Professional Documents
Culture Documents
OBSERVATORI DEy LA
La PYME española ante los riesgos SEGURETAT
la implantación
Observatorio de la Seguridad de la Información
DE deLA
de Planes de Continuidad INFORMACIÓ
Negocio Página 1 de 21
Edició: Setembre 2010
“L’estudi sobre l’estat de la PYME espanyola davant dels riscos de la implantació de Plans de
Continuïtat de Negoci” ha sigut elaborada per el següent equip de treball de l’observatori de la
seguretat de la informació de INTECO:
INTECO vol mencionar la participació en la realització del treball de camp i investigació d’aquest
estudi i donar les gràcies pel patrocini de la seva edició impresa a:
La present publicació pertany al Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicencia
de Reconeixament-No comercial 2.5 Espanya de Creative Commons, i per això esta permès copiar, distribuir i comunicar
públicament aquesta obra sota les condicions següents:
• Reconeixement: El contingut d’aquest informe es pot reproduir total o parcialment per tercers, citant la seva
procedència i fent referencia expressa tant a INTECO com al lloc web: www.inteco.es. El contingut d’aquest informe
es pot reproduir. Aquest reconeixement no podrà en cap cas suggerir que INTECO recolza a terceres parts l’ús que
faci de la seva obra.
• Us No Comercial: El material original i els treballs derivats poden ser distribuïts, copiats o exhibits mentre el seu us
no tingui fins comercials.
Al reutilitzar o distribuir l’obra, es té que deixar ben clar els termes de la llicencia d’aquesta obra. Alguna d’aquestes
condicions pot no aplicar-se si s’obté el permís de INTECO com a titular dels drets d’autor. Res d’aquesta llicencia devalua
o restringeix els drets morals de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El present document compleix amb les condicions de accessibilitat del format PDF (Portable Document Format). Així, es
tracta de un document estructurat i etiquetat, provist de alternatives a tot element no textual, marcat d’idioma i ordre de
lectura adequat.
Per ampliar
La PYME informació
española antesobre la construcció
los riesgos de documents
y la implantación PDFde
de Planes accessibles potdeconsultar
Continuidad Negocio la guia disponiblePágina
en la 2secció
de 21
Accesibilidad
Observatorio>de Formación > Manuales
la Seguridad y Guias de la pàgina http://www.inteco.es
de la Información
INDEX
INDEX ..................................................................................................................................3
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 3 de 21
Observatorio de la Seguridad de la Información
1 OBJECTIUS Y METODOLOGIA
1.1 Introducció
INTECO, en el seu afany per desenvolupar la Societat del Coneixement a través dels
projectes en el marc de la innovació i la tecnologia, publica l’Estudi sobre el nivell de
preparació de las PYME davant dels riscos i adopció de Plans de Continuïtat de Negoci.
Si bé existeixen múltiples definicions sobre la Gestió de Continuïtat del Negoci, totes elles
s’han de referir a un procés orientat a identificar possibles riscos que amenacin a una
organització i desenvolupar de forma preventiva una capacitat de recuperació davant de
situacions que suposin interrupcions totals o parcials de les seves operacions de negoci.
1.2 Objectius
L’objectiu general d’aquest estudi es l’anàlisi, basat en las percepcions dels empresaris,
dels nivells de preparació, els patrons de comportament, les necessitats reals i las
principals barreres que dificulten la adopció de mesures, plans o estratègies que permetin
a la PYME espanyola estar millor preparada per garantir la continuïtat de les seves
operacions de negoci.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 4 de 21
Observatori de la Seguretat de la Informació
• Conèixer les millors pràctiques de continuïtat de negoci.
Finalment, aprofitant els resultats obtinguts després de l’estudi, s’ha elaborat una guia
pràctica dirigida a las PYME amb pautes i consells sobre el disseny i posada en marxa de
un pla de continuïtat de negoci.
Las diferents perspectives abordades per l’enfoc de l’estudi, han sigut las següents:
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 5 de 21
Observatori de la Seguretat de la Informació
2 PRINCIPALS RESULTATS
El present resum confirma el que INTECO bé anunciant en diferents estudis, i es que las
PYME espanyoles perceben que es troben exposades a petits incidents de seguretat de
tipus molt variat, encara que entre ells sempre figuren els que tenen que veure amb la
seguretat de la informació.
El 43,3% de las PYME enquestades afirma haver sofert algun tipo de incident de
seguretat greu en els últims 3 mesos, entre els que es poden destacar la falta de serveis
per part dels proveïdors (16,3%), els atacs informàtics (11,1%) o la caiguda de sistemes
de suport (climatització, electricitat o línies de comunicació) (8,9%). (Veure Gràfic 1):
Si, a més a més es considera la totalitat i varietat dels diferents incidents de seguretat
que de una o altre forma han impactat en la continuïtat de les operacions, es pot establir
com probable que las companyies puguin sofrir interrupcions.
Gràfic 1: Incidents de seguretat petits per las PYME en els últims 3 mesos
Altres 2,0%
NS/NC 8,1%
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 6 de 21
Observatori de la Seguretat de la Informació
Aquest fet reforça la idea de que mai es sap quin esdeveniment pot sofrir una
organització provocant la paralització de las seves activitats, degut a que aquests
dependran en gran mesura de cada casuística concreta.
A la hora de identificar les principals causes que han pogut desencadenar aquests
incidents de seguretat (veure Gràfic 2), i tot i que las respostes son variades, existeixen 3
motius (el desconeixement de la amenaça amb un 6,9%, la dolenta o obsoleta
configuració dels sistemes -6,8%-, i la escassa eficiència de les eines de prevenció
associades amb un 3,1%) que reforcen la idea de que las PYME poder no ser conscients
dels riscos als que s’enfronten i conseqüentment les mesures adoptades per fer front als
mateixos no son eficaces perquè realment no coneixen ni prioritzen les amenaces a les
que tenen que fer front:
Altres 10,9%
Base: PYME que han sofert algun incident de seguretat (n=372) Font: INTECO
L’anàlisi mes en detall de altres causes indicades per els participants mostra que en la
seva major part, les empreses que van contestar aquesta opció aplica la responsabilitat a
un error en el servei per part dels proveïdors (61,1%) que de una forma o altre contribueix
a mantenir actives les activitats de negoci.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 7 de 21
Observatori de la Seguretat de la Informació
• Las organitzacions conten amb certes mesures de seguretat ja implantades.
Principalment, realització de còpies de seguretat (87,8%), adquisició de software o
hardware (79,7%) i consulta o sol·licitud de suport a experts (79,2%).
• De cara a un futur immediat, les PYME tenen pensat dotar-se de major coneixement
sobre la adopció de plans de continuïtat de negoci (25,4%), adoptar mesures que
garanteixin la continuïtat de las operacions en cas de contingència (22%) o establir
acords amb tercers (18,9%).
• Per altre banda, l’estudi mostra que existeixen una sèrie de mesures que las PYME
no tenen implantades ni tenen pensat implantar, com l’adopció de un procés de
gestió de riscos (64,6%) o contractació de serveis de seguretat física (64,6%).
Base: PYME que han petit algun incident de seguretat (n=372) Font: INTECO
En aquest sentit, i derivat també del estudi, no sembla que las empreses participants
siguin conscients de que la disponibilitat de les seves operacions poden dependre de
forma important de las garanties de continuïtat dels seus proveïdors. De fet com es
mostra en el Gràfic 4, el 72% de las petites i microempreses espanyoles entrevistades, no
exigeixen a aquests proveïdors cap tipus de requisit, certificació o mesura destinada a
assegurar la continuïtat del seu servei.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 8 de 21
Observatori de la Seguretat de la Informació
Gràfic 4: Empresas que exigeixen algun tipo de requisit/certificació/mesura/pla que
asseguri la continuïtat dels serveis dels seus proveïdors en cas de desastre
9,3%
18,7%
72,0%
Sí No NS/NC
Del 18,7% que sí sol·liciten aspectes de continuïtat de negoci als seus proveïdors, els
mes característics són:
• Servei 24x7 (24 hores al dia els 7 dies de la setmana) establert contractualment amb
els proveïdors dels serveis més crítics o temps de resposta immediats (14,3%).
• Identificar i prioritzar els riscos als que una empresa té que enfrontar-se.
• Determinar las mesures de seguretat a implantar que son més adequades en funció
dels riscos prèviament identificats.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 9 de 21
Observatori de la Seguretat de la Informació
De l’anàlisi de les respostes obtingudes, es pot obtenir que un 38,3% de les empreses
participants mantenen un procés de gestió abordat de forma periòdica per fer front als
riscos que poden afectar a la continuïtat de les seves operacions, lo que denota a priori
cert nivell de preocupació i pro activitat al respecte (veure Gràfic 5).
Gràfic 5: Empresas que realitzen algun tipo de acció orientada a fer front a riscos de
continuïtat (%)
4,6%
16,1%
16,8%
71,2%
24,2%
38,3%
No
NS/NC
Sí, però només ocasionalment i quan el pressupost i la carrega de feina o permeten
Només en contades ocasions
Sí, es un procés optimitzat, gestionat i abordat periòdicament
Per analitzar la congruència entre les mesures de seguretat implantades i les necessitats
reals de continuïtat que exigeixen els diferents sectors de activitat, s’han intentat
identificar amb les PYME participants en l’estudi el temps de inactivitat màxim que,
després d’una interrupció podran suportar abans de afrontar un impacte sever sobre les
finances, les operacions o la pròpia imatge de la companyia (veure Gràfic 6).
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 10 de 21
Observatori de la Seguretat de la Informació
Gràfic 6: Temps màxim permès de interrupció de las activitats de negoci de las PYMET
100%
80%
60%
40% 35,8%
22,6%
20% 17,5%
11,7% 12,5%
0%
Immediatament Més de 12 hores Més de 24 hores Més de 48 hores Més de 5 dies
Tot i que un 33% de las PYME afirma estar familiaritzada amb els conceptes de
continuïtat de negoci, de aquestes el 21,7% coneix realment la diferencia entre els termes
de Pla de Continuïtat de Negoci i Pla de Recuperació davant de Desastres (veure Gràfic
7).
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 11 de 21
Observatori de la Seguretat de la Informació
Gràfic 7: Empresas familiaritzades amb conceptes de continuïtat de negoci (%)
6,0%
12,5%
3,8%
33,0%
61,0%
16,7%
No
NS/NC
Sí, absolutament
Sí, estan presents de cara a la gestió del negoci encara que no els conec en profunditat
Nomes vagament, he sentit parlar d'ells ocasionalment
Aquests nivells de coneixement i formació en la matèria son indicadors que poden ser
comparats amb els obtinguts en altres estudis a nivell internacional i que reflexa menor
interès i sensibilitat en la PYME espanyola per els aspectes relacionats amb la continuïtat
de negoci.
Tal y como es deriva dels resultats de l’estudi, les PYME espanyoles es caracteritzen en
matèria de continuïtat de negoci per el seu desconeixement casi general sobre què es la
continuïtat de negoci i quin es realment la importància que aquest té en el dia a dia de les
seves operacions.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 12 de 21
Observatori de la Seguretat de la Informació
Quines empreses han definit algun tipus de estratègia de continuïtat de negoci?
En aquest estudi, es conclou que el 38,4 % de las PYME afirmen contar amb algun tipo
de estratègia enfocada assegurar la continuïtat del seu negoci en cas de una incidència o
desastre. Dins d’aquest col·lectiu, s’inclouen tant aquelles entitats que han definit
estratègies per la continuïtat de les seves operacions (16,7%) com aquelles que compten
amb procediments que garanteixin exclusivament la seva recuperació a nivell tecnològic
(21,7%).
Gràfic 8: Empresas que compten amb alguna estratègia de continuïtat de negoci (%)
4,3%
16,7%
38,4%
57,3%
21,7%
No NS/NC Sí, elaborada i implantada Sí, encara que només permet recuperar l'entorn tecnològic
Els motius pels quals les empreses no disposen de un pla formal son variats i venen
derivats en gran mesura per dificultats o barreres a la hora de afrontar el
desenvolupament i implantació de la estratègia. La reduïda probabilitat amb la que
contemplen la ocurrència de crisis o desastres, o la falta de temps, recursos i/o
pressupost, son algunes de las barreres denunciades per las PYME en aquest sentit. De
la mateixa manera el desconeixement i la falta de experiència en la matèria provoquen
que un gran percentatge de las entitats que adopten mesures de continuïtat decideixin
acudir al suport i recolzament extern en algunes de les fases de desenvolupament del plà
(42,4%).
Per altre banda, igual de important es conèixer els estímuls que han potenciat una
implicació de las organitzacions en matèria de continuïtat. Encara que garantir la
disponibilitat de las operacions de negoci figura com un dels principals objectius
perseguits amb el desenvolupament de plans de continuïtat, paulatinament s’aprecia un
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 13 de 21
Observatori de la Seguretat de la Informació
major pes d’arguments estratègics com “Millorar la reputació i imatge pública de la
empresa” o “adquirir avantatges competitius”.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
(1) gens important (2) Poc important (3) Important (4) Bastant Important (5) Molt important
L’anàlisi dels motius pels que les PYME asseguren no disposar de mesures de continuïtat
de negoci permet extreure algunes conclusions (veure Gràfic 10):
En definitiva, tenen una percepció errònia dels riscos/amenaces que poden estar
patint i de que la probabilitat de que succeeixi una contingència que, de no ser
solucionada a temps, pot convertir-se en greu.
• Falta de fons i recursos pressupostaris per cobrir les mesures necessàries (15,1%).
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 14 de 21
Observatori de la Seguretat de la Informació
Gràfic 10: Raons per les quals les empreses no implanten plans de continuïtat
Altres 10,0%
NS/NC 12,5%
Derivat de l’estudi, s’ha de tenir en compte que la major part de les empreses participants
no disposen dels coneixements característiques, així com la objectivitat i independència
per identificar els recursos i processos crítics de la companyia.
D’aquesta manera, gairebé la meitat de las PYME (el 44,4%) que han empres programes
de negoci han necessitat de assessorament extern (veure Gràfic 11).
Per altre banda, el 49,2% disposa dels seus propis mitjans tècnics, de coneixement, etc.,
para poder abordar amb èxit las accions de resposta a aplicar davant una interrupció del
servei.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 15 de 21
Observatori de la Seguretat de la Informació
Gràfic 11: Empresas que han requerit assessorament extern per abordar programes de
continuïtat de negocio (%)
6,4%
44,4%
49,2%
Sí No NS/NC
De fet, tal i com es pot veure en el Gràfic 12, el 81,1% de las grans empreses han adoptat
plans de continuïtat de negoci (davant el 38,4% de las PYME que han desenvolupat
alguna iniciativa en aquest sentit). A més, la majoria de les grans empreses disposen de
més personal per portar a terme aquest tipo de gestió. Personal que en la majoria dels
casos, dedica la totalitat de la seva jornada laboral.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 16 de 21
Observatori de la Seguretat de la Informació
Gràfic 12: Comparativa del grau de implantació de Plans de Continuïtat de Negocio
100%
81,1%
80%
60% 57,3%
38,4%
40%
18,9%
20%
4,3%
0,0%
0%
Sí No NS/NC
Una part del present estudi s’ha volgut enfocar cap aquelles PYME que actualment
conten amb algun tipo d’estratègia o pla de continuïtat exitosament definit. A les 29
organitzacions escollides com a base mostral en aquest apartat se’ls hi ha consultat
sobre factors clau o bones pràctiques que han tingut que desenvolupar per aconseguir
una implantació eficaç de les seves mesures i, addicionalment associat a la seva
implantació.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 17 de 21
Observatori de la Seguretat de la Informació
• Definir els sistemes i aplicacions crítics dins de l’abast.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 18 de 21
Observatori de la Seguretat de la Informació
CONCLUSIONS Y RECOMENACIONS
Aquesta percepció errònia dels riscos provoca que les empreses optin per assumir-los
inconscientment i que la seva posició sigui majoritàriament reactiva, es a dir, només quan
pateixen incidents de seguretat greus es quan es desperta el seu interès i la seva
predisposició a reforçar la resistència de les seves operacions.
Davant d’aquests resultats, els plans de continuïtat de negoci s’evidencien com una
necessitat per mitigar els impactes que tenen o poden tenir interrupcions greus en la
operativa de negoci.
• Esforços centrats en la gestió del dia a dia fan evidenciar falta de recursos.
• Oferta adequada a la PYME de serveis que permetin cobrir tots els àmbits de actuació
del BCP (Tecnològics, Operacionals, Serveis de gestió, Financers, Legals, Logístics,
etc.).
• Una major conscienciació i eines eficaces que permetin a la PYME refer el càlcul de la
equació de Cost / Benefici per prioritzar millor els recursos dels que disposa i valorar
les inversions.
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 19 de 21
Observatori de la Seguretat de la Informació
INDEX DE GRÀFICS
Gràfic 1: Incidents de seguretat petits per las PYME en els últims 3 mesos ....................... 6
Gràfic 5: Empresas que realitzen algun tipo de acció orientada a fer front a riscos de
continuïtat (%)....................................................................................................................10
Gràfic 6: Temps màxim permès de interrupció de las activitats de negoci de las PYMET 11
Gràfic 8: Empresas que compten amb alguna estratègia de continuïtat de negoci (%) .... 13
Gràfic 10: Raons per les quals les empreses no implanten plans de continuïtat .............. 15
Gràfic 11: Empresas que han requerit assessorament extern per abordar programes de
continuïtat de negocio (%) ................................................................................................. 16
Gràfic 12: Comparativa del grau de implantació de Plans de Continuïtat de Negocio ...... 17
La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 20 de 21
Observatori de la Seguretat de la Informació
www.inteco.es
www.deloitte.es
http://observatorio.inteco.es