Resum executiu del estudi sobre

l’estat de la PYME espanyola

davant dels riscos i la implantació
de Plans de Continuïtat de Negoci

Amb el patrocini de:

OBSERVATORI DEy LA
La PYME española ante los riesgos SEGURETAT
la implantación
Observatorio de la Seguridad de la Información
DE deLA
de Planes de Continuidad INFORMACIÓ
Negocio Página 1 de 21
 Edició: Setembre 2010

“L’estudi sobre l’estat de la PYME espanyola davant dels riscos de la implantació de Plans de
Continuïtat de Negoci” ha sigut elaborada per el següent equip de treball de l’observatori de la
seguretat de la informació de INTECO:

Pablo Pérez San-José (direcció)

Javier Rey Perille (coordinació)

Laura García Pérez

Cristina Gutiérrez Borge

INTECO vol mencionar la participació en la realització del treball de camp i investigació d’aquest
estudi i donar les gràcies pel patrocini de la seva edició impresa a:

La present publicació pertany al Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicencia
de Reconeixament-No comercial 2.5 Espanya de Creative Commons, i per això esta permès copiar, distribuir i comunicar
públicament aquesta obra sota les condicions següents:
• Reconeixement: El contingut d’aquest informe es pot reproduir total o parcialment per tercers, citant la seva
procedència i fent referencia expressa tant a INTECO com al lloc web: www.inteco.es. El contingut d’aquest informe
es pot reproduir. Aquest reconeixement no podrà en cap cas suggerir que INTECO recolza a terceres parts l’ús que
faci de la seva obra.
• Us No Comercial: El material original i els treballs derivats poden ser distribuïts, copiats o exhibits mentre el seu us
no tingui fins comercials.
Al reutilitzar o distribuir l’obra, es té que deixar ben clar els termes de la llicencia d’aquesta obra. Alguna d’aquestes
condicions pot no aplicar-se si s’obté el permís de INTECO com a titular dels drets d’autor. Res d’aquesta llicencia devalua
o restringeix els drets morals de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/

El present document compleix amb les condicions de accessibilitat del format PDF (Portable Document Format). Així, es
tracta de un document estructurat i etiquetat, provist de alternatives a tot element no textual, marcat d’idioma i ordre de
lectura adequat.
Per ampliar
La PYME informació
española antesobre la construcció
los riesgos de documents
y la implantación PDFde
de Planes accessibles potdeconsultar
Continuidad Negocio la guia disponiblePágina
en la 2secció
de 21
Accesibilidad
Observatorio>de Formación > Manuales
la Seguridad y Guias de la pàgina http://www.inteco.es
de la Información
INDEX

INDEX ..................................................................................................................................3

1 OBJECTIUS Y METODOLOGIA .................................................................................. 4

1.1 Introducció .............................................................................................................4

1.2 Objectius ...............................................................................................................4

1.3 Disseny Metodològic ............................................................................................. 5

2 PRINCIPALS RESULTATS .......................................................................................... 6

2.1 Anàlisis dels nivells de seguretat en la PYME espanyola ..................................... 6

2.2 Cultura coneixement de la PYME espanyola en matèria de continuïtat de negoci .

............................................................................................................................11

2.3 Anàlisi dels nivells d’adopció de mesures o plans de continuïtat de negoci en la

PYME espanyola............................................................................................................12

2.4 Anàlisis comparatiu de la gestió de la continuïtat de negoci en la empresa

espanyola segons la seva mida ..................................................................................... 16

2.5 Millors pràctiques de continuïtat de negoci ......................................................... 17

CONCLUSIONS Y RECOMENACIONS ............................................................................ 19

INDEX DE GRÀFICS .........................................................................................................20

La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 3 de 21
Observatorio de la Seguridad de la Información
1 OBJECTIUS Y METODOLOGIA

1.1 Introducció

INTECO, en el seu afany per desenvolupar la Societat del Coneixement a través dels
projectes en el marc de la innovació i la tecnologia, publica l’Estudi sobre el nivell de
preparació de las PYME davant dels riscos i adopció de Plans de Continuïtat de Negoci.

Aquest estudi posa de manifest un concepte , el de Continuïtat de Negoci, que la evolució

dels negocis i els esdeveniments nacionals i internacionals fan que paulatinament estigui
mes present en la gestió estratègica de las organitzacions, fins al punt de convertir-se en
una necessitat o, al menys en un aspecte a considerar.

Si bé existeixen múltiples definicions sobre la Gestió de Continuïtat del Negoci, totes elles
s’han de referir a un procés orientat a identificar possibles riscos que amenacin a una
organització i desenvolupar de forma preventiva una capacitat de recuperació davant de
situacions que suposin interrupcions totals o parcials de les seves operacions de negoci.

1.2 Objectius

L’objectiu general d’aquest estudi es l’anàlisi, basat en las percepcions dels empresaris,
dels nivells de preparació, els patrons de comportament, les necessitats reals i las
principals barreres que dificulten la adopció de mesures, plans o estratègies que permetin
a la PYME espanyola estar millor preparada per garantir la continuïtat de les seves
operacions de negoci.

Tot, amb la finalitat de proposar recomanacions d’actuació a las entitats, a la industria de

seguretat de la informació i a las Administracions publiques per impulsar el coneixement i
el seguiment dels principals indicadors i polítiques publiques relacionades amb la Societat
de la Informació en matèria de seguretat de la informació.

L’anterior objectiu es desglossa operativament en els següents objectius específics:

• Analitzar la situació tecnològica de la seguretat de la PYME espanyola des de el punt

de vista de la continuïtat del negoci.

• Valorar els nivells de cultura i coneixement de la PUME espanyola en matèria de

continuïtat de negoci.

• Analitzar els nivells de adopció de mesures o plans de continuïtat de negoci en la

PYME espanyola.

• Analitzar comparativament la situació de la continuïtat en la empresa espanyola

segons la seva mida.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 4 de 21
Observatori de la Seguretat de la Informació
• Conèixer les millors pràctiques de continuïtat de negoci.

Finalment, aprofitant els resultats obtinguts després de l’estudi, s’ha elaborat una guia
pràctica dirigida a las PYME amb pautes i consells sobre el disseny i posada en marxa de
un pla de continuïtat de negoci.

1.3 Disseny Metodològic

La metodologia utilitzada per la realització de l’estudi i la conseqüent publicació del

present informe s’ha basat en la realització d’enquestes presencials, telefòniques i a
distancia sobre empreses espanyoles amb menys de 50 treballadors i amb almenys un
ordinador connectat a internet, així com proveïdors o experts en la entrega de serveis
orientats a assegurar la continuïtat de les operacions de negoci.

Las diferents perspectives abordades per l’enfoc de l’estudi, han sigut las següents:

• Caracterització de les empreses des de el punt de vista de la continuïtat de

negoci. 400 petites y microempreses de tots els sectors de activitat conforme al
CNAE-2009 han respost a l’enquesta.

• Identificació de las PME amb experiències exitoses mitjançant la aplicació de

bones pràctiques en l’àrea de continuïtat de negoci. En total 29 organitzacions
poden constituir-se com casos de èxit representatius de diferents realitats sobre la
adopció o no de plans de continuïtat de negoci en lo referent a anàlisis de riscos,
plans de recuperació a nivell tecnològic, implantació de mesures de seguretat
preventives, etc.

• Percepció per part dels proveïdors de serveis o solucions de continuïtat de

negoci. En base al coneixement que aquests agents tenen de la oferta i demanda de
serveis de continuïtat (per a las PYME y per part de les mateixes) i els riscos i
amenaces a les que s’enfronten.

La interacció amb aquests col·lectius, unit al procés previ d’estudi de diferents

publicacions, i informes relacionats amb la continuïtat de negoci (a nivell nacional i
internacional), permet no només contrastar la situació de la mostra objecte del estudi (la
pròpia empresa espanyola), sino també el poder identificar possibles recomanacions.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 5 de 21
Observatori de la Seguretat de la Informació
2 PRINCIPALS RESULTATS

Es mostra a continuació els principals resultats obtinguts després del estudi:

2.1 Anàlisis dels nivells de seguretat en la PYME espanyola

El present resum confirma el que INTECO bé anunciant en diferents estudis, i es que las
PYME espanyoles perceben que es troben exposades a petits incidents de seguretat de
tipus molt variat, encara que entre ells sempre figuren els que tenen que veure amb la
seguretat de la informació.

Quin tipus de incidents de seguretat han sofert les PYME recentment?

El 43,3% de las PYME enquestades afirma haver sofert algun tipo de incident de
seguretat greu en els últims 3 mesos, entre els que es poden destacar la falta de serveis
per part dels proveïdors (16,3%), els atacs informàtics (11,1%) o la caiguda de sistemes
de suport (climatització, electricitat o línies de comunicació) (8,9%). (Veure Gràfic 1):

Si, a més a més es considera la totalitat i varietat dels diferents incidents de seguretat
que de una o altre forma han impactat en la continuïtat de les operacions, es pot establir
com probable que las companyies puguin sofrir interrupcions.

Gràfic 1: Incidents de seguretat petits per las PYME en els últims 3 mesos

La companyia no ha sofert cap incident de seguretat en els 3

mesos 56,7%

Falta de servei per part dels proveïdors 16,3%

Atac informàtic 11,1%

Caiguda de sistemes de suport (Climatització, línies y dispositius
de comunicació, etc.) 8,9%

Caiguda dels meus sistemes/aplicacions 7,4%

Multes, sancions 4,4%

Inundació, terratrèmol, incendi 3,6%

Pèrdua de dades de negoci crítics 1,7%

Baixa de personal crític 1,7%

Desperfectes físics en instal·lacions/ equips 1,4%

Altres 2,0%

NS/NC 8,1%

0% 20% 40% 60% 80% 100%

Base: Total PYME i casos de èxit (n=429) Fuente: INTECO

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 6 de 21
Observatori de la Seguretat de la Informació
Aquest fet reforça la idea de que mai es sap quin esdeveniment pot sofrir una
organització provocant la paralització de las seves activitats, degut a que aquests
dependran en gran mesura de cada casuística concreta.

Quines han sigut les causes desencadenants dels incidents soferts?

A la hora de identificar les principals causes que han pogut desencadenar aquests
incidents de seguretat (veure Gràfic 2), i tot i que las respostes son variades, existeixen 3
motius (el desconeixement de la amenaça amb un 6,9%, la dolenta o obsoleta
configuració dels sistemes -6,8%-, i la escassa eficiència de les eines de prevenció
associades amb un 3,1%) que reforcen la idea de que las PYME poder no ser conscients
dels riscos als que s’enfronten i conseqüentment les mesures adoptades per fer front als
mateixos no son eficaces perquè realment no coneixen ni prioritzen les amenaces a les
que tenen que fer front:

Gràfic 2: Causes dels incidents de seguretat (%)

Desconeixia la amenaça 6,9%

Sistemas obsolets 3,7%

Sistemas mal configurats 3,1%

Disposava de eines però no han sigut efectives 3,1%

Coneixia la amenaça però no sabia com prevenir-la 2,9%

Mal assessorament 2,7%

No disposava de eines per prevenir-la 1,6%

Coneixia el risc però no disposava de pressupost 0,9%

Altres 10,9%

0% 20% 40% 60% 80% 100%

Base: PYME que han sofert algun incident de seguretat (n=372) Font: INTECO

L’anàlisi mes en detall de altres causes indicades per els participants mostra que en la
seva major part, les empreses que van contestar aquesta opció aplica la responsabilitat a
un error en el servei per part dels proveïdors (61,1%) que de una forma o altre contribueix
a mantenir actives les activitats de negoci.

Quines mesures de resposta s’han adoptat després dels incidents soferts?

Analitzant el grau de implantació de mesures de seguretat com a resposta als incidents

soferts en aquelles PYME que han petit algun esdeveniment de seguretat advers, es
desprenen las següents conclusions:

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 7 de 21
Observatori de la Seguretat de la Informació
• Las organitzacions conten amb certes mesures de seguretat ja implantades.
Principalment, realització de còpies de seguretat (87,8%), adquisició de software o
hardware (79,7%) i consulta o sol·licitud de suport a experts (79,2%).

• De cara a un futur immediat, les PYME tenen pensat dotar-se de major coneixement
sobre la adopció de plans de continuïtat de negoci (25,4%), adoptar mesures que
garanteixin la continuïtat de las operacions en cas de contingència (22%) o establir
acords amb tercers (18,9%).

• Per altre banda, l’estudi mostra que existeixen una sèrie de mesures que las PYME
no tenen implantades ni tenen pensat implantar, com l’adopció de un procés de
gestió de riscos (64,6%) o contractació de serveis de seguretat física (64,6%).

Gràfic 3: Mesures de seguretat destinades a assegurar la continuïtat de les seves

operacions

Realització de copies de seguretat 87,8% 12,2%

Adquisició de SW/HW 79,7% 0,3% 20,0%
Consultar a un expert 79,2% 0,3% 20,5%
Redundància d'equips i/o comunicacions 74,0% 9,2% 16,8%
Contractació d'una assegurança 63,6% 15,5% 20,9%
Sistemes de detecció/extinció d'incendis 62,4% 37,6%
Adopció de mesures que garanteixin la continuïtat 62,3% 22,0% 15,7%
Contractació d'assessoria externa 59,2% 0,4% 40,4%
Sistemes de climatització 53,8% 46,2%
Millorar realització de copies de seguretat 52,0% 12,1% 35,9%
Buscar mes informació sobre la matèria 45,6% 25,4% 29,0%
Establiment d'acords amb tercers 43,4% 18,9% 37,7%
Adquisició d'un nou producte de seguretat 40,1% 12,4% 47,5%
Adquisició/ lloguer centre de recolzament alternatiu 47,2% 10,9% 41,9%
Adopció de processos de gestió de riscos 35,4% 64,6%
Contractació de serveis seguretat física 35,4% 64,6%
Altres 54,8% 14,5% 30,6%

0% 20% 40% 60% 80% 100%

Ja implantada La implantaré Ni la he implantat ni tampoc ho faré

Base: PYME que han petit algun incident de seguretat (n=372) Font: INTECO

S’exigeixen requeriments de seguretat als serveis prestats per tercers?

En aquest sentit, i derivat també del estudi, no sembla que las empreses participants
siguin conscients de que la disponibilitat de les seves operacions poden dependre de
forma important de las garanties de continuïtat dels seus proveïdors. De fet com es
mostra en el Gràfic 4, el 72% de las petites i microempreses espanyoles entrevistades, no
exigeixen a aquests proveïdors cap tipus de requisit, certificació o mesura destinada a
assegurar la continuïtat del seu servei.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 8 de 21
Observatori de la Seguretat de la Informació
 Gràfic 4: Empresas que exigeixen algun tipo de requisit/certificació/mesura/pla que
asseguri la continuïtat dels serveis dels seus proveïdors en cas de desastre

9,3%
18,7%

72,0%
Sí No NS/NC

Base: Total PYME (n=400) Font: INTECO

Del 18,7% que sí sol·liciten aspectes de continuïtat de negoci als seus proveïdors, els
mes característics són:

• Qualitat mínima en la entrega del servei (22,3% dels sol·licitants).

• Servei 24x7 (24 hores al dia els 7 dies de la setmana) establert contractualment amb
els proveïdors dels serveis més crítics o temps de resposta immediats (14,3%).

• Certificats o compliment de estàndards de seguretat i/o continuïtat (14,1%).

• Especificacions a nivell contractual (11,3% de los sol·licitants).

Com s’aconsegueix un grau de maduresa en els processos de gestió de riscos que

impacten en la continuïtat del negoci?

La millor forma per adoptar estratègies de seguretat adaptades a les necessitats i a la

realitat de las empreses té que estar basada en conèixer els riscos que amenacen la
continuïtat dels processos de negoci:

• Identificar i prioritzar els riscos als que una empresa té que enfrontar-se.

• Determinar las mesures de seguretat a implantar que son més adequades en funció
dels riscos prèviament identificats.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 9 de 21
Observatori de la Seguretat de la Informació
De l’anàlisi de les respostes obtingudes, es pot obtenir que un 38,3% de les empreses
participants mantenen un procés de gestió abordat de forma periòdica per fer front als
riscos que poden afectar a la continuïtat de les seves operacions, lo que denota a priori
cert nivell de preocupació i pro activitat al respecte (veure Gràfic 5).

Gràfic 5: Empresas que realitzen algun tipo de acció orientada a fer front a riscos de
continuïtat (%)

4,6%

16,1%

16,8%

71,2%
24,2%

38,3%

No
NS/NC
Sí, però només ocasionalment i quan el pressupost i la carrega de feina o permeten
Només en contades ocasions
Sí, es un procés optimitzat, gestionat i abordat periòdicament

Base: Total PYME (n=400) Font: INTECO

Quins temps màxims de interrupció poden tolerar las PYME?

Per analitzar la congruència entre les mesures de seguretat implantades i les necessitats
reals de continuïtat que exigeixen els diferents sectors de activitat, s’han intentat
identificar amb les PYME participants en l’estudi el temps de inactivitat màxim que,
després d’una interrupció podran suportar abans de afrontar un impacte sever sobre les
finances, les operacions o la pròpia imatge de la companyia (veure Gràfic 6).

Independentment del sector de activitat, el 35,8% de les empreses afirmen no poder

permetre’s la paralització de les seves activitats crítiques, lo qual reforça la importància
de adoptar plans de continuïtat de negoci en qualsevol tipus de PYME.

De la mateixa manera, només un 17,5% de las petites i microempreses espanyoles

enquestades poden mantenir les seves activitats paralitzades durant més de 5 dies sense
que aquest fet repercuteixi en un impacte sever per la companyia.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 10 de 21
Observatori de la Seguretat de la Informació
 Gràfic 6: Temps màxim permès de interrupció de las activitats de negoci de las PYMET

100%

80%

60%

40% 35,8%

22,6%
20% 17,5%
11,7% 12,5%

0%
Immediatament Més de 12 hores Més de 24 hores Més de 48 hores Més de 5 dies

Base: Total PYME i casos d’èxit (n=429) Font: INTECO

2.2 Cultura coneixement de la PYME espanyola en matèria de continuïtat de

negoci

A l’hora de valorar els resultats obtinguts en quant al nivell de coneixement de cultura de

continuïtat de negoci, es fa patent, en major mesura, las dificultats afrontades per les
organitzacions per poder distingir clarament conceptes claus en aquesta matèria.

Tot i que un 33% de las PYME afirma estar familiaritzada amb els conceptes de
continuïtat de negoci, de aquestes el 21,7% coneix realment la diferencia entre els termes
de Pla de Continuïtat de Negoci i Pla de Recuperació davant de Desastres (veure Gràfic
7).

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 11 de 21
Observatori de la Seguretat de la Informació
 Gràfic 7: Empresas familiaritzades amb conceptes de continuïtat de negoci (%)

6,0%

12,5%

3,8%
33,0%

61,0%
16,7%

No
NS/NC
Sí, absolutament
Sí, estan presents de cara a la gestió del negoci encara que no els conec en profunditat
Nomes vagament, he sentit parlar d'ells ocasionalment

Base: Total PYME (n=400) Font: INTECO

Aquests nivells de coneixement i formació en la matèria son indicadors que poden ser
comparats amb els obtinguts en altres estudis a nivell internacional i que reflexa menor
interès i sensibilitat en la PYME espanyola per els aspectes relacionats amb la continuïtat
de negoci.

• El major grau de coneixement el mostren empreses que pertanyen als sectors de

activitat professional, científica i tècniques (31,8%) i les dedicades a la activitat
tecnològica (18,2%) mentre que els sectors de educació, activitats sanitàries o serveis
socials son els que mostren una major manca en aquest sentit.

• No s’aprecien diferencies quantitatives entre els nivells de coneixement de las PYME,

quant l’anàlisi es segrega per la mida de las entitats.

2.3 Anàlisi dels nivells d’adopció de mesures o plans de continuïtat de negoci en

la PYME espanyola

Tal y como es deriva dels resultats de l’estudi, les PYME espanyoles es caracteritzen en
matèria de continuïtat de negoci per el seu desconeixement casi general sobre què es la
continuïtat de negoci i quin es realment la importància que aquest té en el dia a dia de les
seves operacions.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 12 de 21
Observatori de la Seguretat de la Informació
Quines empreses han definit algun tipus de estratègia de continuïtat de negoci?

En aquest estudi, es conclou que el 38,4 % de las PYME afirmen contar amb algun tipo
de estratègia enfocada assegurar la continuïtat del seu negoci en cas de una incidència o
desastre. Dins d’aquest col·lectiu, s’inclouen tant aquelles entitats que han definit
estratègies per la continuïtat de les seves operacions (16,7%) com aquelles que compten
amb procediments que garanteixin exclusivament la seva recuperació a nivell tecnològic
(21,7%).

Gràfic 8: Empresas que compten amb alguna estratègia de continuïtat de negoci (%)

4,3%

16,7%

38,4%
57,3%
21,7%

No NS/NC Sí, elaborada i implantada Sí, encara que només permet recuperar l'entorn tecnològic

Base: Total PYME (n=400) Font: INTECO

Els motius pels quals les empreses no disposen de un pla formal son variats i venen
derivats en gran mesura per dificultats o barreres a la hora de afrontar el
desenvolupament i implantació de la estratègia. La reduïda probabilitat amb la que
contemplen la ocurrència de crisis o desastres, o la falta de temps, recursos i/o
pressupost, son algunes de las barreres denunciades per las PYME en aquest sentit. De
la mateixa manera el desconeixement i la falta de experiència en la matèria provoquen
que un gran percentatge de las entitats que adopten mesures de continuïtat decideixin
acudir al suport i recolzament extern en algunes de les fases de desenvolupament del plà
(42,4%).

Quines raons incentiven a la implantació de plans de continuïtat de negoci?

Per altre banda, igual de important es conèixer els estímuls que han potenciat una
implicació de las organitzacions en matèria de continuïtat. Encara que garantir la
disponibilitat de las operacions de negoci figura com un dels principals objectius
perseguits amb el desenvolupament de plans de continuïtat, paulatinament s’aprecia un

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 13 de 21
Observatori de la Seguretat de la Informació
major pes d’arguments estratègics com “Millorar la reputació i imatge pública de la
empresa” o “adquirir avantatges competitius”.

Gràfic 9: Principals estímuls per implantar plans de continuïtat de negoci

Assegurar la disponibilitat de las operacions de negoci

2,7%5,6% 13,9% 73,1%
en casos de crisis 4,7%
Reputació i protecció de l'imatge pública de l'empresa 10,6% 9,2% 9,3% 29,7% 41,1%

Avantatge competitiu davant a altres competidors del

23,6% 14,5% 7,4% 23,1% 31,4%
mercat
Requeriments del client 13,5% 14,5% 13,8% 28,3% 30,0%

Com a resposta a un requeriment d'auditoria

35,1% 8,3% 14,5% 15,2% 26,9%
interna/externa
Compliment de requisits regulatoris/legals 10,7% 20,6% 16,3% 26,6% 25,8%

Alinear-se amb els principals estàndards de l'industria

17,4% 23,1% 15,5% 26,3% 17,8%
de seguretat
Anteriors interrupcions en las operacions de negoci 26,8% 16,2% 19,9% 22,2% 14,8%

En resposta a possibles pandèmies (Grip A) 57,7% 28,9% 3,5% 8,9%

1,0%

Altres 2,6% 23,3% 2,4%11,8% 59,9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

(1) gens important (2) Poc important (3) Important (4) Bastant Important (5) Molt important

Base: PYME que disposen de estratègia (n=199) Font: INTECO

Quins motius indueixen a les PYME a no disposar de mesures de continuïtat de

negoci?

L’anàlisi dels motius pels que les PYME asseguren no disposar de mesures de continuïtat
de negoci permet extreure algunes conclusions (veure Gràfic 10):

• Aproximadament la meitat de les petites i microempreses espanyoles no disposa de la

sensibilització necessària per considerar la criticitat de que les seves companyies
disposis de mesures de resposta davant de situacions de contingència greu. Sota el
seu judici aquestes situacions tenen una probabilitat tan baixa d’ocurrència que no
compensa invertir en aquestes mesures i prefereixen assumir el risc (19,1%). Un altre
14,2%, indica que es una despesa innecessària tenint en compte el cost de la seva
implantació.

En definitiva, tenen una percepció errònia dels riscos/amenaces que poden estar
patint i de que la probabilitat de que succeeixi una contingència que, de no ser
solucionada a temps, pot convertir-se en greu.

• Falta de fons i recursos pressupostaris per cobrir les mesures necessàries (15,1%).

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 14 de 21
Observatori de la Seguretat de la Informació
 Gràfic 10: Raons per les quals les empreses no implanten plans de continuïtat

Considero molt reduïda la possibilitat de que

19,1%
esdevingui una crisis/desastre
No disposo de personal capacitat ni del temps
16,7%
necessari
Pressupost insuficient 15,1%

Es una despesa innecessària tenint en compte el cost

14,2%
de l'implantació
Tinc altres debilitats de seguretat que son més
7,7%
prioritàries
Falta de recolzament per part de la empresa (Del negoci,
1,2%
de la direcció o dels propis treballadors)
Falta de recolzament per part de las línies de negoci 0,2%

Falta de visibilitat i lideratge dins de la organització 0,1%

Altres 10,0%

NS/NC 12,5%

0% 20% 40% 60% 80% 100%

Base: PYME que no disposen de estratègia (n=201) Font: INTECO

Quina demanda de assessorament extern hi ha en quant al desenvolupament de

estratègies de continuïtat de negoci?

Derivat de l’estudi, s’ha de tenir en compte que la major part de les empreses participants
no disposen dels coneixements característiques, així com la objectivitat i independència
per identificar els recursos i processos crítics de la companyia.

D’aquesta manera, gairebé la meitat de las PYME (el 44,4%) que han empres programes
de negoci han necessitat de assessorament extern (veure Gràfic 11).

Per altre banda, el 49,2% disposa dels seus propis mitjans tècnics, de coneixement, etc.,
para poder abordar amb èxit las accions de resposta a aplicar davant una interrupció del
servei.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 15 de 21
Observatori de la Seguretat de la Informació
 Gràfic 11: Empresas que han requerit assessorament extern per abordar programes de
continuïtat de negocio (%)

6,4%

44,4%

49,2%

Sí No NS/NC

Base: PYME que disposa de estratègia (n=199) Font: INTECO

2.4 Anàlisis comparatiu de la gestió de la continuïtat de negoci en la empresa

espanyola segons la seva mida

Davant de la situació de la PYME, les grans empreses espanyoles disposen de més

mitjans, recursos i sobre tot major nivell conscienciació per acabar imposant-se la idea de
que adoptar plans de continuïtat de negoci es crític per una organització.

De fet, tal i com es pot veure en el Gràfic 12, el 81,1% de las grans empreses han adoptat
plans de continuïtat de negoci (davant el 38,4% de las PYME que han desenvolupat
alguna iniciativa en aquest sentit). A més, la majoria de les grans empreses disposen de
més personal per portar a terme aquest tipo de gestió. Personal que en la majoria dels
casos, dedica la totalitat de la seva jornada laboral.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 16 de 21
Observatori de la Seguretat de la Informació
 Gràfic 12: Comparativa del grau de implantació de Plans de Continuïtat de Negocio

100%

81,1%
80%

60% 57,3%

38,4%
40%

18,9%
20%

4,3%
0,0%
0%
Sí No NS/NC

PYME Gran Empresa

Base: Total PYME (n=400) i gran empresa (n=253) Font: INTECO

La situació de la PYME es dràsticament diferent ja que té que centrar-se en la producció

del dia a dia i, simplement la tasca de mantenir “flotant” la seva activitat de negoci i
sobreviure en el mon empresarial, es converteix en el seu principal objectiu. Aquesta
prioritat en els objectius provoca que altres aspectes importants com la gestió de la
continuïtat quedin oblidats o al menys, en un segon pla.

2.5 Millors pràctiques de continuïtat de negoci

Una part del present estudi s’ha volgut enfocar cap aquelles PYME que actualment
conten amb algun tipo d’estratègia o pla de continuïtat exitosament definit. A les 29
organitzacions escollides com a base mostral en aquest apartat se’ls hi ha consultat
sobre factors clau o bones pràctiques que han tingut que desenvolupar per aconseguir
una implantació eficaç de les seves mesures i, addicionalment associat a la seva
implantació.

En la línia de lo estipulat en els principals estàndards en la matèria, las PYME

coincideixen en que les següents son bones pràctiques de actuació que facilitaran el
desenvolupament de las mesures de continuïtat tant des de un punt de vista estratègic
com tàctic o operatiu:

• Disposar del recolzament i compromís de la direcció.

• Analitzar a priori els riscos als que està sotmesa l’entitat.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 17 de 21
Observatori de la Seguretat de la Informació
• Definir els sistemes i aplicacions crítics dins de l’abast.

• Recórrer a assessorament extern.

• Adquirir el Software y Hardware adequats.

• Avaluar periòdicament l’eficàcia i el rendiment de les mesures implementades.

Segons declaracions de las pròpies organitzacions, l’adopció de les bones pràctiques

comentades facilita implantar eficaçment una política de continuïtat i, conseqüentment,
obtenir beneficis tals com reduir els temps de resposta davant situacions de crisis o
controlar els possibles impactes financers i operatius.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 18 de 21
Observatori de la Seguretat de la Informació
CONCLUSIONS Y RECOMENACIONS

Existeix un desconeixement general entre PYME espanyola sobre la multitud de riscos

als que es troba exposada, la seva probabilitat de ocurrència i la conseqüència que
aquests poden arribar a provocar.

Aquesta percepció errònia dels riscos provoca que les empreses optin per assumir-los
inconscientment i que la seva posició sigui majoritàriament reactiva, es a dir, només quan
pateixen incidents de seguretat greus es quan es desperta el seu interès i la seva
predisposició a reforçar la resistència de les seves operacions.

Davant d’aquests resultats, els plans de continuïtat de negoci s’evidencien com una
necessitat per mitigar els impactes que tenen o poden tenir interrupcions greus en la
operativa de negoci.

La adopció d’aquestes mesures xoca de ple amb tres barreres principals:

• Esforços centrats en la gestió del dia a dia fan evidenciar falta de recursos.

• Els resultats de la equació Cost / Benefici “aparentment” no son favorables per

l’empresari. La percepció errònia de “mai passa res” implica pensar que la continuïtat
es una despesa innecessària.

• La falta de coneixements i necessitat de comptar amb especialistes extern que

assessorin en la implantació de mesures repercuteix en un increment dels costos.

Es necessita per tant un impuls específic, en la posada en marxa de serveis de

recolzament per la implantació de Plans de Continuïtat de Negoci en las PYME com
poden ser:

• Formació orientada a despertar l’interès i la preocupació en las PYME, així com el

coneixement dels riscos als que s’ha d’enfrontar.

• Oferta adequada a la PYME de serveis que permetin cobrir tots els àmbits de actuació
del BCP (Tecnològics, Operacionals, Serveis de gestió, Financers, Legals, Logístics,
etc.).

• Una major conscienciació i eines eficaces que permetin a la PYME refer el càlcul de la
equació de Cost / Benefici per prioritzar millor els recursos dels que disposa i valorar
les inversions.

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 19 de 21
Observatori de la Seguretat de la Informació
INDEX DE GRÀFICS

Gràfic 1: Incidents de seguretat petits per las PYME en els últims 3 mesos ....................... 6

Gràfic 2: Causes dels incidents de seguretat (%)................................................................ 7

Gràfic 3: Mesures de seguretat destinades a assegurar la continuïtat de les seves

operacions ...........................................................................................................................8

Gràfic 4: Empresas que exigeixen algun tipo de requisit/certificació/mesura/pla que

asseguri la continuïtat dels serveis dels seus proveïdors en cas de desastre .................... 9

Gràfic 5: Empresas que realitzen algun tipo de acció orientada a fer front a riscos de
continuïtat (%)....................................................................................................................10

Gràfic 6: Temps màxim permès de interrupció de las activitats de negoci de las PYMET 11

Gràfic 7: Empresas familiaritzades amb conceptes de continuïtat de negoci (%) ............. 12

Gràfic 8: Empresas que compten amb alguna estratègia de continuïtat de negoci (%) .... 13

Gràfic 9: Principals estímuls per implantar plans de continuïtat de negoci ....................... 14

Gràfic 10: Raons per les quals les empreses no implanten plans de continuïtat .............. 15

Gràfic 11: Empresas que han requerit assessorament extern per abordar programes de
continuïtat de negocio (%) ................................................................................................. 16

Gràfic 12: Comparativa del grau de implantació de Plans de Continuïtat de Negocio ...... 17

La PYME espanyola davant dels riscos i la implantació de Plans de Continuïtat de Negoci Pàgina 20 de 21
Observatori de la Seguretat de la Informació
 www.inteco.es
www.deloitte.es
http://observatorio.inteco.es