vigentes en la actualidad o de nuevas que serán desarrolladas en un futuro cercano. En dichas campañas se contemplan varias líneas de acción, abordadas en periodos concretos a lo largo del año, de ahí la importancia de mantenerse al día y, consecuentemente, estar en disposición de solicitar aquellas subvenciones que más se adecúen a las necesidades de la entidad en materia de continuidad de negocio. Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI) Abordar la implementación de este tipo de políticas permite a las organizaciones establecer procedimientos y controles en relación a los objetivos de negocio de las empresas, actuando como una herramienta que posibilita conocer y afrontar de manera ordenada los riesgos a los que está sometida la información de las entidades. La implantación de un SGSI exige de una visión global sobre el estado de seguridad de los sistemas de información, hecho considerado como el primer paso para enfocar con posterioridad una estrategia de continuidad de negocio. Mantener actualizadas las medidas de seguridad preventivas Si las medidas de seguridad están bien diseñadas y funcionan eficazmente, las posibles incidencias de seguridad, de llegar a producirse, serán atajadas en tiempo, se minimizarán las consecuencias y se evitará que se conviertan en problemas o incluso situaciones de crisis más complejas de resolver.
46
Fuente: www.planavanza.es
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 108 de 121
Concienciar a las unidades o responsables más estratégicos que asumen la toma de decisiones La dirección, como ente que toma las decisiones y proporciona los fondos necesarios, debe ser concienciada y debe estar convencida de la necesidad de emprender planes de continuidad. Para conseguir el citado apoyo de la dirección, es necesario dirigirse a la misma en términos más tangibles y de negocio como son los costes de implantar los planes de continuidad y los beneficios que éstos proporcionan. Otro aspecto útil en este sentido es el cálculo del coste de la interrupción de un proceso de negocio en términos financieros, el cual dependerá de varios factores como la pérdida de ingresos durante la interrupción, la disminución de la productividad del trabajador e incluso la pérdida de imagen y reputación de la organización. Asegurar la continuidad de la cadena de suministro/abastecimiento El estudio ha desvelado que la entrega de un producto o servicio puede depender de varios sub-procesos que en ocasiones son responsabilidad de un tercero o proveedor de servicio sobre el que no se establecen los correspondientes controles de supervisión. Por tanto, la garantía de continuidad de las actividades de negocio puede estar supeditada a la disponibilidad de dicho proveedor. En toda estrategia de continuidad de negocio es necesario tener en cuenta la criticidad de los servicios facilitados por terceros y establecer con los mismos aquellas exigencias y/o requerimientos que aseguren la disponibilidad de sus servicios (auditorías periódicas de su capacidad de recuperación ante eventos críticos, establecimiento de contratos con cláusulas firmadas sobre la disponibilidad de los servicios ofertados, envíos periódicos de reportes al cliente que permitan evaluar la calidad del servicio contratado, etc.). Virtualización 47 y Cloud Computing 48 son opciones a considerar si se transmite al proveedor de este tipo de servicios tecnológicos las garantías de continuidad Relacionado con la recomendación anterior, en la que se aboga por establecer con los proveedores requerimientos de disponibilidad y planes de respuesta, emergen actualmente en España nuevas formas de entrega de servicios tecnológicos que son interesantes en aquellas empresas cuya presencia de sistemas informáticos es dominante o al menos significativa.
47
Virtualización: medio para crear una versión virtual de un dispositivo o recurso informático, como un servidor, un dispositivo de almacenamiento, una red de comunicación o incluso un sistema operativo. 48
Cloud Computing o Computación en la nube en español: modelo de prestación de servicios y tecnología a través de la red (Internet). El concepto de “nube” es una metáfora de Internet.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 109 de 121
Es ya evidente que este modelo de servicio supone grandes ahorros para las compañías (sobre todo en términos de adquisición de licencias y dispositivos hardware) que se traducen en recursos tecnológicos más optimizados, así como mayor flexibilidad y escalabilidad. Además permite la transferencia de los riesgos (no solo los relacionados con continuidad de negocio) a un tercero (proveedor). Sin embargo, la adopción de estos servicios también introduce una nueva oleada de amenazas y desafíos de seguridad que deben ser afrontados: •
Almacenamiento y manejo ilícito de la información por parte del proveedor.
•
Gestión de la privacidad.
•
Adecuación de los proveedores a las leyes y requerimientos legales.
•
Continuidad de los procesos tecnológicos por parte de los proveedores.
•
Protección frente a ciberataques.
•
Cifrado en tránsito y/o almacenamiento.
•
Responsabilidades establecidas a nivel contractual.
Al igual que sucede con otro tipo de procesos y tecnología, el grado de penetrabilidad en España es lento, no solo por los desafíos descritos con anterioridad, sino también por la necesidad de transmitir al consumidor garantías de competencia y transparencia. Por tanto, a través del presente estudio se pretende fomentar entre las PYME la necesidad de al menos conocer este tipo de servicios sin olvidar la importancia de evaluar a los proveedores centrándose específicamente en sus procedimientos de continuidad de negocio y de recuperación de catástrofes, la revisión de las instalaciones alternativas de respaldo y de los procesos de copia de seguridad. Es decir, el plan de continuidad de negocio de una PYME debería incluir escenarios de la pérdida de los servicios del proveedor y el testeo de esta parte del plan debería coordinarse con el mismo mediante iniciativas como las expuestas a continuación: •
Realizar inspecciones de las instalaciones del proveedor siempre que sea posible.
•
Inspeccionar los planes de recuperación ante desastres y de continuidad de negocio (política, definición de los tiempos de recuperación objetivo, revisiones o pruebas periódicas, etc.).
•
Definir en los contratos de forma clara las obligaciones contractuales relativas a seguridad, recuperación y acceso a los datos.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 110 de 121
•
Solicitar documentación de los controles de seguridad del proveedor, y la adherencia a los estándares del sector.
9.2
Recomendaciones dirigidas a la industria
Desarrollar estrategias de cercanía a las pequeñas y microempresas españolas En la actualidad existen en el mercado multitud de estrategias desarrolladas para la implantación de planes de contingencia en las PYME, adaptadas a las necesidades y funcionalidades detectadas en cada uno de los sectores de actividad. En este sentido y en base a los resultados obtenidos del estudio, el bajo nivel de implantación de estrategias de continuidad detectado no es achacable tanto a la falta de soluciones específicas, sino a la falta de demanda de las mismas, provocada por un desconocimiento en la materia. Para solventar esta problemática, la industria debe ser capaz de generar la necesidad en las empresas, adoptando una postura proactiva y desarrollando estrategias que permitan la aproximación a las necesidades de la empresa y el aumento del nivel de sensibilización. Algunos ejemplos pueden ser, la divulgación de los conocimientos asociados a la continuidad del negocio, la realización de sesiones formativas enfocadas a sectores específicos o el envío de publicaciones informativas. Combatir la falsa sensación de seguridad de las PYME A lo largo del estudio, se ha confirmado en varias ocasiones la percepción errónea que estas empresas tienen de su estado de seguridad. La industria puede jugar un papel importante a la hora de mitigar esta falsa sensación de protección, actuando como figura informativa e instructora de las amenazas y riesgos asociados a este colectivo. Entre las múltiples acciones de concienciación que pueden ser llevadas a cabo se incluyen: •
Promover la importancia de identificar las actividades críticas del negocio y los riesgos que pueden afectar a su continuidad. Transmitir ejemplos de los riesgos reales a los que la PYME está expuesta en base a la casuística específica de su sector de actividad.
•
Enfatizar la utilidad de desarrollar e implantar planes de continuidad de negocio y los beneficios asociados a su implantación y correcto mantenimiento.
•
Hacer partícipe a la dirección/responsables de las empresas de los planes de concienciación llevados a cabo. Transmitir en un lenguaje claro y no técnico, los
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 111 de 121
motivos por los que es necesaria la definición de una estrategia de continuidad. La alta jerarquía representa una figura clave en el diseño y desarrollo de un plan de continuidad de negocio por lo que es importante obtener su apoyo e implicación desde el principio. •
Introducir y presentar los estándares de seguridad en materia de continuidad. Comentar los beneficios de prestigio e imagen derivados de su cumplimiento.
Trabajar de la mano con las Administraciones Públicas Las Administraciones Públicas cuentan con recursos para conocer de primera mano las necesidades de las organizaciones. Este hecho facilita que, manteniendo una comunicación continua entre las AA.PP. y la industria, se puedan identificar áreas de colaboración comunes de forma que las líneas de trabajo de ambos grupos se complementen (sesiones formativas por sectores de actividad, establecimiento de acuerdos para la implantación de planes de continuidad, concesión de subvenciones o ayudas, acuerdos para realización de auditorías, etc.). Aumentar el número de servicios ofertados a las empresas dentro del ámbito de actuación Ante la dificultad y desconocimiento que puede suponer para una PYME el diseño e implantación de un plan de continuidad de negocio, puede representar un aliciente a la hora de adquirir estas soluciones el hecho de incluir dentro del cupo de servicios ofertados, tareas como las de revisión y actualización del plan o realización de auditorías periódicas. Conocer de cerca las necesidades y preocupaciones de cada compañía y ser capaz de integrar estos factores dentro de las soluciones propuestas, puede resultar decisivo para incrementar la confianza en relación con la continuidad de las pequeñas y microempresas. 9.3
Recomendaciones dirigidas a las Administraciones Públicas
En su mayor parte, las pequeñas y microempresas consideran que las Administraciones Públicas desempeñan un papel importante en la implantación de las estrategias de continuidad y demandan, en general, un mayor apoyo por parte de las mismas. Entre las principales medidas impulsoras demandas por las PYME a las AA.PP. para fomentar su preparación en materia de continuidad se podrían destacar: •
Divulgación de documentación y realización de sesiones formativas.
•
Compartición del conocimiento sobre casos de éxito de otras entidades que han implementado correctamente medidas de continuidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 112 de 121
•
Establecimiento de condiciones para la concesión de ayudas económicas.
•
Otras, como el impulso mediático para facilitar los trámites y concesión de créditos por parte de otras entidades o la creación de asociaciones que presten estos servicios.
Dar continuidad a la concesión de ayudas económicas sujetas a compromiso de las empresas Una de las principales demandas por parte de las organizaciones es la concesión de créditos económicos que ayuden a las entidades a afrontar las fases de diseño, desarrollo y/o implantación de un plan de continuidad de negocio. El Plan Avanza contempla en la actualidad la adjudicación de diversos tipos de ayudas en el marco de las tecnologías de la información y muestra intención de continuar en la misma línea en un futuro cercano, con la reciente aprobación de la Estrategia 2011-2015 del Plan Avanza 2 49 . La tendencia actual de este programa es promover proyectos que faciliten a las entidades tanto la mejora de su perfil formativo como tecnológico, sometidos al cumplimiento de unos requerimientos mínimos y específicos para cada una de las subvenciones ofrecidas. El establecimiento de dichos criterios de cumplimiento persigue, ante todo: •
Garantizar la adecuación de las propuestas recibidas a los proyectos ofertados.
•
Garantizar la viabilidad técnica, económica y financiera de la propuesta.
•
Valorar la capacidad de gestión de la entidad solicitante.
En la nueva etapa que se iniciará con el Plan Avanza 2, tomando como base el Plan Avanza y el marco europeo dónde se encuadran este tipo de iniciativas, se pretenden abordar diversas acciones de gran alcance, definiendo un número elevado de medidas concretas que perseguirán, entre otros objetivos, extender la cultura de la seguridad entre la ciudadanía y las empresas.
49
Fuente: http://www.planavanza.es/Noticias/Paginas/Estrategia2011_2015dAvanza2.aspx
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 113 de 121
Promover recurrentemente la divulgación de los conceptos de continuidad de negocio Una buena forma de demostrar el compromiso de las AA.PP. con la concienciación de las PYME es la convocatoria de cursos y sesiones formativas así como la publicación de guías y manuales. Este hecho ha sido y continúa siendo impulsado a través de las campañas englobadas dentro del Plan Avanza. Entre los motivos por los cuales se fomentan este tipo de acciones se encuentra el conseguir de forma gradual la adopción de buenas prácticas en las PYME. En este sentido, las posibles líneas de recomendación futuras podrían estar enfocadas a promover: •
Realización de análisis de riesgos periódicamente, de forma que se manifiesten las principales debilidades de seguridad de la compañía.
•
Implementación paulatina de un mayor número de medidas de seguridad enfocadas a preservar y proteger los principales activos de la entidad, (copias de seguridad descentralizadas, revisiones periódicas de sus sistemas, designación de responsables).
•
Enfatización de la importancia de concienciar al personal en materia de buenas prácticas de seguridad (mediante el envío periódico de correos electrónicos, colocación de paneles informativos en lugares visibles, facilitación de la asistencia a cursos,…).
De nuevo, la colaboración de las administraciones y la industria es fundamental en este sentido para lograr un enfoque de la formación flexible y adaptado al colectivo al que va dirigido. En este sentido, la mención de ejemplos reales y cercanos a los sectores afectados, derivados del conocimiento y experiencia de la industria, contribuirán de manera sencilla a una mejor comprensión de porqué estas acciones resultan necesarias. Realizar sondeos periódicos sobre el estado de seguridad de las PYME Otra de las medidas impulsoras sugeridas por las empresas en el presente estudio es la puesta en común de las experiencias de casos de éxito de empresas del mismo sector que han implementado estrategias de continuidad de negocio. La recopilación de esta información puede llevarse a cabo mediante la realización de sondeos periódicos a las organizaciones, que incluyan un número reducido de preguntas, con el objetivo de: •
Conocer si disponen de medidas de continuidad implantadas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 114 de 121
•
Señalar si han sufrido incidentes en los últimos meses y, en ese caso, valorar el impacto económico, operativo, legal y de imagen sufrido.
•
Identificar los beneficios y consecuencias de haber/no haber implantado dichas medidas de continuidad.
Estas labores de diagnóstico específico permitirán a las AA.PP. publicar estudios que faciliten a las organizaciones conocer la evolución global de su sector en materia de continuidad de negocio, así como conocer su posición con respecto al mercado. Impulsar la implantación de requisitos y requerimientos legales El 56,3% de las entidades participantes en el estudio (ver Gráfico 55) considera importante o muy importante la definición de marcos regulatorios en materia de continuidad de negocio. Esta impresión es igualmente compartida por expertos del sector privado, que concluyen que ésta es una de las iniciativas más prioritarias a poner en marcha, siempre y cuando se contemplen las diferencias entre las grandes empresas y las PYME en lo que respecta a obligaciones, nivel de exigencia o cuantía de sanciones. Las administraciones, tomando como base tanto este hecho, como la labor previa realizada por organismos de la materia y la normativa existente, pueden actuar como figuras responsables de trasladar estas preocupaciones a los organismos correspondientes y, en un futuro, adquirir la responsabilidad de velar por el cumplimiento legal.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 115 de 121
ÍNDICE DE GRÁFICOS Gráfico 1 : Distribución del uso de tecnologías de la información y las comunicaciones..19 Gráfico 2: Uso de las tecnologías de la información en las pequeñas y microempresas (%) .....................................................................................................................................20 Gráfico 3: Distribución de las inversiones en seguridad en el año 2010 (%) ....................30 Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses..........32 Gráfico 5: Causas de los incidentes de seguridad (I) (%) .................................................33 Gráfico 6: Causas de los incidentes de seguridad (II) (%) ................................................34 Gráfico 7: Distribución de empresas con pérdidas económicas derivadas de incidentes de seguridad ...........................................................................................................................35 Gráfico 8: Distribución de pérdidas económicas derivadas de los incidentes de seguridad ...........................................................................................................................................36 Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes de seguridad ......................................................................................................................37 Gráfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la propia imagen ....................................................................................................................38 Gráfico 11: Consecuencias o impactos derivados de los incidentes de seguridad ...........39 Gráfico 12: Medidas de seguridad destinadas a garantizar la continuidad de sus operaciones .......................................................................................................................40 Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a garantizar la continuidad de sus operaciones ...................................................................41 Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad (%) ................................................................................................42 Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos de continuidad ...................................................................................................................44 Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de riesgos de continuidad de negocio ....................................................................................45
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 116 de 121
Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las PYME.................................................................................................................................46 Gráfico 18: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre..........................................................................49 Gráfico 19: Empresas familiarizadas con conceptos de continuidad de negocio (%) .......51 Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres (%) .............................52 Gráfico 21: Grado de conocimiento en relación con los conceptos de continuidad de negocio ..............................................................................................................................55 Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%) ...........................................................................................................................................58 Gráfico 23: Empresas que consideran que estar preparadas frente a posibles contingencias es igual de crítico que en las grandes compañías (%) ...............................60 Gráfico 24: Razones por las que las empresas no implementan planes de continuidad ..62 Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los próximos 6 meses..............................................................................................................63 Gráfico 26: Empresas que establecen el alcance dentro de su estrategia de continuidad (%) .....................................................................................................................................64 Gráfico 27: Personal dedicado a la gestión de la continuidad de negocio (%)..................65 Gráfico 28: Principales estímulos para implantar planes de continuidad de negocio........67 Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el gasto ..................................................................................................................................68 Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de continuidad ........................................................................................................................69 Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio.....70 Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010 a la continuidad de sus operaciones .................................................................................71 Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas de continuidad de negocio (%) ..........................................................................................72 La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 117 de 121
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en aspectos de continuidad ....................................................................................................73 Gráfico 35: Principales servicios solicitados a terceros en materia de continuidad ..........74 Gráfico 36: Comparativa de incidencias de seguridad que afectan a la continuidad ........76 Gráfico 37: Comparativa de Tiempos Máximos de Interrupción permitidos ......................77 Gráfico 38: Comparativa del grado de implantación de Planes de Continuidad de Negocio ...........................................................................................................................................78 Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa 79 Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de Continuidad........................................................................................................................80 Gráfico 41: Comparativa de volumen de personal dedicado a Continuidad de Negocio ..81 Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de Negocio..............................................................................................................................82 Gráfico 43: Comparativa de la tendencia en el gasto de medidas de continuidad............83 Gráfico 44: Principales motivos que han impulsado la adopción de medidas de continuidad de negocio......................................................................................................85 Gráfico 45: Grado de implicación de la dirección en materia de continuidad de negocio .86 Gráfico 46: Principales fuentes de riesgo de interrupción de actividades de negocio identificadas (según la dificultad para ser anticipadas y salvaguardadas) ........................87 Gráfico 47: Requerimientos identificados inicialmente para la elaboración e implantación del plan de continuidad de negocio ...................................................................................88 Gráfico 48: Principales obstáculos afrontados en el desarrollado de la estrategia de continuidad ........................................................................................................................89 Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la implantación de buenas prácticas de continuidad de negocio (%)....................................91 Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a demandar asesoramiento externo para abordar planes de continuidad de negocio.........92 Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los procedimientos de contingencia ........................................................................................93 La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 118 de 121
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de las medidas implantadas (%).............................................................................................94 Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o estrategias de continuidad definidas .................................................................................95 Gráfico 54: Beneficios de poseer medidas y procedimientos de actuación que garanticen la recuperación de una contingencia grave en el menor tiempo posible...........................96 Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la importancia de estar preparados ante situaciones de crisis o desastre ..........................103
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 119 de 121
ÍNDICE DE TABLAS Tabla 1: Distribución de la muestra del estudio en función de su actividad (CNAE-2009) y su tamaño (número de empleados)...................................................................................25 Tabla 2: Distribución de la muestra del Barómetro de Empresas en función de su actividad (%) ......................................................................................................................25 Tabla 3: Distribución de la muestra del Barómetro de Empresas en función del número de empleados (%)...................................................................................................................26 Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio ...........................................................................................................................................26 Tabla 5: Inversiones de seguridad en función del tamaño de la PYME (%)......................30 Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad en función de su actividad (%)......................................................43 Tabla 7: Tiempo máximo permitido de interrupción en función de la actividad de negocio de la PYME (%) .................................................................................................................47 Tabla 8: Sectores de actividad que exigen algún tipo de requerimiento / certificación / medidas / planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre (%).........................................................................................................50 Tabla 9: Empresas familiarizadas con conceptos de continuidad de negocio en función de su tamaño (%) ...................................................................................................................53 Tabla 10: Empresas familiarizadas con conceptos de continuidad de negocio en función de su sector de actividad (%) ............................................................................................54 Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en función de su tamaño (%)..................................................................................................59 Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su sector de actividad (%) ......................................................................................................61
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Observatorio de la Seguridad de la Información
Página 120 de 121
www.inteco.es www.deloitte.es http://observatorio.inteco.es