Professional Documents
Culture Documents
El “Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de
Continuidad de Negocio” ha sido elaborado por el siguiente equipo de trabajo del Observatorio de
la Seguridad de la Información de INTECO:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar
La PYME información
española sobre
ante los la construcción
riesgos de documentos
y la implantación PDF
de Planes de accesiblesdepuede
Continuidad consultar la guía disponible
Negocio en121
Página 2 de la
sección Accesibilidad
Observatorio > Formación
de la Seguridad de >laManuales y Guías de la página http://www.inteco.es
Información
ÍNDICE
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción
de Planes de Continuidad de Negocio...........................................................................13
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 3 de 121
Observatorio de la Seguridad de la Información
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y
consejos acerca del diseño y puesta en marcha de un plan de continuidad de
negocio .......................................................................................................................28
3.1 Percepción de las incidencias de seguridad por parte de las empresas ...........31
5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia,
plan o procedimiento que les permita recuperar su actividad ante un desastre ............58
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 4 de 121
Observatorio de la Seguridad de la Información
7.2.3 Desde un punto de vista técnico/operativo ....................................................89
8 CONCLUSIONES.......................................................................................................97
8.1.4 Oportunidades..............................................................................................104
9 RECOMENDACIONES ............................................................................................106
ÍNDICE DE GRÁFICOS...................................................................................................116
ÍNDICE DE TABLAS........................................................................................................120
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 5 de 121
Observatorio de la Seguridad de la Información
PUNTOS CLAVE
Tal y como se indica en el informe 1 publicado por INTECO bajo el título “Estudio sobre la
seguridad y la e-confianza de las pequeñas y microempresas españolas”, el 34,3% de las
PYME españolas muestran interés en seguir planes o estrategias de seguridad de la
información. E incluso puede parecer a primera vista que existe un nivel de protección
adecuado. Sin embargo, y tomando en perspectiva los resultados del presente estudio,
las PYME reconocen no conocer los posibles riesgos que inherentes o no a su actividad
1
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre
sas
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 6 de 121
Observatorio de la Seguridad de la Información
cotidiana pueden llegar a sufrir optando en dichos casos por soluciones que cubren solo
parte de la problemática.
En esta situación se encuentra o pueden encontrar según los datos obtenidos en la fase
de trabajo de campo, un 35,2% de las PYME que afirman haber sufrido algún incidente
de seguridad en los últimos 3 meses.
Por otro lado, el estudio muestra que aún adoptando el 71,2% de las empresas procesos
de gestión de riesgos (bien sea esporádica o periódicamente), no son realmente
conscientes del alcance completo de la gestión de la continuidad, hecho que deriva en
que el enfoque de las medidas que implementan sea limitado y no siempre el correcto.
Según reconocen las propias PYME, la mayor parte de sus inversiones son destinadas a
disponer de cortafuegos, antivirus, antispam y copias de seguridad; medidas que sólo
mitigan una pequeña parte de los riesgos, dejando de lado otros aspectos como pueden
ser, por ejemplo, la seguridad física o la continuidad de servicios prestados por
proveedores.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 7 de 121
Observatorio de la Seguridad de la Información
• Pese a que un 33% de las PYME afirma estar familiarizada con los conceptos de
continuidad de negocio, de ellas el 21,7% conoce realmente la diferencia entre los
términos de Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres.
En el presente estudio, se concluye que el 38,4 % de las PYME afirma contar con algún
tipo de estrategia enfocada a garantizar la continuidad de su negocio en caso de una
incidencia o desastre. Dentro de este colectivo, se incluyen tanto aquellas entidades que
han definido estrategias para la continuidad de sus operaciones (16,7%) como aquellas
que cuentan con procedimientos que garanticen exclusivamente su recuperación a nivel
tecnológico (21,7%).
Estos datos que diferencian la situación entre pequeña y gran empresa en aspectos de
continuidad de negocio difieren con la percepción de los encuestados, ya que el 85,3%
de los mismos afirma que el hecho de garantizar la continuidad de las operaciones es
2
Business Continuity Institute (2005): Business Continuity Research. Disponible en:
http://www.thebci.org/BCIResearchReport.pdf
AT&T (2008): Business Continuity Study Results Disponible en:
http://www.att.com/Common/merger/files/pdf/business_continuity_08/Business_Continuity_Study_Results.pdf
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 8 de 121
Observatorio de la Seguridad de la Información
igual de crítico tanto en pequeñas como en grandes empresas, por lo que, con
independencia del tamaño, toda organización debe adoptar tales estrategias.
Los motivos por los cuales, pese a la afirmación anterior, las empresas carecen de un
plan formal, son variados y vienen derivados, en gran medida, por dificultades o barreras
a la hora de afrontar el desarrollo e implantación de la estrategia. La reducida
probabilidad con la que contemplan la ocurrencia de crisis o desastres o la falta de
tiempo, recursos y/o presupuesto son algunas de las barreras denunciadas por las PYME
en este sentido. Del mismo modo, el desconocimiento y la falta de experiencia en la
materia provocan que un gran porcentaje de las entidades que adoptan medidas de
continuidad decidan acudir al soporte y apoyo externo en alguna de las fases de
desarrollo del plan (42,4%).
Por otro lado, igual de importante es conocer los estímulos que han potenciado una
implicación de las organizaciones en materia de continuidad. Aunque garantizar la
disponibilidad de las operaciones de negocio figura como uno de los principales objetivos
perseguidos con el desarrollo de planes de continuidad, paulatinamente se aprecia un
mayor peso de argumentos estratégicos como “Mejorar la reputación e imagen pública de
la empresa” o “Adquirir ventajas competitivas”.
Para conseguir tales fines, es fundamental que las PYME afronten ciertas fases del
desarrollo del plan con la actitud correcta. Establecer el alcance de la estrategia desde un
principio, asignar los recursos necesarios que permitan su puesta en marcha o evaluar
periódicamente la eficacia y rendimiento del plan son acciones críticas, cuya mala o
buena planificación repercutirá en el éxito/fracaso del plan definido.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 9 de 121
Observatorio de la Seguridad de la Información
De hecho, el 81,1% de las grandes empresas han adoptado planes de continuidad de
negocio (frente al 38,4% de las PYME que han desarrollado alguna iniciativa en este
sentido). Además, la mayoría de las grandes empresas disponen de más personal para
llevar a cabo este tipo de gestión. Personal que, en la mayoría de las ocasiones, dedica
la totalidad de su jornada laboral.
Una parte del presente estudio se ha querido enfocar hacia aquellas PYME que
actualmente cuentan con algún tipo de estrategia o plan de continuidad exitosamente
definido. A las 29 organizaciones elegidas como base muestral en este apartado, se les
ha consultado sobre los factores clave o buenas prácticas que han debido desarrollar
para lograr la implantación eficaz de sus medidas y, adicionalmente, los beneficios
asociados a su implantación.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 10 de 121
Observatorio de la Seguridad de la Información
1 INTRODUCCIÓN Y OBJETIVOS
1.1 Presentación
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYME, a las
Administraciones Públicas y al sector de las tecnologías de la información, a través del
desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la
Sociedad de la Información en nuestro país, promoviendo además una línea de
participación internacional.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 11 de 121
Observatorio de la Seguridad de la Información
que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de
la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad
orientados a garantizar el derecho de ciudadanos y empresas a relacionarse
electrónicamente con las AA.PP.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 12 de 121
Observatorio de la Seguridad de la Información
• Generación de una base de datos que permita el análisis y evaluación de la seguridad
y la confianza con una perspectiva temporal.
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y
adopción de Planes de Continuidad de Negocio
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 13 de 121
Observatorio de la Seguridad de la Información
Todos estos condicionantes suponen que en la actualidad las empresas y por ende las
PYME se enfrenten a múltiples desafíos que pueden llegar a suponer un reto en materia
de gestión de la seguridad de la información y en las operaciones o actividades que
llevan a cabo de forma continuada y sin aparentes interrupciones. Uno de ellos consiste
en diseñar y/o elaborar planes asociados a las tecnologías y a los procesos necesarios
para recuperar, a la mayor brevedad posible, las operaciones críticas para garantizar la
continuidad del negocio en el caso de que se produzca un desastre.
Son múltiples los motivos que conducen a las empresas a considerar la gestión de los
citados planes: requerimientos regulatorios o de los propios socios y/o clientes,
estrategias para aumentar la competitividad y la rentabilidad, la dependencia de las
actividades de negocio en las TIC, etc.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 14 de 121
Observatorio de la Seguridad de la Información
planteadas ante dichos incidentes que sean constitutivas de llegar a ser implantadas
a modo de respuesta.
• Comparar los citados niveles con los reportados a nivel internacional, mediante la
consulta y el análisis de las principales conclusiones expuestas en diferentes informes
publicados.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 15 de 121
Observatorio de la Seguridad de la Información
• Para aquellas organizaciones que sí se han iniciado en la gestión de la continuidad de
sus operaciones, conocer los principales obstáculos afrontados, las razones que han
motivado tal implantación, los beneficios que les ha supuesto, los recursos empleados
e incluso si han tenido la necesidad de recurrir a algún tipo de asesoramiento externo.
• Evaluar cualitativamente las tendencias de las empresas en relación con los gastos
destinados a la continuidad de sus operaciones.
• Conocer las principales razones por las que las PYME no tiene previsto invertir en
ninguna medida destinada a facilitar la recuperación en el menor tiempo posible de
las actividades interrumpidas motivadas por el hecho de haber sufrido una
contingencia grave.
• Contrastar con las organizaciones las medidas impulsoras más adecuadas para
difundir la importancia de estar preparados ante cualquier tipo de amenaza.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 16 de 121
Observatorio de la Seguridad de la Información
2 DISEÑO METODOLÓGICO
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 17 de 121
Observatorio de la Seguridad de la Información
dirigidas tanto a las empresas (en relación a los servicios que demanda y necesita), como
a los proveedores y a las Administraciones Públicas.
El universo objeto del estudio está constituido por toda empresa española, con al menos
un ordenador conectado a Internet, estratificada en base al número de empleados y al
sector de actividad. Respecto al primero de ellos, se contemplan las organizaciones de
hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados y
sin asalariados) y las pequeñas empresas (10-49 asalariados). Dado el escaso peso
numérico que tienen las empresas de más de 50 empleados dentro del tejido empresarial
se han excluido del presente estudio.
Las diversas fuentes consultadas confirman que existen altos grados de penetración de
las tecnologías de la información en las empresas. Así por ejemplo, en el informe
elaborado conjuntamente por AETIC (Asociación de Empresas de Electrónica,
Tecnologías de la Información y Telecomunicaciones de España), Red.es y Everis
titulado Las tecnologías de la Información y las Comunicaciones en la empresa española
2009 4 , muestra que, en ese año, el porcentaje de empresas que disponían de ordenador
se situaba en el 90,6%.
3
Actualmente según datos del Instituto Nacional de Estadística publicados el 10 de agosto de 2009 que se recogen en el
Directorio Central de Empresas (DIRCE) el número de empresas es 3.327.708
4
AETIC, Red.es y Everis (2009): Las tecnologías de la Información y las Comunicaciones en la empresa española. En el
estudio participaron 4.922 sociedades inscritas en el Registro Mercantil, con al menos un empleado. Disponible en:
http://www.aetic.es/CLI_AETIC/ftpportalweb/documentos/Las%20Tecnolog%C3%ADas%20de%20la%20Informaci%C3%B
3n%20y%20las%20Comunicaciones%20en%20la%20empresa%20espa%C3%B1ola%202009.pdf
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 18 de 121
Observatorio de la Seguridad de la Información
en el presente estudio tienen conectados sus ordenadores a través de una red de área
local o Local Area Network (LAN). Atendiendo a los sistemas de gestión informatizados,
las aplicaciones ofimáticas (procesadores de texto, hojas de cálculo, gestores de bases
de datos, etc.) siguen siendo las más utilizadas (74,1%) seguidas de otras aplicaciones
de negocio estándar o desarrolladas a medida (sistemas de gestión de relaciones con el
cliente, sistemas de planificación y gestión de recursos de la empresa, etc.), con una
penetración del 61,7%.
PDA/Blackberry 32,6%
De forma más concluyente, del gráfico anterior se puede deducir que prácticamente la
totalidad de las PYME españolas usa Internet (86,5%) y ordenadores de sobremesa
(90,3%). Por tanto este estudio reafirma que independientemente del sector y del tamaño,
existe una gran dependencia de las TIC en la operativa diaria del negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 19 de 121
Observatorio de la Seguridad de la Información
Gráfico 2: Uso de las tecnologías de la información en las pequeñas y microempresas (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Menos del 30% Entre el 30 y el 50% Entre el 50 y el 80% Más del 80%
Finalmente, existen al menos tres motivos que justifican que este estudio se haya
centrado en las PYME españolas:
5
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre
sas
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 20 de 121
Observatorio de la Seguridad de la Información
negocio. De hecho, un estudio 6 realizado por Acronis en colaboración con la empresa
de investigación Vanson Bourne revela que el 63% de las empresas tardan un día o
más en recuperarse de un período de inactividad del sistema.
• Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y consejos
acerca del diseño y puesta en marcha de un plan de continuidad de negocio.
Para la consecución del citado objetivo se han inventariado las fuentes de información
que potencialmente disponen y publican estudios, informes y/o trabajos relacionados con
los riesgos e incidentes de seguridad que impactan (desde el punto de vista legal,
operativo, económico o en la propia imagen y reputación de la empresa) total o
parcialmente en las operaciones de negocio de las pequeñas y microempresas.
Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes
que contienen información actual y útil para realizar el presente estudio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 21 de 121
Observatorio de la Seguridad de la Información
en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados
desde el punto de vista objeto del presente estudio (principalmente entidades de
certificación del Reino Unido).
Todos los informes consultados en el presente estudio son propiedad de las siguientes
entidades:
• CA Technologies. • Symantec.
• Deloitte.
• Forrester Research.
• Gartner.
• IBM.
• IDC.
• INTECO.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 22 de 121
Observatorio de la Seguridad de la Información
2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad
de negocio
Para poder profundizar en el estudio del grado de percepción, concienciación e
implementación efectiva de medidas que faciliten la continuidad de las operaciones en el
caso de producirse contingencias en las PYME españolas, ha resultado necesario
combinar técnicas de investigación tanto cuantitativas o cualitativas. De esta forma se
han establecido dos tipos distintos pero complementarios de investigación:
7
Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas 2008 –
2009. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02/a2008-2009&file=pcaxis
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 23 de 121
Observatorio de la Seguridad de la Información
• Selección de las unidades muestrales participantes, las PYME, de forma aleatoria
partiendo de diferentes bases de datos externas (SABI 8 ) e internas (relación de
empresas participantes en estudios semejantes), así como otro tipo de contactos
profesionales.
• Entrevista telefónica asistida por ordenador –sistema CATI– para la presentación del
estudio y la solicitud de colaboración y participación.
Muestra
8
SABI: herramienta de Análisis de Balances Ibéricos del mercado propiedad de Informa D&B. Es una base de datos de
análisis financieros de empresas españolas y portuguesas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 24 de 121
Observatorio de la Seguridad de la Información
Tabla 1: Distribución de la muestra del estudio en función de su actividad (CNAE-2009) y su
tamaño (número de empleados)
Menos de
10-49
Grupos de sectores de actividad Total 10
empleados
empleados
Industria Manufacturera + Industria Extractiva +
32 9 23
Suministros + Agricultura, Ganadería, Pesca
Construcción 49 11 38
Comercio + Hostelería + Reparaciones + Servicios
125 30 95
Personales
Transporte y Almacenamiento 31 8 23
Tecnología de la Información y Comunicación 32 8 24
Actividades Financieras y Seguros + Actividades
30 8 22
Inmobiliarias
Actividades Profesionales, Científicas y Técnicas 59 15 44
Educación, Actividades Sanitarias y de Servicios Sociales 29 7 22
Otros sectores 13 4 9
TOTAL 400 100 300
Fuente: INTECO
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 25 de 121
Observatorio de la Seguridad de la Información
Tabla 3: Distribución de la muestra del Barómetro de Empresas en función del número de
empleados (%)
Error muestral
El margen de error para este conjunto de empresas es del ± 4,99%, lo que le confiere la
suficiente representatividad para poder extraer conclusiones a nivel nacional y por
tamaño de la empresa (donde los errores muestrales son, para los mismos niveles de
significatividad y de confianza, de un ± 9,9% para una muestra de 100 entidades de
menos de 10 trabajadores y de un ± 5,8% sobre una muestra de 300 empresas de entre
10 y 49 empleados).
Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 26 de 121
Observatorio de la Seguridad de la Información
españolas, a la industria de seguridad de la información y a las Administraciones
Públicas.
Para realizar los análisis comparativos a nivel europeo e internacional sobre los
diferentes niveles de implantación y madurez de los planes de continuidad de negocio de
las pequeñas y microempresas españolas se han utilizado las siguientes fuentes:
• El informe The State of SMB 10 IT Security: 2008 to 2009 elaborado por Forrester
Research 11 en el año 2008 y con la participación de 1.206 pequeñas y medianas
empresas de Norteamérica (67%) y Europa (33%, sin incluir sociedades españolas).
El 14% de las empresas participantes disponen de 2 a 5 empleados, el 31% tienen de
6 a 99 empleados, el 34% de 100 a 499 y el 21% restante de 500 a 999 empleados.
• El informe 2009 Disaster Recovery & Business Continuity Survey desarrollado por
Agility Recovery Solutions 12 , en el que colaboran 700 SMBs en Norteamérica (EEUU
y Canadá). El 76% de las participantes tienen menos de 100 empleados.
9
Chartered Management Institute (2009): A decade of Living Dangerously. Disponible en:
http://www.managers.org.uk/research-analysis/research/current-research/decade-living-dangerously-business-continuity-
management.
El estudio Disruption & Resilience está disponible en: http://www.managers.org.uk/research-analysis/research/current-
research/BCM2010
10
SMB: siglas referidas a los términos en inglés Small and Medium Business. Análogo a la pequeña y medida empresa
(PYME) en España.
11
Forrester Research (2009): The State of SMB IT Security: 2008 to 2009. Disponible previo registro en:
http://www.forrester.com/rb/Research/state_of_enterprise_it_security_2008_to/q/id/47857/t/2
12
Agility Recovery Solutions (2009): 2009 Disaster Recovery & Business Continuity Survey. Disponible en:
http://www2.agilityrecovery.com/assets/survey/survey_results_2009_complete.pdf
13
Forrester Research (2009): Business Take BC Planning More Seriously. Disponible previo registro en:
http://www.forrester.com/rb/Research/businesses_take_bc_planning_more_seriously/q/id/47924/t/2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 27 de 121
Observatorio de la Seguridad de la Información
• La publicación de Forrester Research denominada CISOs 14 Must Take The Lead On
Business Resiliency 15 y que cuenta con la participación de SMBs de Norteamérica y
Europa.
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y
consejos acerca del diseño y puesta en marcha de un plan de continuidad de
negocio
En paralelo a la realización del estudio sobre planes de continuidad de negocio en
pequeñas y microempresas españolas, y aprovechando los resultados del mismo, se
elabora una guía con la intención de identificar y explicar de forma desglosada las
actividades y los requerimientos necesarios para diseñar, implantar y mantener un Plan
de Continuidad de Negocio.
14
CISO: siglas en inglés que hacen mención a Chief Information Security Officer. En España se utiliza el término
equivalente de “Responsable de Seguridad de la Información”
15
Forrester Research (2008): CISOs Must Take The Lead On Business Resiliency. Disponible previo registro en:
http://www.forrester.com/rb/Research/cisos_must_take_lead_on_business_resiliency/q/id/46137/t/2
16
Op. cit. 2
17
Deloitte (2005): The 2005 Business Continuity Survey.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 28 de 121
Observatorio de la Seguridad de la Información
3 ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME
ESPAÑOLA DESDE EL PUNTO DE VISTA DE LA
CONTINUIDAD DE NEGOCIO
Son múltiples las amenazas y los riesgos que una empresa debe afrontar y es cierto que
no es posible poseer el mismo nivel de preparación frente a todos ellos. No todos los
riesgos impactan sobre la disponibilidad de las actividades, sino que, como bien es
conocido, desde el punto de vista de la seguridad de la información, la confidencialidad y
la integridad de la misma también son aspectos amenazados.
Por otro lado, la entrega de un producto y/o servicio está supeditada al desarrollo de
diferentes actividades que en muchas ocasiones pueden estar subcontratadas
(realizadas por terceros). De esta forma, la garantía en la citada entrega no solo depende
de las tareas abordadas internamente, sino también de las realizadas por entidades
externas. Por tanto, la disponibilidad y funcionamiento ininterrumpido de un servicio
puede estar condicionada a las capacidades de respuesta de dicho proveedor, al cual se
le debiera exigir requerimientos o garantías de continuidad. En este estudio también se
analiza el grado de implantación de esta práctica.
Respecto a éste, el 58% de las entidades afirman que, para el presente año (2010), la
inversión en productos o servicios de seguridad oscila entre 0 y 3.000 € (ver Gráfico 3).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 29 de 121
Observatorio de la Seguridad de la Información
Gráfico 3: Distribución de las inversiones en seguridad en el año 2010 (%)
De 0 a 3.000 € 58,0%
NS/NC 26,4%
Tamaño
De 0 a De 3.001 a De 6.001 a De 18.001 De 24.001 Más de
(número de NS/NC
3.000 € 6.000 € 18.000 € a 24.000 € a 50.000 € 50.000 €
empleados)
Menos de
10 61,4% 5,9% 5,0% 1,0% 1,0% 1,0% 24,8%
empleados
De 10 a 49
36,8% 10,5% 10,5% 0,0% 0,0% 5,3% 36,8%
empleados
TOTAL 57,5% 6,7% 5,8% 0,8% 0,8% 1,7% 26,7%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 30 de 121
Observatorio de la Seguridad de la Información
50.000 €. Para este mismo rango económico, el porcentaje se reduce al 12,9% de las
empresas con menos de 10 empleados.
El presente estudio confirma lo que INTECO viene anunciando en varios de sus estudios
y es que las PYME españolas perciben que se encuentran expuestas a padecer
incidentes de seguridad de índole muy variada, aunque entre ellos siempre figuran los
que tienen que ver con la seguridad de la información. Entre los sucedidos en los últimos
3 meses se pueden destacar (ver Gráfico 4):
El bajo porcentaje de ocurrencia de estos sucesos (el 56,7% afirman no haber sufrido
ningún incidente de seguridad en los últimos 3 meses) parece deberse, no obstante, al
corto periodo temporal abarcado y al hecho de haber considerado únicamente aquellas
incidencias que afectan a la disponibilidad de las actividades y/o recursos críticos. Aún
así, si se observa la totalidad de los diferentes incidentes de seguridad que de una u otra
forma impactaron en la continuidad de las operaciones, se puede establecer como
probable que las compañías puedan sufrir interrupciones.
18
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 31 de 121
Observatorio de la Seguridad de la Información
Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses
Otros 2,0%
NS/NC 8,1%
En concordancia con este análisis, el ya citado estudio realizado por Agility Recovery
Solutions en el 2009 sobre 700 pequeñas y medianas empresas de Norteamérica
(Disaster Recovery & Business Continuity Survey) viene a corroborar la facilidad con las
que las entidades pueden sufrir paradas en sus operaciones. En concreto, en los 2 años
anteriores a la realización del estudio, el 52% de las organizaciones consultadas sufrió
una interrupción de sus procesos de negocio que impactó en la productividad. Incluso el
81% de dichas interrupciones supuso el cierre temporal del negocio durante al menos un
día.
Siguiendo con el gráfico anterior, el porcentaje restante correspondiente con las que sí
han padecido incidentes que han supuesto la parada de sus actividades de negocio
(35,2%), dificulta el concluir acerca de un perfil de incidencia acotado, definido y
característico de incidente “tipo” de seguridad que desemboque en interrupciones de los
procesos de negocio. Quizás es posible destacar a nivel genérico la indisponibilidad de
sistemas de soporte, aplicaciones o del propio servicio del proveedor. Este hecho
refuerza la idea de que nunca se sabe que evento puede padecer una organización
provocando la paralización de sus actividades, ya que estos dependerán en gran
medida de cada casuística concreta.
A la hora de identificar las principales causas que han podido desencadenar estos
incidentes de seguridad (ver Gráfico 5), y a pesar que las respuestas son variadas,
existen tres motivos (el desconocimiento de la amenaza con un 6,9%, la mala u obsoleta
configuración de los sistemas -6,8%- y la escasa eficacia de las herramientas de
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 32 de 121
Observatorio de la Seguridad de la Información
prevención asociadas con un 3,1%) que refuerzan la idea de que las PYME pueden no
ser conscientes de los riesgos a los que se enfrentan y consecuentemente las medidas
adoptadas para hacer frente a los mismos no son eficaces porque realmente no conocen
ni priorizan las amenazas a las que deben hacer frente:
Otras 10,9%
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
El análisis más en detalle de otras causas indicadas por los participantes (10,9% - Gráfico
5) desvela que en su mayor parte las empresas que contestaron dicha opción aplican la
responsabilidad a un fallo en el servicio por parte de los proveedores (61,1% - Gráfico 6)
que de una forma u otra contribuyen a mantener activas las actividades de negocio (ver
Gráfico 6):
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 33 de 121
Observatorio de la Seguridad de la Información
Gráfico 6: Causas de los incidentes de seguridad (II) (%)
NS/NC 0,5%
Base: PYME que han sufrido otro tipo de incidente de seguridad (n=54) Fuente: INTECO
Para aquellas compañías que han soportado un incidente de seguridad en los últimos 3
meses, el 36,7% han tenido consecuentemente pérdidas económicas, tal y como se
muestra en el Gráfico 7, si bien el 20,4% no han podido estimar cuantitativamente dichas
pérdidas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 34 de 121
Observatorio de la Seguridad de la Información
Gráfico 7: Distribución de empresas con pérdidas económicas derivadas de incidentes de
seguridad
No se han sufrido
63,4%
pérdidas económicas
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
Para el porcentaje de empresas participantes que han sufrido algún suceso de seguridad
en los últimos 3 meses y ha tenido la capacidad de calcular el daño económico asociado
(16,3%), se hace necesario resaltar que las pérdidas económicas por experimentar la
caída de sus sistemas de soporte (climatización, líneas de comunicación) han superado
los 15.000 € en una de cada cuatro PYME. En cambio el 69,6% de las empresas cuyos
procesos de negocio se vieron paralizadas por la falta de servicio de sus proveedores
sufrieron pérdidas inferiores a 1.500 € (ver Gráfico 8).
Del Gráfico 4 y del Gráfico 8 es posible extraer una lectura adicional que coincide a la
hora de poner en práctica cualquier método de análisis de riesgos de seguridad (por
ejemplo, Magerit 19 u Octave 20 ): los incidentes de seguridad relacionados con incendios,
terremotos e inundaciones, si bien tienen gran difusión mediática y suelen provocar
grandes pérdidas económicas, no son muy frecuentes. En este sentido, tan sólo el 3,6%
de las pequeñas y microempresas participantes han sufrido esta tipología de incidentes y,
en el caso de aquellas entidades que han calculado sus pérdidas financieras, en el 11,2%
de los casos éstas han ascendido a más de 15.000 €.
19
Magerit: Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica.
http://www.csi.map.es/csi/pg5m20.htm
20
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en ingles): es un conjunto de
herramientas, técnicas y métodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la
Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el análisis de riesgos tecnológicos
http://www.cert.org/octave/
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 35 de 121
Observatorio de la Seguridad de la Información
Gráfico 8: Distribución de pérdidas económicas derivadas de los incidentes de seguridad
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
Ante la dificultad identificada de las empresas participantes para calcular las pérdidas
económicas derivadas de los incidentes de seguridad que han impactado en sus
actividades de negocio, en el análisis se contempla la posibilidad de determinar
cualitativamente dicha pérdida (ver Gráfico 9). En un 26,8% de los casos esos daños
fueron valorados como altos o muy altos.
21
Op. cit. 15
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 36 de 121
Observatorio de la Seguridad de la Información
Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes
de seguridad
100%
80%
60%
40%
28,3%
24,8% 23,7%
18,7%
20%
2,5% 2,0%
0%
No sabria Bajo Medio Alto Muy alto NS/NC
valorarlo
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
Como se ha comentado anteriormente, aunque los daños económicos sean los más
visibles a priori, las interrupciones de las actividades de las empresas pueden tener otro
tipo de consecuencias que han sido valoradas en el presente estudio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 37 de 121
Observatorio de la Seguridad de la Información
Gráfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la
propia imagen
1,7%
10,4%
87,9%
Impacto en la operatividad Impacto en la Imagen Impacto legal/contractual
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
En un análisis más detallado (ver Gráfico 11), las incidencias de seguridad que
interrumpen las operaciones de negocio de las empresas y dañan en mayor medida la
imagen de confianza y la reputación de cara al exterior (clientes, accionistas, socios, etc.)
son la caída de las aplicaciones (2,6%) y sistemas de soporte (1,1%) y la falta de servicio
por parte del proveedor/es (1,1%).
Los eventos adversos que más penalizan la operatividad de las compañías son los
relacionados con la ausencia del servicio por parte del proveedor externo (12,8%) y la
interrupción de los sistemas de soporte (8,6%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 38 de 121
Observatorio de la Seguridad de la Información
Gráfico 11: Consecuencias o impactos derivados de los incidentes de seguridad
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
Del análisis del grado de implantación de estas medidas de seguridad en aquellas PYME
que han padecido algún evento de seguridad adverso, se desprenden las siguientes
conclusiones (ver Gráfico 12):
• Más del 62% de las empresas encuestadas poseen sistemas de detección y extinción
de incendios (62,4%).
22
Op. cit 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 39 de 121
Observatorio de la Seguridad de la Información
• El 63,6% de las empresas afirman recurrir a la contratación de un seguros (los cuales
generalmente cubren económicamente las pérdidas generadas por los daños físicos
en las instalaciones y/o equipos) y a la consulta o solicitud de soporte a expertos (en
este caso el 79,2% de las entidades).
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
Un análisis pormenorizado de los motivos por los cuales las compañías no han decido
implantar medidas de seguridad destinadas a la continuidad de sus operaciones tras los
incidentes sufridos muestra que (ver Gráfico 13):
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 40 de 121
Observatorio de la Seguridad de la Información
• Un 22% de las organizaciones considera que se trataba solamente de una incidencia
puntual del proveedor o incluso un incidente ocasional (en el 14,2% de las PYME) y
que por consiguiente puede no volver a producirse.
Estos datos reflejan que, en los casos en los que los incidentes están relacionados con
un servicio proporcionado por un proveedor, con frecuencia, las empresas consideran no
estar en condiciones de exigir a los proveedores responsabilidades por los incidentes
sufridos y/o garantías futuras de cumplimiento de servicio.
Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a
garantizar la continuidad de sus operaciones
NS/NC 10,3%
Base: PYME que no han implantado ninguna medida de seguridad (n=36) Fuente: INTECO
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 41 de 121
Observatorio de la Seguridad de la Información
3.4 Madurez de los procesos de gestión de riesgos que impactan en la
continuidad del negocio
Tal y como se detalla en la Guía práctica para pequeñas y medianas empresas: cómo
implantar un Plan de Continuidad de Negocio desarrollada por INTECO, el proceso de
análisis y gestión de riesgos es fundamental para:
• Identificar y priorizar los riesgos a los que una empresa debe enfrentarse. En términos
de continuidad de negocio, el alcance del citado proceso está compuesto por aquellos
riesgos que pueden paralizar las actividades de negocio de una organización.
• Determinar las medidas de seguridad a implantar que son más adecuadas en función
de los riesgos previamente identificados.
Del análisis inicial de las respuestas obtenidas, se obtiene que un 38,3% de las empresas
participantes mantiene un proceso de gestión abordado de forma periódica para hacer
frente a los riesgos que pueden afectar a la continuidad de sus operaciones, lo que
denota a priori cierto nivel de preocupación y proactividad al respecto (ver Gráfico 14).
Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad (%)
4,6%
16,1%
16,8%
71,2%
24,2%
38,3%
No
NS/NC
Sí, pero solo ocasionalmente y cuando el presupuesto y la carga de trabajo lo permite
Solo en contadas ocasiones
Sí, es un proceso optimizado, gestionado y abordado periódicamente
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 42 de 121
Observatorio de la Seguridad de la Información
Teniendo en cuenta los diferentes sectores de actividad de las PYME participantes en el
estudio (ver Tabla 6), las que presentan grados más avanzados desde el punto de vista
de adopción y realización madura de procesos de gestión de riesgos son las enmarcadas
en actividades profesionales, científicas y técnicas (72,7%) seguidas de las dedicadas a
tecnologías de la información y comunicación (58,3%). Al otro extremo del análisis, las
compañías de la construcción y las del sector de industria manufacturera, extractiva,
suministros y/o agricultura, ganadería y pesca son las más reactivas a la hora de adoptar
tales procesos:
Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos
de continuidad en función de su actividad (%)
Las buenas perspectivas en materia de gestión de riesgos que son posibles extraer a
través de la interpretación del Gráfico 14, son corroboradas por otro tipo de estudios
como el publicado por Forrester Research denominado Business Take BC Planning More
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 43 de 121
Observatorio de la Seguridad de la Información
Seriously 23 . En el mismo se establece en el tiempo una mejora de la percepción que las
empresas tienen de los riesgos: antes, las sociedades centraban sus esfuerzos de
continuidad en tratar con amenazas relacionadas con desastres naturales (ignorando
otros eventos como caídas de la corriente eléctrica, fallos en los sistemas de información
o errores humanos que frecuentemente son las causantes de la interrupción de las
actividades). Hoy en día, las compañías comienzan a asimilar que sus estrategias de
continuidad de negocio deben estar basadas en procesos previos de análisis y gestión de
riesgos.
Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos de
continuidad
Firewall 9,5%
Auditoría/Asesoría/Consultoría 6,1%
NS/NC 11,8%
Base: PYME que han realizado alguna acción orientada a identificar riesgos (n=298) Fuente: INTECO
Obviamente estas medidas están orientadas a hacer frente a los riesgos que pueden
impactar sobre la continuidad de las actividades de las PYME, pero si el proceso se
centra en la tarea previa de identificar y priorizar los mismos en base a su impacto y su
probabilidad de ocurrencia (en definitiva, su criticidad), las iniciativas en este sentido son
mínimas.
23
Op. cit. 13
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 44 de 121
Observatorio de la Seguridad de la Información
De todos modos, aún es preocupante como se muestra en el Gráfico 14 el hecho de que
la otra mitad de las PYME participantes en el estudio mantengan una posición reactiva
para hacer frente a los riesgos. Bien es cierto que, dentro de esa mitad no sólo se
contabilizan aquellas entidades que no realizan ningún tipo de acción preventiva (24,2%),
sino también aquellas que las realizan puntualmente tras los incidentes sufridos (16,8%)
o cuando el presupuesto se lo permite (16,1%).
Entre las principales razones de esta visible falta de proactividad destacan como se
muestra en el Gráfico 16:
Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de riesgos
de continuidad de negocio
NS/NC 0,4%
Base: PYME que no han realizado ninguna acción orientada a identificar riesgos (n=113) Fuente: INTECO
Para fortalecer este tipo de acciones, entidades como ENISA (European Network and
Information Security Agency) iniciaron en el año 2009 un proyecto piloto 24 sobre PYME
españolas con el objetivo de impulsar en las mismas procesos y metodologías de gestión
de riesgos que les permitiesen orientar y asignar correctamente las inversiones de
seguridad.
24
ENISA (2009): Risk Management Pilot for SMEs and Micro Enterprises in Spain. Disponible en
http://www.enisa.europa.eu/act/rm/cr/infosec-smes/files/cs_GMV.pdf
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 45 de 121
Observatorio de la Seguridad de la Información
Paralelamente, se ha tratado de identificar con las PYME participantes en el estudio el
tiempo que como máximo podrían tener interrumpidas sus principales actividades de
negocio a causa de una contingencia o incidente grave (ver Gráfico 17). Esto es, el
tiempo de inactividad máximo que las empresas podrían soportar antes de afrontar un
impacto severo sobre las finanzas, las operaciones o la propia imagen de la compañía.
Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las
PYME
100%
80%
60%
40% 35,8%
22,6%
20% 17,5%
11,7% 12,5%
0%
Inmediatamente Más de 12 horas Más de 24 horas Más de 48 horas Más de 5 días
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 46 de 121
Observatorio de la Seguridad de la Información
Lo mismo sucede con casi la mitad (45,5%) de las PYME pertenecientes al sector de
tecnología de la información y comunicación. Tan solo los sectores de Construcción y
Actividades Financieras pueden llegar a poseer cierto margen de interrupción de su
operativa ya que en cada uno de ellos, casi 1 de cada 2 empresas afirma poder tener
paralizadas sus actividades durante más de 5 días.
Ante esta situación, tal y como se han comentado con anterioridad, cada vez es más
necesario que las organizaciones establezcan una serie de medidas técnicas,
organizativas y procedimentales que garanticen la continuidad de sus actividades o
procesos de negocio ante un incidente grave.
Toda empresa depende de sus recursos, del personal y de las tareas que día a día son
ejecutadas con el fin de mantener los beneficios y la estabilidad. La mayor parte posee
bienes tangibles, empleados, sistemas y tecnologías de la información, etc. En el
momento en que alguno de estos componentes es dañado o deja de estar accesible por
la razón que sea, la organización corre el riesgo de paralizarse.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 47 de 121
Observatorio de la Seguridad de la Información
Del mismo modo, cuanto mayor sea el tiempo de interrupción, mayor será el esfuerzo
requerido para retomar la actividad habitual, existiendo incluso la probabilidad de tener
que comenzar de nuevo desde cero.
Entre los requerimientos o medidas que las empresas pueden establecer con los
proveedores para el control de los servicios prestados se incluyen por ejemplo acuerdos
de nivel de servicio 25 , cláusulas de penalización por incumplimiento de servicios, reportes
periódicos del nivel de servicio del proveedor o incluso requerimientos contractuales de
continuidad.
En este sentido, y derivado también del estudio, no parece que las empresas
participantes sean conscientes de que la disponibilidad de sus operaciones pueda
depender de las garantías de continuidad de sus proveedores. De hecho, como se
muestra en el Gráfico 18, el 72% de las pequeñas y microempresas españolas
entrevistadas no exigen a dichos proveedores ningún tipo de requerimiento, certificación
o medida destinada a garantizar la continuidad de su servicio.
25
Acuerdo de nivel de servicio o Service Level Agreement, también conocido por las siglas ANS o SLA, es un contrato
escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 48 de 121
Observatorio de la Seguridad de la Información
Gráfico 18: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes
que garanticen la continuidad de los servicios de sus proveedores en caso de desastre
9,3%
18,7%
72,0%
Sí No NS/NC
Del 18,7% que sí demandan aspectos de continuidad de negocio a sus proveedores, los
más característicos son:
• Servicio 24x7 (24 horas al día los 7 días de la semana) establecido contractualmente
con los proveedores de los servicios más críticos o tiempos de respuesta inmediatos
(14,3%).
A nivel del grupo de actividad de las empresas participantes en el estudio, y tal y como se
muestra en la Tabla 8, los sectores de actividad que con más frecuencia demandan a sus
proveedores este tipo de requerimientos de continuidad son los relativos a transporte y
almacenamiento (37,5%) y al de construcción y tecnologías de la información y
comunicación (ambos últimos con un 25%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 49 de 121
Observatorio de la Seguridad de la Información
Tabla 8: Sectores de actividad que exigen algún tipo de requerimiento / certificación /
medidas / planes que garanticen la continuidad de los servicios de sus proveedores en
caso de desastre (%)
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 50 de 121
Observatorio de la Seguridad de la Información
4 CULTURA Y CONOCIMIENTO DE LA PYME
ESPAÑOLA EN MATERIA DE CONTINUIDAD DE
NEGOCIO
La parte del estudio que concluye el nivel de cultura y conocimiento de las PYME
españolas en materia de continuidad de negocio es quizás la que despierta mayor
inquietud (aparte de ser una de las más importantes del presente estudio). Pese a un
esperanzador nivel de implantación de medidas observado en las empresas participantes
y un moderado grado de concienciación en materia de seguridad, el análisis muestra una
visible falta de conocimiento del ámbito de la seguridad centrado en garantizar la
continuidad de las operaciones en caso de desastre.
El 12,5% de las empresas afirman conocer “absolutamente” los conceptos y un 3,8% los
tienen presentes de cara a la gestión del negocio aunque señalen que no los conocen en
profundidad.
6,0%
12,5%
3,8%
33,0%
61,0%
16,7%
No
NS/NC
Sí, absolutamente
Sí, están presentes de cara a la gestión del negocio aunque no los conozco en profundidad
Tan solo vagamente, he oído hablar de ello ocasionalmente
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 51 de 121
Observatorio de la Seguridad de la Información
Una valoración más exhaustiva de las definiciones de los términos PCN y PRD recogidas
durante el estudio, permite concluir que, del porcentaje de PYME que inicialmente declara
estar familiarizadas con dichos términos (33%), un 21,7% conoce realmente la diferencia,
frente a un 13,9% que afirma no conocerla o tiene una percepción errónea del significado.
Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de
Continuidad de Negocio y Plan de Recuperación ante Desastres (%)
21,7%
13,9%
64,4%
Sí No NS/NC
Base: PYME que afirman que los conceptos relacionados con la gestión de planes de continuidad de negocio
y planes de recuperación ante desastres le son conocidos (n=151) Fuente: INTECO
Estos niveles de conocimiento y formación en la materia son indicadores que pueden ser
comparados con los obtenidos en otros estudios a nivel internacional y que reflejan
menor interés y sensibilidad en la PYME española por los aspectos relacionados con la
continuidad de negocio.
26
Op. cit. 2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 52 de 121
Observatorio de la Seguridad de la Información
encuesta de la industria financiera (34%) y de empresas que poseían más de 50
empleados.
Si a continuación se estratifica por industria, resalta que los sectores de actividad que
presentan mayores nociones y conocimientos de continuidad de negocio son las
empresas de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la
actividad tecnológica (18,2%) (Ver Tabla 10).
27
Op. cit. 15
28
Forrester Research (2008): Inquiry Insights: Business Continuity. Publicado en el tercer trimestre de 2008. Disponible
previo registro en: http://www.forrester.com/rb/Research/inquiry_insights_business_continuity,_q3_2008/q/id/47152/t/2
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 53 de 121
Observatorio de la Seguridad de la Información
Tabla 10: Empresas familiarizadas con conceptos de continuidad de negocio en función de
su sector de actividad (%)
Sí, aunque
Sí, Tan solo
Grupo de actividad no en No NS/NC
absolutamente vagamente
profundidad
Actividades
Profesionales, 31,8% 0,0% 9,1% 54,5% 4,5%
Científicas y Técnicas
Otros sectores 25,0% 0,0% 0,0% 50,0% 25,0%
Tecnología de la
Información y 18,2% 9,1% 9,1% 63,6% 0,0%
Comunicación
Transporte y
11,1% 0,0% 11,1% 77,8% 0,0%
Almacenamiento
Industria Manufacturera
+ Industria Extractiva +
Suministros + 8,3% 8,3% 8,3% 75,0% 0,0%
Agricultura, Ganadería,
Pesca
Comercio + Hostelería +
Reparaciones + 6,3% 3,1% 12,5% 65,6% 12,5%
Servicios Personales
Actividades Financieras
y Seguros + Actividades 0,0% 11,1% 44,4% 44,4% 0,0%
Inmobiliarias
Construcción 0,0% 0,0% 50,0% 50,0% 0,0%
Educación, Actividades
Sanitarias y de Servicios 0,0% 0,0% 12,5% 75,0% 12,5%
Sociales
TOTAL 11,8% 3,4% 16,8% 62,2% 5,9%
Siguiendo con la Tabla 10, resulta destacable que prácticamente 3 de cada 4 empresas
del sector de educación, actividades sanitarias o servicios sociales desconocen
absolutamente cualquier aspecto relacionado con continuidad de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 54 de 121
Observatorio de la Seguridad de la Información
Gráfico 21: Grado de conocimiento en relación con los conceptos de continuidad de
negocio
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Situación definida y gestionada
Situación definida pero no gestionada
Entiende la situación pero no hay planes para su gestión
No definida gestión para estas situaciones por no entenderlas ni distinguirlas
NS/NC
Así pues, un alto porcentaje de empresas (superior al 28% en todos los casos) no
entiende ni distingue entre las situaciones de crisis, emergencia, problema e incidencias,
lo cual refuerza de nuevo, el bajo conocimiento que poseen las PYME sobre conceptos
relacionados con la continuidad de negocio.
También es posible apreciar que aspectos más propios de la operativa diaria de las
PYME españolas como “incidencia” o “problema”, aunque puedan no ser relacionados
directamente con la continuidad de sus actividades de negocio, están más presentes,
definidos y gestionados. En contraposición, otros conceptos relacionados con sucesos
más críticos como “emergencia” o “crisis”, y más cercanos a la posible activación de un
plan de respuesta, son en general menos considerados entre las empresas participantes.
A medida que aumenta la percepción de riesgo, los gerentes y directivos de las empresas
cada vez asumen más responsabilidad en lo que respecta a las estrategias para la
disponibilidad de sus operaciones de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 55 de 121
Observatorio de la Seguridad de la Información
Además de mostrar la situación actual de la PYME española en cuanto a la adopción de
planes de continuidad de negocio, el estudio en su origen tiene la intención de promover
entre las empresas una cultura de seguridad desde el punto de vista de la capacidad de
los procesos de negocio a permanecer activos e incluso recuperarse en el menor tiempo
posible en caso de padecer una contingencia grave.
Aparte del coste en sí, uno de los mayores inconvenientes a los que se enfrentan las
empresas cuando tienen que definir y desarrollar medidas o planes de continuidad de
negocio es tomar conciencia de la necesidad de las mismas. ¿Cómo sería posible
superar este escollo? Una propuesta para vencer este obstáculo consiste en que la
empresa se plantee durante cuánto tiempo puede sobrevivir sin aplicaciones, sin datos,
sin Internet o sin instalaciones. Si la respuesta a dicha cuestión concluye que se debe
analizar cómo responder a estas situaciones, probablemente esté comenzando a
incrementar sus niveles de concienciación al respecto.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 56 de 121
Observatorio de la Seguridad de la Información
5 ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE
MEDIDAS O PLANES DE CONTINUIDAD DE
NEGOCIO EN LA PYME ESPAÑOLA
Tal y como se acaba de ver en el epígrafe anterior, las PYME españolas se caracterizan
en materia de continuidad de negocio por su desconocimiento casi general sobre qué es
la continuidad de negocio y cuál es realmente la importancia que ésta tiene en el día a
día de sus operaciones. Esto hace intuir que en España las previsiones para
salvaguardar los negocios son mínimas ya que, de una forma u otra, no termina de estar
claro qué es, cómo se hace y para qué sirve un plan de continuidad de negocio.
Por todo ello, es fundamental contar con un sistema que garantice la resistencia de las
operaciones de negocio ante cualquier eventualidad independientemente del tamaño de
la empresa.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 57 de 121
Observatorio de la Seguridad de la Información
5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia,
plan o procedimiento que les permita recuperar su actividad ante un desastre
Entre las que han indicado que sí han puesto en marcha alguna estrategia, el 16,7% se
está refiriendo a la adopción de planes de continuidad de negocio (el cual contempla la
totalidad de recursos que componen las operaciones de negocio) y el 21,7% sólo dispone
de mecanismos que le permiten recuperar el entorno tecnológico que mantiene dichas
operaciones de negocio (sistemas, aplicaciones, bases de datos, comunicaciones, etc.).
Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%)
4,3%
16,7%
38,4%
57,3%
21,7%
No NS/NC Sí, elaborada e implantada Sí, aunque solo permite recuperar el entorno tecnólogico
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 58 de 121
Observatorio de la Seguridad de la Información
Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en
función de su tamaño (%)
Es decir, cuanto más grande sea la empresa, mayor es la probabilidad de que disponga
de algún tipo de estrategia de continuidad.
Esta afirmación está alineada con otras conclusiones publicadas en otros estudios
internacionales como el de Forrester Research titulado Business Take BC Planning More
Seriously 29 , en el que colaboran 295 sociedades con la siguiente distribución por tamaño:
33% de empresas de 1 a 999 empleados, 27% de empresas de 1.000 a 4.999
empleados, 17% de empresas de 5.000 a 19.999 empleados y 21% de empresas con
más de 20.000 empleados. Las empresas participantes son de mayor tamaño que las del
presente estudio y sobre ellas los niveles de implantación de planes de continuidad de
negocio rondan el 77%.
Hasta el momento, del análisis del presente estudio y de otros informes ya citados se
desprende que las empresas grandes están mejor preparadas que las de menor tamaño
a la hora de tener que mantener las operaciones afectadas por una contingencia grave.
¿Será debida esta afirmación a que la PYME percibe erróneamente que disponer de un
plan de continuidad de negocio no es tan crítico como lo pudiera ser en las grandes
compañías?:
Según el Gráfico 23, casi 9 de cada 10 empresas participantes establecen que el hecho
de estar preparadas para encarar y resolver situaciones graves con impacto en sus
negocios es igual de crítico que en las grandes empresas.
29
Op. cit. 13
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 59 de 121
Observatorio de la Seguridad de la Información
Gráfico 23: Empresas que consideran que estar preparadas frente a posibles contingencias
es igual de crítico que en las grandes compañías (%)
NS/NC 2,8%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 60 de 121
Observatorio de la Seguridad de la Información
Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su
sector de actividad (%)
El análisis de los motivos por el que las PYME alegan no disponer de medidas de
continuidad de negocio permite extraer algunas conclusiones (ver Gráfico 24):
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 61 de 121
Observatorio de la Seguridad de la Información
Confirmando esta percepción errónea, la publicación CISOs must take the lead on
business resiliency 30 señala que progresivamente las sensaciones que tienen las
empresas acerca de las amenazas reales que pueden impactar en la continuidad de
las actividades de negocio están cambiando de forma que la tendencia de las
empresas entrevistadas empieza a poner la vista en amenazas más comunes como
caídas del suministro eléctrico o de las conexiones a Internet, fallo en los sistemas de
información o errores humanos. Estas amenazas, de no ser contrarrestadas a tiempo,
pueden derivar en una interrupción de la actividad.
Gráfico 24: Razones por las que las empresas no implementan planes de continuidad
NS/NC 12,5%
30
Op. cit. 15
31
Deloitte (2010): 2010 Global Security Report en el que han participado empresas de diferentes tamaño. El 16% de las
compañías participantes tenía menos de 500 empleados en el momento de la realización de la encuesta.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 62 de 121
Observatorio de la Seguridad de la Información
Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los
próximos 6 meses
5,4% 7,7%
87,0%
Sí No NS/NC
Uno de los aspectos críticos que deben ser tenidos en cuenta por las organizaciones que
deciden adoptar una estrategia de continuidad es la identificación y selección del alcance.
Este alcance, aparte de estar sujeto a posibles limitaciones presupuestarias, debe tener
presente las actividades de negocio críticas que, de interrumpirse, pueden llegar a
suponer pérdidas graves para la continuidad de la empresa.
32
Op. cit. 2
33
Ley Sarbanes-Oxley (SOX): Ley impulsada por el gobierno norteamericano para impedir los fraudes financieros
34
MiFID (Markets in Financial Instruments Directive): Directiva europea que establece un régimen regulador para los
mercados financieros de la Unión Europea
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 63 de 121
Observatorio de la Seguridad de la Información
Por ello, y entendido como un dato que denota cierto sentido común en el desarrollo de
procedimientos de respuesta ante contingencias graves, se llega a establecer que casi 8
de cada 10 empresas (del 38,4% que han afirmado contar con algún tipo de estrategia de
continuidad, ya sea a nivel de sus procesos de negocio o a nivel de los sistemas
tecnológicos que soportan los mismos) han acotado y decretado el alcance de sus
estrategia de continuidad.
Gráfico 26: Empresas que establecen el alcance dentro de su estrategia de continuidad (%)
13,3%
11,0%
75,8%
Sí No NS/NC
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 64 de 121
Observatorio de la Seguridad de la Información
Gráfico 27: Personal dedicado a la gestión de la continuidad de negocio (%)
7,8%
17,5% 33,9%
40,8%
Resultados semejantes se obtienen del análisis del estudio 2010 Global Security Study 35 ,
realizado a nivel mundial sobre empresas de mayor tamaño, que establece que el 44%
de las mismas destinan de 1 a 5 personas 36 a la mencionada gestión. Esta similitud con
la gran empresa puede resultar confusa, ya que se podría llegar a interpretar
erróneamente que el volumen de recursos humanos y/o responsables de continuidad es
independiente del tamaño de las organizaciones.
35
Op. cit. 31.
36
Personas dedicadas a tiempo completo a la gestión de la continuidad y que por tanto sus únicas funciones y
responsabilidades son las relacionadas con la gestión de la continuidad de negocio. Es inglés es común referirse a este
tipo de recursos como Full Time Equivalents (FTE).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 65 de 121
Observatorio de la Seguridad de la Información
Institutionalize Business Continuity Management 37 , aparte de indicar que
antiguamente las compañías gestionaban sus programas de continuidad
informalmente y asignando tareas a figuras con otras responsabilidades, concluye
que la figura del director de continuidad de negocio está más implantada en grandes
(66%) que en pequeñas y medianas empresas (48%), así como el número de
personal dedicado a tiempo completo a la gestión de continuidad es mayor en
grandes empresas.
Esto último refuerza la conclusión de que, cada vez más, las PYME son conscientes no
sólo de las pérdidas económicas directas derivadas de una interrupción inesperada, sino
también del impacto adicional que podría causar en su imagen u otras repercusiones
indirectas asociadas (falta de confianza o pérdida de clientes, falta de competitividad con
respecto a otras empresas del sector, etc.).
Como dato quizás más anecdótico, y a pesar del impacto mediático que provocó en su
momento y a nivel mundial el virus denominado H1N1 o comúnmente conocido por Gripe
A, el 86,6% de las pequeñas y microempresas españolas participantes en el estudio
37
Forrester Research (2009): More Businesses Now Institutionalize Business Continuity Management. Disponible en:
http://www.forrester.com/rb/Research/more_businesses_now_institutionalize_business_continuity_management/q/id/46481/
t/2
38
Op. cit. 15
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 66 de 121
Observatorio de la Seguridad de la Información
restan importancia a que uno de los motivos que deben llevar a las compañías a adoptar
medidas de continuidad de negocio sea el que consiste en dar respuesta a posibles
pandemias.
Sin embargo, si se amplía la vista del estudio y se pone el foco de atención en empresas
de otros países, la situación varía. Así se muestra en el ya mencionado 2010 Global
Security Study 39 , el cual concluye que el cumplimiento regulatorio ocupa el segundo lugar
(32%) entre los principales estímulos que llevan a las empresas a la implantación de
planes de continuidad de negocio.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
(1) Nada importante (2) Poco importante (3) Importante (4) Bastante Importante (5) Muy importante
En contrapartida con los incentivos que las empresas tienen a la hora de implantar las
estrategias/planes y/o procedimientos, éstas han de prever otros componentes que son
39
Op. cit. 31.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 67 de 121
Observatorio de la Seguridad de la Información
necesarios gestionar y que en definitiva constituyen un gasto que termina siendo
recurrente en caso de que se decida mantener y actualizar dichos planes.
Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el gasto
Gasto asumido en el día a día Menos de 1.500 € Entre 1.501 y 15.000 € Más de 15.000€
Otras partidas de gastos que mayormente son asumidas en la actividad diaria de las
compañías y que por tanto no hay para ellas una asignación presupuestaria concreta, son
las relacionadas con la elaboración y establecimiento del conjunto de documentos y
procedimientos que componen el plan (84,5%), el conocimiento de los procesos de
negocio (77,4%), o la realización de pruebas de eficacia de las medidas de continuidad
(73,3%).
Uno de los mayores desafíos a las que se enfrentan las compañías que implantan planes
de continuidad de negocio consiste en medir periódicamente la eficacia y el rendimiento
de los mismos. El hecho de contar con unas medidas definidas para la recuperación de
las actividades de negocio en caso de crisis, no garantiza que el funcionamiento o la
eficacia de las mismas sea la esperada. Por ello, las organizaciones deben contar con
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 68 de 121
Observatorio de la Seguridad de la Información
indicadores o baremos que les permitan valorar el rendimiento y el nivel de adecuación
de las medidas diseñadas.
Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de
continuidad
Otros 1,9%
NS/NC 15,1%
Otro dato interesante para valorar la situación actual de aquellas PYME que han
implantado algún plan de recuperación es la variación que han sufrido sus inversiones en
materia de continuidad con respecto a años anteriores.
Tal y como se muestra en el Gráfico 31, el 52,0% de las sociedades encuestadas que
afirman haber implantado medidas de continuidad, han disminuido ligeramente el gasto y,
40
BS 25999:2006 - (British Standard en inglés) primera norma británica para la gestión de continuidad de negocio.
Desarrollada por un amplio grupo de expertos representativos de sectores de la industria y la administración. Proporciona
la base para comprender, desarrollar e implantar la continuidad de negocio en una organización
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 69 de 121
Observatorio de la Seguridad de la Información
a pesar de la coyuntura económica actual en el momento de realización de la encuesta,
el 36,9% de las instituciones encuestadas lo han mantenido o incluso incrementado.
Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio
Se ha incrementado
10,2%
sustancialmente
Se ha incrementado
13,5%
ligeramente
Se ha mantenido 13,2%
Se ha reducido
52,0%
ligeramente
Se ha reducido
5,0%
sustacialmente
NS/NC 6,2%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 70 de 121
Observatorio de la Seguridad de la Información
Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010 a
la continuidad de sus operaciones
100%
80%
72,0%
60%
40%
20% 15,2%
11,7%
1,1%
0%
Bajo Adecuado Superior al necesario NS/NC
Otra de las cuestiones que con frecuencia se plantea una empresa cuando tiene que
definir un plan o una estrategia de continuidad de negocio es si debe abordarse
internamente o, dada su complejidad o grado de desconocimiento, desarrollarlo con el
apoyo y la colaboración de soporte externo.
Derivado del estudio, se debe tener en cuenta que la mayor parte de las empresas
participantes no disponen de los conocimientos y la experiencia necesaria para abordar
procesos de estas características, así como la objetividad e independencia para
identificar los recursos y procesos críticos de la compañía.
De esta forma, casi la mitad de las PYME (el 44,4%) que han emprendido programas de
continuidad de negocio han requerido de asesoramiento externo (ver Gráfico 33).
Por otro lado, el 49,2% disponen de sus propios medios técnicos, de conocimiento, etc.,
para poder abordar con éxito las acciones de respuesta a aplicar ante una interrupción
del servicio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 71 de 121
Observatorio de la Seguridad de la Información
Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas de
continuidad de negocio (%)
6,4%
44,4%
49,2%
Sí No NS/NC
¿Por qué han necesitado tal asesoramiento? Las respuestas obtenidas indicaron en el
momento de realización de la encuesta que dicha demanda es debida a la necesidad de
contar con la experiencia y el conocimiento especializado del asesor (11,3%) y al
desconocimiento para abordar los proyectos de implantación de planes de continuidad de
negocio (5,6%) (Ver Gráfico 34).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 72 de 121
Observatorio de la Seguridad de la Información
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en
aspectos de continuidad
Otros 0,1%
NS/NC 1,8%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 73 de 121
Observatorio de la Seguridad de la Información
Gráfico 35: Principales servicios solicitados a terceros en materia de continuidad
Otros 1,5%
NS/NC 3,4%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 74 de 121
Observatorio de la Seguridad de la Información
6 ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA
CONTINUIDAD EN LA EMPRESA ESPAÑOLA
SEGÚN SU TAMAÑO
Comparando los datos obtenidos del análisis de las 400 PYME españolas realizado en
este estudio con los del Barómetro de Empresas de Agosto de 2010 realizado por
Deloitte, en el que participaron 253 grandes empresas con una facturación conjunta que
supera el billón de euros y un total de más de un millón de empleados, es posible
establecer un análisis diferencial entre la PYME y la gran empresa española en el ámbito
de la continuidad de negocio.
Por el contrario, un mayor porcentaje de las PYME considera haber sido objeto de más
fallos en los servicios facilitados por parte de los proveedores (16,3% frente al 6,1% de la
gran empresa).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 75 de 121
Observatorio de la Seguridad de la Información
Gráfico 36: Comparativa de incidencias de seguridad que afectan a la continuidad
56,7%
La entidad no ha sufrido ningún incidente 62,0%
7,4%
Caída de mis sistemas/aplicaciones 20,9%
8,9%
Caída de sistemas de soporte 16,0%
Ataque informático 11,1%
6,7%
Falta de servicio por parte de proveedores 16,3%
6,1%
Inundación, terremoto, incendio 3,6%
4,9%
4,4%
Multas, sanciones 3,7%
1,4%
Daño físico en instalaciones/equipos 2,5%
1,7%
Pérdida de datos de negocio críticos 1,2%
Baja de personal crítico 1,7%
2,5%
Otros 2,0%
3,7%
NS/NC 8,1%
0,0%
Por tanto, se podría llegar a concluir que, en general, las incidencias de seguridad que se
producen al materializarse las amenazas son independientes del tamaño de las
empresas y, por ello, el plan para afrontar los riesgos es el mismo tanto en la gran
empresa como en la PYME.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 76 de 121
Observatorio de la Seguridad de la Información
Gráfico 37: Comparativa de Tiempos Máximos de Interrupción permitidos
100%
80%
60%
40% 35,8%34,5%
25,8%
22,6%
20% 16,0% 16,0% 17,5%
11,7% 12,5%
7,7%
0%
Inmediatamente Más de 12 horas Más de 24 horas Más de 48 horas Más de 5 días
PYME Gran Empresa
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 77 de 121
Observatorio de la Seguridad de la Información
Gráfico 38: Comparativa del grado de implantación de Planes de Continuidad de Negocio
100%
81,1%
80%
60% 57,3%
38,4%
40%
18,9%
20%
4,3%
0,0%
0%
Sí No NS/NC
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 78 de 121
Observatorio de la Seguridad de la Información
Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa
Aplicaciones 64,5%
56,9%
Instalaciones/Edificios 39,3%
55,9%
Personal 42,7%
54,3%
2005 2010
Base: Gran empresa 2010 (n=253) y Gran empresa (n=339) Fuente: INTECO
Como se puede apreciar, la presencia de los diferentes aspectos o elementos que debe
contemplar un Plan de Continuidad en la gran empresa es mayor en 2010 que en 2005,
lo que se traduce en que, con el paso del tiempo, este colectivo es más conocedor de las
necesidades y de los componentes que deben considerados en el alcance.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 79 de 121
Observatorio de la Seguridad de la Información
Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de
Continuidad
Como ya se ha comentado, uno de los motivos por los que la gran empresa suele estar
mejor preparada para dar respuesta a situaciones graves de parálisis es la disposición,
en general, de más medios, y, en particular, de personal dedicado a la gestión de la
continuidad de negocio de sus actividades.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 80 de 121
Observatorio de la Seguridad de la Información
Gráfico 41: Comparativa de volumen de personal dedicado a Continuidad de Negocio
100%
78,9%
80%
60%
40,8%
40% 33,9%
7,8%
5,1%
0,0%
0%
1 persona Entre 1 y 3 personas Más de 3 personas NS/NC
Otro de los elementos analizados, que fortalece la conclusión de que la gran empresa
española se encuentra en una posición más robusta que la PYME en caso de tener que
encarar situaciones de crisis o desastre, es la forma en que las empresas miden la
eficacia y el rendimiento de los componentes del plan. En el gráfico 42 se presenta a los
participantes (tanto del estudio como del Barómetro de Empresas) las diferentes
alternativas existentes para realizar tal medición. En 3 de las 4 posibilidades concretas, el
porcentaje de realización para cada alternativa es mayor en la gran empresa que en la
PYME:
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 81 de 121
Observatorio de la Seguridad de la Información
Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de
Negocio
Otros 1,9%
3,7%
NS/NC 15,1%
0,0%
Para la cuarta alternativa concreta (realización de pruebas periódicas), las diferencias son
mínimas entre la gran empresa (52,8%) y la PYME (54,8%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 82 de 121
Observatorio de la Seguridad de la Información
Gráfico 43: Comparativa de la tendencia en el gasto de medidas de continuidad
Se ha mantenido 13,2%
59,3%
NS/NC 6,2%
0,0%
Esta tendencia no solo es debida a la mayor capacidad de la gran empresa para resistir
periodos económicos complejos. También debe tenerse en cuenta que una PYME, aparte
de disponer de menos medios económicos, se mueve en un entorno más dinámico y
cambiante. Este entorno facilita que se vea más rápidamente perjudicada por posibles
condiciones económicas/comerciales adversas que le fuerzan a adoptar medidas
austeras con la misma agilidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 83 de 121
Observatorio de la Seguridad de la Información
7 MEJORES PRÁCTICAS DE CONTINUIDAD DE
NEGOCIO
Una mención especial dentro del estudio merecen aquellas PYME que han implementado
algún tipo de plan, estrategia o en definitiva buenas prácticas destinadas a garantizar la
continuidad de sus actividades de negocio. Dicho colectivo también ha sido sometido a
estudio.
A lo largo de los siguientes puntos, se expondrán aquellos factores clave que han
supuesto una implantación exitosa de las medidas de continuidad en las PYME
comentadas y que, por ello, son considerados como buenas prácticas en cuanto a la
gestión de la continuidad de negocio.
El conjunto de buenas prácticas que sirven o han de servir a las PYME para iniciar o
mejorar sus procesos de negocio en caso de incidencia, emergencia o crisis, se ha
identificado desde tres puntos de vista. Así se estipulan aquellas de carácter estratégico,
táctico y técnico/operativo que han de permitirles a este tipo de entidades lograr una
adecuada y eficaz implantación de las medidas de continuidad exigidas.
Si bien son varias las razones que llevan a las empresas a tomar la decisión de adoptar
estrategias de continuidad de negocio, es importante destacar que las medidas
adoptadas no sólo están enfocadas a garantizar la operativa interna de las entidades,
sino también a afianzar su imagen y reputación de cara al exterior.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 84 de 121
Observatorio de la Seguridad de la Información
Gráfico 44: Principales motivos que han impulsado la adopción de medidas de continuidad
de negocio
La dirección de las empresas debe ser el órgano que asume la toma de decisiones y
asigna los recursos humanos y económicos necesarios para la adopción de estrategias
de continuidad de negocio. Por tanto, es el área que debe estar más convencida de la
necesidad y de la criticidad de implementar buenas prácticas de gestión de la continuidad
de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 85 de 121
Observatorio de la Seguridad de la Información
Este dato reafirma la idea de que el éxito de implantación de un plan o estrategia de
continuidad depende en gran medida del apoyo recibido por todas las áreas de negocio
de la entidad (por ser éstas las que conocen al detalle el funcionamiento interno de sus
procesos) y especialmente por la alta dirección.
Alto 86,2%
Medio 6,9%
Bajo 3,4%
NS/NC 3,4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Derivado del argumento y gráfico anterior, las propias empresas participantes son
conscientes de la importancia del rol que representan sus directivos dentro del ciclo de
continuidad y valoran como muy positivo la respuesta obtenida, argumentando que el
grado de implicación es el adecuado por ser éste máximo.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 86 de 121
Observatorio de la Seguridad de la Información
Analizar a priori los riesgos que impactan en la continuidad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
Una vez conocidos y valorados los riegos a los que está sometida la PYME, se hace
necesario planificar las acciones que permitan poner en marcha el diseño e implantación
del plan, de forma que éste tenga en cuenta las actividades de negocio más importantes
y críticas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 87 de 121
Observatorio de la Seguridad de la Información
plan, datos que concuerdan con las buenas prácticas dictadas en las principales guías y
estándares de continuidad de negocio 41 (ver Gráfico 47). En contraposición a las pautas
establecidas en dicha normativa, el hecho de conocer el funcionamiento y la composición
de los procesos de la empresa no es percibido como un requerimiento necesario (un
96,6% no considera necesario tal misión). Los propios estándares establecen que esta
percepción representa una carencia que puede impactar negativamente en la idoneidad
de las prácticas de continuidad asimiladas, ya que la probabilidad de que una
organización recupere su actividad tras un desastre es muy baja si no dispone
previamente de un buen conocimiento acerca de cómo funciona.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
41
BS 25999:2006 (British Standard): Primera norma británica para la gestión de continuidad de negocio
ISO/IEC 27002:2005: Código de buenas prácticas para la Gestión de la Seguridad de la Información
PASS 77:2006 (Publicly Available Specification): Guía de buenas prácticas de la continuidad emitida por BSI
ISO/IEC 20000: Estándar regulatorio de la Gestión de los Servicios relacionados con las Tecnologías de Información
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 88 de 121
Observatorio de la Seguridad de la Información
7.2.3 Desde un punto de vista técnico/operativo
Con respecto a este punto, la ausencia de unas buenas prácticas de actuación puede
verse materializada en una mayor complejidad a la hora de implantar el plan o en una
implantación insatisfactoria o fallida.
En este sentido, las entidades han identificado una serie de obstáculos técnicos y
operativos a los que se enfrentan de manera global y cuya subsanación es posible
mediante el seguimiento de buenas pautas de actuación como las que se detallan en este
apartado (recurrir a asesoramiento externo, adquirir el software y hardware adecuado,
ejecutar periódicamente medidas que permitan evaluar la eficacia de la estrategia
definida).
Las entidades afirman que el principal obstáculo al que se han tenido que enfrentar en el
desarrollo de sus programas de continuidad es el desconocimiento en la materia y la falta
de preparación del personal (31%). El coste de implantación (27,6%) o la falta de los
recursos necesarios (24,1%) son también dificultades a las que en algún momento se han
visto expuestas las PYME.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Sí No NS/NC
En aquellos casos en los que el desconocimiento ha sido identificado como una de las
principales dificultades, una buena actitud a adoptar por parte de la PYME, y que es
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 89 de 121
Observatorio de la Seguridad de la Información
sugerida en los principales estándares y guías de continuidad desarrollados, es optar por
la asesoría y soporte de expertos en la materia.
El sondeo realizado a las 29 PYME objeto de estudio en este apartado, muestra que, un
62,1% de las organizaciones ha requerido de asesoramiento externo para abordar el
desarrollo, diseño o implantación de las medidas de continuidad, frente a un 27,6% que
afirma no haber necesitado solicitar este apoyo externo (ver Gráfico 49).
Este resultado es ligeramente diferente al obtenido en el epígrafe 5.3 del estudio global
realizado a la totalidad de las PYME participantes (ver Gráfico 33). En dicho apartado se
realizaba el mismo sondeo para aquellas empresas que afirmaban haber implementado
alguna medida de continuidad. La variabilidad de los resultados debe atribuirse a la
diferencia de tamaño de las muestras consideradas (199 y 29 respectivamente) y,
especialmente, a que el colectivo de 29 PYME seleccionado corresponde a
organizaciones que han sido específicamente elegidas debido a la exitosa implantación
de sus medidas.
Estos datos confirman que las entidades que han implantado exitosamente estrategias de
continuidad coinciden en que recurrir a asesoramiento externo es una buena práctica que
facilita la implantación de medidas de continuidad. Aun así, este no debe ser considerado
como un factor excluyente, ya que como bien se observa en el citado gráfico, un 27,6%
de las entidades han conseguido abordar exitosamente un plan de contingencia, sin
necesidad de contar con apoyo externo.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 90 de 121
Observatorio de la Seguridad de la Información
Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la
implantación de buenas prácticas de continuidad de negocio (%)
10,3%
27,6%
62,1%
Sí No NS/NC
Tal y como se muestra en el Gráfico 50, el motivo por el que las organizaciones han
considerado necesario contar con el soporte y asesoría de proveedores externos
permanece invariante con respecto a los resultados obtenidos a lo largo del estudio
global (ver Gráfico 34). Las 29 PYME entrevistadas afirman haber recurrido a asesores
no sólo por el desconocimiento general que muestran en materia de continuidad (38,1%),
sino también por la experiencia y el conocimiento especializado que éstos pueden aportar
(38,1%).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 91 de 121
Observatorio de la Seguridad de la Información
Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a
demandar asesoramiento externo para abordar planes de continuidad de negocio
Otros 14,3%
NS/NC 19,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Del mismo modo, los dispositivos hardware permiten llevar a cabo estas tareas,
entendiendo por ello elementos que posibiliten la redundancia de equipos y
comunicaciones, discos para la realización de copias con mayor capacidad, etc.
El Gráfico 51 muestra cuáles han sido, desde el punto de vista de las PYME
entrevistadas, los factores críticos que han sido clave para la obtención de los buenos
resultados.
Como se puede ver en dicho gráfico, un 55,2% de las PYME considera vital la adquisición
de software y hardware, así como la ejecución de pruebas periódicas (51,7%), medida
comentada en detalle a lo largo del siguiente punto.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 92 de 121
Observatorio de la Seguridad de la Información
Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los
procedimientos de contingencia
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
Sin duda, una de las prácticas esenciales para lograr el buen funcionamiento del plan o
estrategia definido, es la evaluación periódica a posteriori de la eficacia y rendimiento de
las medidas de continuidad establecidas.
El Gráfico 52 muestra los datos que lo evidencian. Un 75,8% de las empresas con algún
tipo de estrategia de continuidad implantada afirma realizar pruebas periódicamente, de
las cuales un 65,5% declara ejecutarlas al menos una vez al año.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 93 de 121
Observatorio de la Seguridad de la Información
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de las
medidas implantadas (%)
No se realizan pruebas
13,8%
periódicas
NS/NC 10,3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 94 de 121
Observatorio de la Seguridad de la Información
Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o
estrategias de continuidad definidas
Mediante la realización
65,5%
de pruebas periódicas
A través de la definición y
medida de indicadores 31,0%
(métricas)
NS/NC 3,4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estos resultados evidencian que las organizaciones que han optado por implementar
algún tipo de estrategia o plan que garantice la continuidad de sus operaciones son
conscientes de que la implantación de un plan exige de un mantenimiento y revisión
continua que permita evaluar el nivel de adecuación con respecto a las necesidades,
prioridades y procesos de negocio de las empresas.
Dejando a un lado las buenas prácticas a afrontar en las distintas fases de definición e
implantación del plan y centrando la atención en la post-implantación, es una realidad que
el hecho de contar con un plan o estrategia de continuidad definido e implantado aporta a
las organizaciones un alto valor añadido. Las PYME encuestadas afirman que son varios
los beneficios obtenidos tras la implantación, destacando como principales la agilidad de
respuesta adquirida ante situaciones de crisis (72,4%) y la identificación o mapeo
de los recursos mínimos necesarios para garantizar la continuidad (41,4%).
En este sentido, son escasas las empresas participantes que perciben como beneficio
(derivado de la implantación de buenas prácticas de continuidad de negocio) aspectos
como el desarrollo de una cultura y de un nivel de sensibilidad en materia de continuidad
(13,8%) o la protección de los empleados (24,1%), lo cual evidencia que el grado de
madurez de las PYME en materia de continuidad todavía dista de ser máximo (ver
Gráfico 54).
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 95 de 121
Observatorio de la Seguridad de la Información
Gráfico 54: Beneficios de poseer medidas y procedimientos de actuación que garanticen la
recuperación de una contingencia grave en el menor tiempo posible
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Sí No NS/NC
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 96 de 121
Observatorio de la Seguridad de la Información
8 CONCLUSIONES
Aparte de recursos y/o presupuestos insuficientes, una característica común que sirve
como argumento para justificar los escasos niveles de implantación ya no solo de planes,
sino simplemente de medidas para facilitar de algún modo la continuidad de las
actividades de las empresas, es que éstas desconocen la multitud de riesgos a los
que se enfrentan, su probabilidad de ocurrencia y las consecuencias que pueden llegar
a provocar.
Esta percepción de los riesgos provoca que las empresas opten por asumirlos
inconscientemente, con la idea errónea de que es suficiente con disponer de copias de
seguridad, antivirus o sistemas de detección y extinción de incendios. Además muchas
de ellas entienden que:
El hecho de no aplicar métodos destinados a identificar y priorizar los riesgos como parte
de los procesos de toma de decisiones hace que los presupuestos y los recursos
destinados a la gestión de la continuidad no se ajusten a las necesidades reales y
terminen representando una de las principales barreras que impiden poner en marcha
acciones y/o prácticas de continuidad de negocio.
42
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 97 de 121
Observatorio de la Seguridad de la Información
empresa, atribuyendo mayores niveles de implantación cuanto mayor fuera el tamaño de
la empresa.
El establecimiento del alcance, de las necesidades, o de los aspectos que deben tenerse
en cuenta cuando una compañía aborda o impulsa una estrategia de continuidad de
negocio son los mismos tanto para grandes como para pequeñas empresas. La
estrategia de continuidad de negocio es o debe ser un aspecto esencial y
prioritario independientemente del tamaño de la compañía.
Actualmente la diferencia entre ellas estriba en que la PYME española (sobre todo la
pequeña y microempresa española), a diferencia de las grandes organizaciones
españolas, no dispone del nivel de compromiso y concienciación por parte de su personal
de dirección, no entienden conceptos como “gestión” o “análisis de riesgos”. Es difícil
hacer llegar a las empresas españolas de menor tamaño la premisa de que toda decisión
estratégica debe basarse en un análisis previo. Estos son los principales inconvenientes
a los que se enfrentan los proveedores de soluciones y servicios de continuidad cuando
tratan de inculcar en sus potenciales clientes la necesidad y la importancia de abordar
estrategias de continuidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 98 de 121
Observatorio de la Seguridad de la Información
demanda de servicios de consultoría, formación y/o auditoría de las actividades de
continuidad se mantiene constante en las últimas fechas.
Dentro del colectivo compuesto por aquellas PYME participantes más maduras en cuanto
a la adopción de actividades o planes de continuidad de negocio, se puede comprobar
que los empresarios entrevistados han decidido impulsar tales acciones motivados por el
fin de garantizar la resistencia 43 de sus procesos (y de la tecnología que soporta los
mismos) ante posibles eventos adversos y para proteger su imagen y reputación. En
relación con este último punto, indicar que el mercado en el que se mueve la PYME es
tan dinámico y flexible que una parada del servicio implicaría una rápida reposición de
sus competidores y una pérdida de cuota de mercado por parte de la compañía cuyo
proceso se ha visto interrumpido. Otro motivo alegado, que tímidamente comienza a
cobrar importancia, son los requerimientos de los propios clientes. Por otro lado, la laxitud
de los requerimientos legales/regulatorios y el escaso nivel de penetración de estándares
de la industria son aún motivos poco estimulantes.
43
En continuidad de negocio es común la mención al concepto “Resiliencia” o Resilient en inglés, referido a la capacidad
de elasticidad y robustez de una empresa para hacer frente a los impactos.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 99 de 121
Observatorio de la Seguridad de la Información
entre la tipología más común de incidente de seguridad con penalización sobre la
continuidad de las operaciones de negocio, cabe destacar el de la falta de servicio por
parte de los proveedores (16,3%) y, aparte de los ataques informáticos con un 11,1%, las
caídas tanto de los sistemas de soporte (8,9%) como de las aplicaciones y sistemas de
negocio (7,4%).
Esta falta de capacidad para calcular monetariamente las pérdidas financieras es común
entre las empresas ya que dicha estimación depende de múltiples factores (algunos de
los cuales son complejos de estimar por su carácter intangible): pérdida de ingresos
durante la interrupción, coste de recuperación y vuelta a la normalidad, posible pérdida de
clientes, reposición de bienes materiales, sanciones/multas derivadas de incumplimientos
legales o contractuales, etc.
A pesar de que un fallo en los servicios facilitados por terceros (proveedores) sea uno de
los incidentes de seguridad más comunes o una de las causas que según las empresas
participantes inducen o provocan paralizaciones de sus operaciones de negocio, 7 de
cada 10 no establecen con sus proveedores ningún requerimiento o medida similar que
garantice la continuidad de los servicios proporcionados en caso de acontecer un evento
adverso.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 100 de 121
Observatorio de la Seguridad de la Información
8.1 Análisis DAFO
Con el fin de sintetizar las conclusiones del estudio, y como paso previo a la lectura del
siguiente apartado de recomendaciones, se expone a continuación el análisis DAFO
(debilidades, amenazas, fortalezas y oportunidades). El objetivo de este análisis es
contrastar la situación interna percibida por la PYME (fortalezas y debilidades) con los
factores externos y no controlables asociados a su entorno (oportunidades y amenazas).
Este análisis es una herramienta útil para conocer la situación real en la que se encuentra
la PYME con respecto a la continuidad de negocio.
8.1.1 Debilidades
• Desconocimiento de los riesgos y de los procesos de gestión asociados
44
Op. cit. 5
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 101 de 121
Observatorio de la Seguridad de la Información
• Las PYME que no están preparadas pueden llegar a desaparecer
8.1.2 Amenazas
• Pérdida de competitividad y/o posición comercial
Es importante hacer notar, sin embargo, que, aunque muchas empresas invierten
sus esfuerzos a la recuperación de sus sistemas tecnológicos, deberían ampliar
sus miras y asimilar que toda actividad relacionada con la gestión de continuidad
de negocio comprende no solo tecnología, sino también procesos y personas.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 102 de 121
Observatorio de la Seguridad de la Información
• Ausencia de requerimientos legales
Relacionado con este aspecto, es interesante destacar que más de la mitad de las
empresas entrevistadas (56,3%) consideran importante o muy importante el
desarrollo de medidas o requerimientos legales que difundan y conciencien
acerca de la criticidad que tiene el hecho de estar preparados para actuar frente a
una situación de crisis o desastre.
Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la
importancia de estar preparados ante situaciones de crisis o desastre
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
(1) Nada importante (2) Poco importante (3) Importante (4) Bastante Importante (5) Muy importante
%
8.1.3 Fortalezas
• Alto nivel de implantación de medidas de seguridad preventivas
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 103 de 121
Observatorio de la Seguridad de la Información
Continuidad de Negocio que fue desarrollada en paralelo al estudio, la activación
de un Plan de Continuidad de Negocio es la última opción a la que deben recurrir
las compañías. Previamente deben entrar en juego las medidas de seguridad
preventivas que eviten en la medida de lo posible dicha activación.
8.1.4 Oportunidades
• Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de
Continuidad de Negocio
Tal y como se ha citado anteriormente, uno de los objetivos del estudio consiste
en inculcar y difundir entre la PYME española la importancia que tiene en el
mundo empresarial el hecho de que adopten medidas o planes de continuidad de
negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 104 de 121
Observatorio de la Seguridad de la Información
Dicha guía tiene el objetivo de identificar y explicar de forma desglosada las
actividades necesarias para diseñar, implantar y mantener un Plan de Continuidad
de Negocio, proporcionando, siempre que sea posible, gráficos, ejemplos
ajustados a las necesidades reales de la pequeña y mediana empresa española.
Así, se pretende que las organizaciones asimilen y entiendan cada una de las
fases y tareas que componen dicho plan.
45
Op. cit. 40
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 105 de 121
Observatorio de la Seguridad de la Información
9 RECOMENDACIONES
En base a los resultados y las conclusiones del estudio, se detallan a continuación una
serie de recomendaciones de actuación dirigidas fundamentalmente a 3 grandes
colectivos: las pequeñas y microempresas españolas, la industria de la seguridad de la
información especializada en soluciones y/o servicios de continuidad de negocio y las
administraciones públicas.
Dicha función autodidacta tendría por objeto conocer y sobre todo entender:
• Por qué la implantación del plan requiere de un mantenimiento y una mejora continua.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 106 de 121
Observatorio de la Seguridad de la Información
Toda estrategia de continuidad de negocio, y en general de gestión de seguridad,
debe estar basada en un proceso de análisis de riesgos previo que permita la toma
de decisiones acertadas
Las entidades deben ser capaces de entender mejor los riesgos a los que se enfrentan y
las consecuencias de no encararlos adecuadamente. La ejecución periódica de procesos
de análisis de riesgos permite:
• Conocer los procesos de negocio e identificar los activos de información más críticos
que soportan los mismos: personas, información, aplicaciones, sistemas de soporte,
proveedores de servicio, etc.
• Conocer y priorizar los riesgos que pueden dañar la disponibilidad de dichos activos.
Proponer y diseñar medidas de seguridad que minimicen los riesgos más críticos.
Por ello es aconsejable identificar y abordar, sobre todo al inicio, aquellas tareas que
puedan calificarse como sencillas por tener un alcance delimitado y unos objetivos
definidos. Asimismo, el conocimiento, la experiencia y el sentido común que asesores
especializados y expertos de la organización pueden llegar a proporcionar resultan de
gran utilidad de cara a una adquisición más ágil de los conocimientos necesarios de
gestión.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 107 de 121
Observatorio de la Seguridad de la Información
Sentadas las bases de conocimiento y adquiridos unos mayores niveles de adecuación,
la gestión de la continuidad de negocio de las empresas debe convertirse en un proceso
sistemático de mejora continua, documentado y probado periódicamente.
Una buena práctica a desarrollar por parte de las PYME es adquirir el hábito de consultar
con frecuencia las bases de las campañas vigentes en la actualidad o de nuevas que
serán desarrolladas en un futuro cercano. En dichas campañas se contemplan varias
líneas de acción, abordadas en periodos concretos a lo largo del año, de ahí la
importancia de mantenerse al día y, consecuentemente, estar en disposición de solicitar
aquellas subvenciones que más se adecúen a las necesidades de la entidad en materia
de continuidad de negocio.
Si las medidas de seguridad están bien diseñadas y funcionan eficazmente, las posibles
incidencias de seguridad, de llegar a producirse, serán atajadas en tiempo, se
minimizarán las consecuencias y se evitará que se conviertan en problemas o incluso
situaciones de crisis más complejas de resolver.
46
Fuente: www.planavanza.es
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 108 de 121
Observatorio de la Seguridad de la Información
Concienciar a las unidades o responsables más estratégicos que asumen la toma
de decisiones
La dirección, como ente que toma las decisiones y proporciona los fondos necesarios,
debe ser concienciada y debe estar convencida de la necesidad de emprender planes de
continuidad.
Relacionado con la recomendación anterior, en la que se aboga por establecer con los
proveedores requerimientos de disponibilidad y planes de respuesta, emergen
actualmente en España nuevas formas de entrega de servicios tecnológicos que son
interesantes en aquellas empresas cuya presencia de sistemas informáticos es
dominante o al menos significativa.
47
Virtualización: medio para crear una versión virtual de un dispositivo o recurso informático, como un servidor, un
dispositivo de almacenamiento, una red de comunicación o incluso un sistema operativo.
48
Cloud Computing o Computación en la nube en español: modelo de prestación de servicios y tecnología a través de la
red (Internet). El concepto de “nube” es una metáfora de Internet.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 109 de 121
Observatorio de la Seguridad de la Información
Es ya evidente que este modelo de servicio supone grandes ahorros para las compañías
(sobre todo en términos de adquisición de licencias y dispositivos hardware) que se
traducen en recursos tecnológicos más optimizados, así como mayor flexibilidad y
escalabilidad. Además permite la transferencia de los riesgos (no solo los relacionados
con continuidad de negocio) a un tercero (proveedor).
Sin embargo, la adopción de estos servicios también introduce una nueva oleada de
amenazas y desafíos de seguridad que deben ser afrontados:
• Gestión de la privacidad.
Al igual que sucede con otro tipo de procesos y tecnología, el grado de penetrabilidad en
España es lento, no solo por los desafíos descritos con anterioridad, sino también por la
necesidad de transmitir al consumidor garantías de competencia y transparencia.
Por tanto, a través del presente estudio se pretende fomentar entre las PYME la
necesidad de al menos conocer este tipo de servicios sin olvidar la importancia de
evaluar a los proveedores centrándose específicamente en sus procedimientos de
continuidad de negocio y de recuperación de catástrofes, la revisión de las instalaciones
alternativas de respaldo y de los procesos de copia de seguridad.
• Realizar inspecciones de las instalaciones del proveedor siempre que sea posible.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 110 de 121
Observatorio de la Seguridad de la Información
• Solicitar documentación de los controles de seguridad del proveedor, y la adherencia
a los estándares del sector.
En este sentido y en base a los resultados obtenidos del estudio, el bajo nivel de
implantación de estrategias de continuidad detectado no es achacable tanto a la falta de
soluciones específicas, sino a la falta de demanda de las mismas, provocada por un
desconocimiento en la materia.
Para solventar esta problemática, la industria debe ser capaz de generar la necesidad en
las empresas, adoptando una postura proactiva y desarrollando estrategias que permitan
la aproximación a las necesidades de la empresa y el aumento del nivel de
sensibilización. Algunos ejemplos pueden ser, la divulgación de los conocimientos
asociados a la continuidad del negocio, la realización de sesiones formativas enfocadas a
sectores específicos o el envío de publicaciones informativas.
La industria puede jugar un papel importante a la hora de mitigar esta falsa sensación de
protección, actuando como figura informativa e instructora de las amenazas y riesgos
asociados a este colectivo.
Entre las múltiples acciones de concienciación que pueden ser llevadas a cabo se
incluyen:
• Promover la importancia de identificar las actividades críticas del negocio y los riesgos
que pueden afectar a su continuidad. Transmitir ejemplos de los riesgos reales a los
que la PYME está expuesta en base a la casuística específica de su sector de
actividad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 111 de 121
Observatorio de la Seguridad de la Información
motivos por los que es necesaria la definición de una estrategia de continuidad. La
alta jerarquía representa una figura clave en el diseño y desarrollo de un plan de
continuidad de negocio por lo que es importante obtener su apoyo e implicación
desde el principio.
Las Administraciones Públicas cuentan con recursos para conocer de primera mano las
necesidades de las organizaciones. Este hecho facilita que, manteniendo una
comunicación continua entre las AA.PP. y la industria, se puedan identificar áreas de
colaboración comunes de forma que las líneas de trabajo de ambos grupos se
complementen (sesiones formativas por sectores de actividad, establecimiento de
acuerdos para la implantación de planes de continuidad, concesión de subvenciones o
ayudas, acuerdos para realización de auditorías, etc.).
Ante la dificultad y desconocimiento que puede suponer para una PYME el diseño e
implantación de un plan de continuidad de negocio, puede representar un aliciente a la
hora de adquirir estas soluciones el hecho de incluir dentro del cupo de servicios
ofertados, tareas como las de revisión y actualización del plan o realización de auditorías
periódicas.
Entre las principales medidas impulsoras demandas por las PYME a las AA.PP. para
fomentar su preparación en materia de continuidad se podrían destacar:
• Compartición del conocimiento sobre casos de éxito de otras entidades que han
implementado correctamente medidas de continuidad.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 112 de 121
Observatorio de la Seguridad de la Información
• Establecimiento de condiciones para la concesión de ayudas económicas.
• Otras, como el impulso mediático para facilitar los trámites y concesión de créditos
por parte de otras entidades o la creación de asociaciones que presten estos
servicios.
La tendencia actual de este programa es promover proyectos que faciliten a las entidades
tanto la mejora de su perfil formativo como tecnológico, sometidos al cumplimiento de
unos requerimientos mínimos y específicos para cada una de las subvenciones ofrecidas.
En la nueva etapa que se iniciará con el Plan Avanza 2, tomando como base el Plan
Avanza y el marco europeo dónde se encuadran este tipo de iniciativas, se pretenden
abordar diversas acciones de gran alcance, definiendo un número elevado de medidas
concretas que perseguirán, entre otros objetivos, extender la cultura de la seguridad entre
la ciudadanía y las empresas.
49
Fuente: http://www.planavanza.es/Noticias/Paginas/Estrategia2011_2015dAvanza2.aspx
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 113 de 121
Observatorio de la Seguridad de la Información
Promover recurrentemente la divulgación de los conceptos de continuidad de
negocio
Una buena forma de demostrar el compromiso de las AA.PP. con la concienciación de las
PYME es la convocatoria de cursos y sesiones formativas así como la publicación de
guías y manuales. Este hecho ha sido y continúa siendo impulsado a través de las
campañas englobadas dentro del Plan Avanza.
Entre los motivos por los cuales se fomentan este tipo de acciones se encuentra el
conseguir de forma gradual la adopción de buenas prácticas en las PYME. En este
sentido, las posibles líneas de recomendación futuras podrían estar enfocadas a
promover:
Otra de las medidas impulsoras sugeridas por las empresas en el presente estudio es la
puesta en común de las experiencias de casos de éxito de empresas del mismo sector
que han implementado estrategias de continuidad de negocio.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 114 de 121
Observatorio de la Seguridad de la Información
• Señalar si han sufrido incidentes en los últimos meses y, en ese caso, valorar el
impacto económico, operativo, legal y de imagen sufrido.
Estas labores de diagnóstico específico permitirán a las AA.PP. publicar estudios que
faciliten a las organizaciones conocer la evolución global de su sector en materia de
continuidad de negocio, así como conocer su posición con respecto al mercado.
Las administraciones, tomando como base tanto este hecho, como la labor previa
realizada por organismos de la materia y la normativa existente, pueden actuar como
figuras responsables de trasladar estas preocupaciones a los organismos
correspondientes y, en un futuro, adquirir la responsabilidad de velar por el cumplimiento
legal.
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 115 de 121
Observatorio de la Seguridad de la Información
ÍNDICE DE GRÁFICOS
Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses..........32
Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes
de seguridad ......................................................................................................................37
Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a
garantizar la continuidad de sus operaciones ...................................................................41
Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad (%) ................................................................................................42
Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos
de continuidad ...................................................................................................................44
Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de
riesgos de continuidad de negocio ....................................................................................45
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 116 de 121
Observatorio de la Seguridad de la Información
Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las
PYME.................................................................................................................................46
Gráfico 19: Empresas familiarizadas con conceptos de continuidad de negocio (%) .......51
Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de
Continuidad de Negocio y Plan de Recuperación ante Desastres (%) .............................52
Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%)
...........................................................................................................................................58
Gráfico 23: Empresas que consideran que estar preparadas frente a posibles
contingencias es igual de crítico que en las grandes compañías (%) ...............................60
Gráfico 24: Razones por las que las empresas no implementan planes de continuidad ..62
Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los
próximos 6 meses..............................................................................................................63
Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el
gasto ..................................................................................................................................68
Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de
continuidad ........................................................................................................................69
Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio.....70
Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010
a la continuidad de sus operaciones .................................................................................71
Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas
de continuidad de negocio (%) ..........................................................................................72
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 117 de 121
Observatorio de la Seguridad de la Información
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en
aspectos de continuidad ....................................................................................................73
Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa 79
Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de
Continuidad........................................................................................................................80
Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de
Negocio..............................................................................................................................82
Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la
implantación de buenas prácticas de continuidad de negocio (%)....................................91
Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a
demandar asesoramiento externo para abordar planes de continuidad de negocio.........92
Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los
procedimientos de contingencia ........................................................................................93
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 118 de 121
Observatorio de la Seguridad de la Información
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de
las medidas implantadas (%).............................................................................................94
Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o
estrategias de continuidad definidas .................................................................................95
Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la
importancia de estar preparados ante situaciones de crisis o desastre ..........................103
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 119 de 121
Observatorio de la Seguridad de la Información
ÍNDICE DE TABLAS
Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio
...........................................................................................................................................26
Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad en función de su actividad (%)......................................................43
Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en
función de su tamaño (%)..................................................................................................59
Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su
sector de actividad (%) ......................................................................................................61
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 120 de 121
Observatorio de la Seguridad de la Información
www.inteco.es
www.deloitte.es
http://observatorio.inteco.es